Sicherer Datenaustausch im Anlagennetz: Diese 5 Fragen helfen beim Einstieg

Inhaltsverzeichnis

    Egal worüber man heutzutage aus Sicherheitssicht über Produktion und Fertigung spricht, die Ursache der Probleme ist oftmals ein nicht kontrollierter Datenaustausch. Dieser ist meist hauptverantwortlich für Schadcode in der Produktion. Klar ist jedoch auch, dass eine moderne Produktion auf einen Austausch von Daten angewiesen ist und dieser in Zukunft noch enorm steigen wird.

    Wie kann also in einer vernetzten Produktion mit zunehmendem Datenaustausch ein sicherer Betrieb gewährleistet werden? Um dieser Frage nachzugehen, gilt es zunächst ein paar grundlegende Fragen zu klären. Aufbauend auf einem Grundverständnis, das sich daraus ergibt, arbeiten wir uns dann zu möglichen Lösungsansätzen vor.

    Was heißt hier eigentlich Daten und Datenaustausch?

    Für Produktions- und Automationsnetze gibt es unterschiedliche betriebsrelevante Daten. Wenn Sie effektive Schutzmittel anwenden möchten, macht es Sinn, zunächst diejenigen Daten zu identifizieren, die für Sie wichtig sind:

    • Projektierungsdaten
    • Software zur Projektierung
    • Updates & Patches für Systeme (zum Beispiel Firmware-Updates)
    • Log-Informationen
    • Monitoring & Sensor-Daten (zum Beispiel Zustandsüberwachung)
    • etc.

    Diese und weitere Daten müssen mittlerweile regelmäßig mit verschiedenen Lieferanten, Mitarbeitern, externen Dienstleistern und Systemen ausgetauscht werden. So werden beispielsweise für Predictive Maintenance Auswertungen von Sensor-Daten in die Cloud übergeben, Firmware-Updates durch einen Lieferanten eingespielt oder bestimmte Software für Betriebszwecke heruntergeladen.

    Darüber hinaus sollten aber auch unternehmensinterne Kommunikationswege nicht außer Acht gelassen werden. Insbesondere wenn Projektierungsdaten mit Fachabteilungen ausgetauscht werden oder eine Verbindung zwischen Anlagennetz und ERP-System (zum Beispiel SAP) eingerichtet wurde.

    Welche Übertragungswege sind hierbei zu betrachten?

    Ein Datenaustausch muss nicht unbedingt via Kabel oder Funk erfolgen. Es müssen auch die Übertragungswege einbezogen werden, die vielleicht auf den ersten Blick nicht so offensichtlich sind. Meistens können bestehende Übertragungswege wie folgt klassifiziert und unterschieden werden:

    Übertragungswege im Anlagennetz

    Auch wenn das Netzwerk strenggenommen ein Medium ist, müssen vor allem mobile Mediengeräte wie USB-Sticks, CDs, DVDs, aber auch ungeprüfte Notebooks betrachtet werden, da bei diesen viele gängige Schutzmechanismen wie beispielsweise eine Firewall ausgehebelt werden können.

    Ebenso sollte die „Schnittstelle Mensch“ nicht vergessen werden. Denn auch ohne USB-Stick und Ähnliches lassen sich durch den Menschen sensible Informationen entwenden beziehungsweise Daten manipulieren, beispielsweise manuell über die jeweilige Tastatur.

    In der Produktion moderner Industrieunternehmen findet man meist alle der genannten Fälle vor, so dass es damit eine Vielzahl von Wegen für den Datenaustausch und damit für den Einfall von Schadcode gibt.

    Achtung: Forderungen, den Datenaustausch zu unterbinden, sind realitätsfern und in der Praxis meist schlecht umsetzbar. Insbesondere in Anbetracht der neuen Trends in der Digitalisierung, wird schnell klar, dass dies keine Option ist.

    Es geht vielmehr darum, die Übertragungswege so zu gestalten und abzusichern, dass auch weiterhin ein Datenaustausch möglichst ohne Einschränkungen möglich ist.

    Welche Chancen bieten sich durch eine standardisierte und sichere Datenkommunikation?

    Viele Vorteile der Sicherheitsmaßnahmen liegen auf der Hand: Ein Virenschutz hilft beim frühzeitigen Erkennen von Schadcode und eine kontrollierte Nachverfolgung unterstützt dabei, ungewolltes Abfließen sensibler Daten zu verhindern.

    Es gibt jedoch auch einige weniger offensichtliche Gründe: Im Prinzip kann man den Datenaustausch parallel zu den eigenen Kernprozessen entwickeln und standardisieren. Folgende Vorteile können sich hier als willkommene Nebeneffekte etablieren:

    Wie nähere ich mich der Herausforderung?

    Die eigentliche Herausforderung besteht darin, die kritischen Datenwege zu ermitteln und durch sichere, aber nicht weniger praktikablere Methoden zu ersetzen.

    Denn nur so werden auch die neuen Wege genutzt und nicht umgangen!

    Hierzu bietet sich folgende Vorgehensweise an:

    IST-Aufnahme

    Beschreiben Sie die aktuell existierenden Datenwege (siehe oben genannte Beispiele) in und aus Ihrem jeweiligen Netz. Fragen Sie hierbei auch den/die jeweilige/n Anwender/innen nach ihren Anwendungsfällen.

    Risikobetrachtung & Priorisierung

    Welche Wege sind besonders kritisch und haben etwa bei Übertragung von Schadcode den größten Impact? (zum Beispiel ein direkter Zugriff auf Leitstellenrechner).

    Anwender befragen

    Fragen Sie die jeweiligen Personen, die die einzelnen Wege jeden Tag nutzen und erheben Sie wichtige Kontextinformationen. Wenn beispielsweise keiner der Mitarbeiter durch das Haupttor geht, sondern alle immer den Nebeneingang nutzen, dann sollte eine USB-Datenschleuse auch dort aufgestellt werden.

    Lösungsfindung

    Wenn Sie die bestehenden Kommunikationswege ermittelt haben, können Sie besser entscheiden, welche Übertragungswege auch noch in Zukunft genutzt werden sollen und welche man abschaffen kann.

    Welche Lösungsansätze gibt es?

    In puncto Datenaustausch gibt es die verschiedensten Ansätze und Lösungen, wie zum Beispiel:

    • zentrale Austauschplattform für Daten
    • Einsatz von USB-Datenschleusen
    • Firewall mit Protokoll- und Inhaltsprüfung (auch in Industrieprotokollen)
    • Datendioden (One-Way-Gateways)

    Wichtig ist hierbei: Eine „eierlegende Wollmilchsau“ gibt es nicht. Vielmehr stehen Sie vor der Herausforderung, die richtige Auswahl unter verschiedenen Ansätzen zu treffen und eine sinnvolle Architektur sowie die Integration in Ihre Umgebung zu erarbeiten. Und das unter Einbeziehung des Anwenders.

    Im Folgenden sehen Sie ein Beispiel, wie einige der genannten Lösungsansätze in einem Basis-Architekturmodell aussehen könnten. Generell sollte es darum gehen, dass Sie feste Kommunikationswege in Ihrem Netzwerk etablieren. Das größte Erfolgskriterium für eine funktionierende Inbetriebnahme ist es, die einzelnen Anwendergruppen frühzeitig mit ins Boot zu holen.

    Muster-Basisarchitektur

    Darüber hinaus benötigen wir jedoch weitere kreative Lösungen und vor allem weitere Security-Implementierungen in aktuellen und zukünftigen Protokollen. Bis dahin wird eine Absicherung auf Netzwerkebene nur eingeschränkt möglich sein.

    Fazit

    Durch die fortschreitende Digitalisierung und Industrie 4.0 werden die Anforderungen an den Austausch komplexer Daten in Produktionsumgebungen weiterhin anwachsen. Dabei betrifft der Datenaustausch in Automationsnetze hinein und aus Automationsnetzen hinaus die sensibelsten und kritischsten Wege in einem Unternehmen überhaupt!

    Leider ist die Absicherung dieser Übertragungswege bei den verantwortlichen Mitarbeiterinnen und Mitarbeitern aufgrund umständlicher und komplexer Verfahrensweisen eine ungeliebte Angelegenheit.

    Aus diesem Grund ist ein strukturierter Weg von einer detaillierten Ist-Analyse über eine Risiko-Betrachtung und die Einbeziehung der Anwender nötig.

    Erst dann kann sich ein standardisierter und sicherer Datenaustausch positiv auf die Effizienz und ebenso auf die Mitarbeitermotivation auswirken.

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht.

    Der große Industrial Security Einsteiger-Guide

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Whitepaper herunterladen!

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Industrial Security auf den Punkt gebracht

    Erhalten Sie den Einstieg in die Industrial Security und profitieren Sie von Best-Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr Email-Postfach.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung