Egal worüber man heutzutage im Kontext Sicherheit in der Fertigung spricht, die Ursache der Probleme ist oftmals, dass ein kontrollierter sicherer Datentransfer in der Produktion fehlt. Dies ist meist hauptverantwortlich für Schadcode in der Produktion. Klar ist jedoch auch, dass eine moderne Produktion auf einen Austausch von Daten angewiesen ist und dieser in Zukunft noch enorm steigen wird.
Wie kann also in einer vernetzten Produktion mit zunehmendem Datenaustausch ein sicherer Betrieb gewährleistet werden? Um dieser Frage nachzugehen, gilt es zunächst, ein paar grundlegende Fragen zu klären. Aufbauend auf einem Grundverständnis, das sich daraus ergibt, arbeiten wir uns dann zu möglichen Lösungsansätzen vor.
Was heißt sicherer Datentransfer in der Produktion?
Für Produktions- und Automationsnetze gibt es unterschiedliche betriebsrelevante Daten. Wenn Sie effektive Schutzmittel anwenden möchten, macht es Sinn, zunächst diejenigen Daten zu identifizieren, die für Sie wichtig sind:
- Projektierungsdaten
- Software zur Projektierung
- Updates & Patches für Systeme (zum Beispiel Firmware-Updates)
- Log-Informationen
- Monitoring & Sensor-Daten (zum Beispiel Zustandsüberwachung)
- etc.
Diese und weitere Daten müssen mittlerweile regelmäßig mit verschiedenen Lieferanten, Mitarbeitern, externen Dienstleistern und Systemen ausgetauscht werden. So werden beispielsweise für Predictive Maintenance Auswertungen von Sensor-Daten in die Cloud übergeben, Firmware-Updates durch einen Lieferanten eingespielt oder bestimmte Software für Betriebszwecke heruntergeladen.
Darüber hinaus sollten aber auch unternehmensinterne Kommunikationswege nicht außer Acht gelassen werden. Insbesondere wenn Projektierungsdaten mit Fachabteilungen ausgetauscht werden oder eine Verbindung zwischen Anlagennetz und ERP-System (Enterprise Ressource Planning), zum Beispiel SAP, eingerichtet wurde.
Welche Übertragungswege sind hierbei zu betrachten?
Ein sicherer Datentransfer in der Produktion muss nicht unbedingt via Kabel oder Funk erfolgen. Es müssen auch die Übertragungswege einbezogen werden, die vielleicht auf den ersten Blick nicht so offensichtlich sind. Meistens können bestehende Übertragungswege wie folgt klassifiziert und unterschieden werden:
Auch wenn das Netzwerk strenggenommen ein Medium ist, müssen vor allem mobile Mediengeräte wie USB-Sticks, CDs, DVDs, aber auch ungeprüfte Notebooks betrachtet werden, da bei diesen viele gängige Schutzmechanismen wie beispielsweise eine Firewall ausgehebelt werden können.
Ebenso sollte die „Schnittstelle Mensch“ nicht vergessen werden. Denn auch ohne USB-Stick und Ähnliches lassen sich durch den Menschen sensible Informationen entwenden beziehungsweise Daten manipulieren, beispielsweise manuell über die jeweilige Tastatur.
In der Produktion moderner Industrieunternehmen findet man meist alle der genannten Fälle vor, so dass es damit eine Vielzahl von Wegen für den Datenaustausch und damit für den Einfall von Schadcode gibt.
Achtung: Forderungen, den Datenaustausch zu unterbinden, sind realitätsfern und in der Praxis meist schlecht umsetzbar. Insbesondere in Anbetracht der neuen Trends in der Digitalisierung, wird schnell klar, dass dies keine Option ist.
Wozu eine standardisierte sichere Datenkommunikation?
Viele Vorteile der Sicherheitsmaßnahmen liegen auf der Hand: Ein Virenschutz hilft beim frühzeitigen Erkennen von Schadcode und eine kontrollierte Nachverfolgung unterstützt dabei, ungewolltes Abfließen sensibler Daten zu verhindern.
Es gibt jedoch auch einige weniger offensichtliche Gründe: Im Prinzip kann man den Datenaustausch parallel zu den eigenen Kernprozessen entwickeln und standardisieren. Folgende Vorteile können sich hier als willkommene Nebeneffekte etablieren:
- Reduzierung von Ausfall- beziehungsweise Stillstandzeiten
- Vermeidung von Industriespionage
- günstigere Versicherungskonditionen
- aussagekräftigere Risikobewertung
- effizientere Auslastung beispielsweise durch Vereinfachung der Arbeitsweisen für das Personal
Wie nähere ich mich der Herausforderung?
Die eigentliche Herausforderung besteht darin, die kritischen Datenwege zu ermitteln und durch sichere, aber nicht weniger praktikable Methoden zu ersetzen. Denn nur so werden auch die neuen Wege genutzt und nicht umgangen!
Hierzu bietet sich folgende Vorgehensweise an:
Ist-Aufnahme
Beschreiben Sie die Datenwege, die aktuell existieren (siehe oben genannte Beispiele), sowohl in ihr jeweiliges Netz hinein als auch hinaus. Fragen Sie die jeweiligen Anwender nach ihren Anwendungsfällen.
Risikobetrachtung & Priorisierung
Welche Wege sind besonders kritisch und haben etwa bei einer Übertragung von Schadcode den größten Impact? (zum Beispiel ein direkter Zugriff auf Leitstellenrechner).
Anwender befragen
Fragen Sie die jeweiligen Personen, die die einzelnen Wege jeden Tag nutzen und erheben Sie wichtige Kontextinformationen. Wenn beispielsweise keiner der Mitarbeiter durch das Haupttor geht, sondern alle immer den Nebeneingang nutzen, dann sollte eine USB-Datenschleuse auch dort aufgestellt werden.
Lösungsfindung
Wenn Sie die bestehenden Kommunikationswege ermittelt haben, können Sie besser entscheiden, welche Übertragungswege auch noch in Zukunft genutzt werden sollen und welche man abschaffen kann.
Welche Lösungsansätze gibt es?
In puncto Datenaustausch gibt es die verschiedensten Ansätze und Lösungen, wie zum Beispiel:
- zentrale Austauschplattform für Daten
- Einsatz von USB-Datenschleusen
- Firewall mit Protokoll- und Inhaltsprüfung (auch in Industrieprotokollen)
- Datendioden (One Way Gateways)
Wichtig ist hierbei: Eine „eierlegende Wollmilchsau“ gibt es nicht. Vielmehr stehen Sie vor der Herausforderung, die richtige Auswahl unter verschiedenen Ansätzen zu treffen und eine sinnvolle Architektur sowie die Integration in Ihre Umgebung zu erarbeiten. Und das unter Einbeziehung des Anwenders.
Im Folgenden sehen Sie ein Beispiel, wie einige der genannten Lösungsansätze in einem Basis-Architekturmodell aussehen könnten. Generell sollte es darum gehen, dass Sie feste Kommunikationswege in Ihrem Netzwerk etablieren. Das größte Erfolgskriterium für eine funktionierende Inbetriebnahme ist es, die einzelnen Anwendergruppen frühzeitig mit ins Boot zu holen.
Darüber hinaus benötigen wir jedoch weitere kreative Lösungen und vor allem weitere Security Implementierungen in aktuellen und zukünftigen Protokollen. Bis dahin wird eine Absicherung auf Netzwerkebene nur eingeschränkt möglich sein.
Fazit
Durch die fortschreitende Digitalisierung und Industrie 4.0 werden die Anforderungen an den Austausch komplexer Daten in Produktionsumgebungen weiterhin anwachsen. Dabei betrifft der Datenaustausch in Automationsnetze hinein und aus Automationsnetzen hinaus die sensibelsten und kritischsten Wege in einem Unternehmen überhaupt!
Leider ist die Absicherung dieser Übertragungswege bei den verantwortlichen Mitarbeiterinnen und Mitarbeitern aufgrund umständlicher und komplexer Verfahrensweisen eine ungeliebte Angelegenheit. Aus diesem Grund ist ein strukturierter Weg von einer detaillierten Ist-Analyse über eine Risiko-Betrachtung und die Einbeziehung der Anwender nötig. Erst dann kann sich ein standardisierter und sicherer Datenaustausch positiv auf die Effizienz und ebenso auf die Mitarbeitermotivation auswirken.
Der Industrial Security Guide zum schnellen Einstieg
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!