Egal worüber man heutzutage aus „Sicherheitssicht“ über Produktion und Fertigung spricht, die Ursache der Probleme ist oftmals ein nicht kontrollierter Datenaustausch. Dieser ist meist hauptverantwortlich für Schadcode in der Produktion. Klar ist jedoch auch, dass eine moderne Produktion auf einen Austausch von Daten angewiesen ist und dieser in Zukunft noch enorm steigen wird.

Wie lässt sich also umgehen, so dass trotz einer vernetzten Produktion ein sicherer Betrieb gewährleistet werden kann, ohne dabei auf den Datenaustausch zu verzichten? Um dieser Frage nachzugehen gilt es zunächst ein paar grundlegende Fragen zu klären. Mit diesem Grundverständnis arbeiten wir uns dann zu möglichen Lösungsansätzen vor.

Was heißt hier eigentlich Daten bzw. Datenaustausch?

Für Produktions- und Automatisierungsnetze gibt es unterschiedliche betriebsrelevante Daten. Wenn Sie effektive Schutzmittel anwenden möchten, macht es Sinn, zunächst diejenigen Daten zu identifizieren, die für Sie wichtig sind:

  • Projektierungsdaten
  • Software zur Projektierung
  • Updates & Patches für Systeme (z.B. Firmware-Updates)
  • Log-Informationen
  • Monitoring & Sensor-Daten (z.B. Zustandsüberwachung)
  • Etc.

Diese und weitere Daten müssen mittlerweile regelmäßig mit verschiedenen Lieferanten, Mitarbeitern, externen Dienstleistern und Systemen ausgetauscht werden. So werden beispielsweise für Predictive Maintenance Auswertungen Sensor-Daten in die Cloud übergeben, Firmware-Updates durch einen Lieferanten eingespielt oder bestimmte Software für Betriebszwecke heruntergeladen.

Darüber hinaus sollten aber auch unternehmensinterne Kommunikationswege nicht außer Acht gelassen werden. Insbesondere wenn Projektierungsdaten mit Fachabteilungen ausgetauscht werden oder eine Verbindung zwischen Anlagennetz und ERP-System (z.B. SAP) eingerichtet wurde.

Welche Übertragungswege sind hierbei zu betrachten?

Ein Datenaustausch muss nicht unbedingt via Kabel oder Funk erfolgen. Es müssen auch die Übertragungswege miteinbezogen werden, die vielleicht auf dem ersten Blick nicht so offensichtlich sind. Meistens können bestehende Übertragungswege wie folgt klassifiziert und unterschieden werden:

Übertragungswege im Anlangennetz

Auch wenn das Netzwerk strenggenommen ein Medium ist, müssen vor allem mobile Mediengeräte wie USB-Sticks, CDs, DVDs, aber auch ungeprüfte Notebooks betrachtet werden, da bei diesen viele gängige Schutzmechanismen wie beispielsweise eine Firewall ausgehebelt werden können.

Ebenso sollte die Schnittstelle „Mensch“ nicht vergessen werden. Denn auch ohne USB-Stick und Ähnliches lassen sich durch den Menschen sensible Informationen entwenden bzw. Daten manipulieren, beispielsweise manuell über die jeweilige Tastatur.

In der Produktion moderner Industrieunternehmen findet man meist alle der genannten Fälle vor, so dass es damit eine Vielzahl von Wegen für den Datenaustausch und damit für den Einfall von Schadcode gibt.

Achtung: Forderungen, den Datenaustausch zu unterbinden, sind realitätsfern und in der Praxis meist schlecht umsetzbar. Insbesondere in Anbetracht der neuen Trends in der Digitalisierung, wird schnell klar, dass dies keine Option ist.

Es geht vielmehr darum, die Übertragungswege so zu gestalten und abzusichern, dass auch weiterhin ein Datenaustausch möglichst ohne Einschränkungen möglich ist.

Welche Chancen bieten sich durch eine standardisierte und sichere Datenkommunikation?

Viele Vorteile der Sicherheitsmaßnahmen liegen auf der Hand: Ein Virenschutz hilft beim frühzeitigen Erkennen von Schadcode und eine kontrollierte Nachverfolgung unterstützt dabei, ungewolltes Abfließen sensibler Daten zu verhindern.

Jedoch gibt es auch einige weniger offensichtliche Gründe: Im Prinzip kann man seinen Datenaustausch parallel zu seinen eigenen Kernprozessen entwickeln und standardisieren. Folgende Vorteile können sich hier als netter Nebeneffekt etablieren:

  • Die Reduzierung von Ausfall- bzw. Stillstandzeiten
  • Die Vermeidung von Industriespionage
  • Günstigere Versicherungskonditionen
  • Eine aussagekräftigere Risikobewertung
  • Effizientere Auslastung, indem beispielsweise die Arbeitsweise des Personals vereinfacht wird

Wie nähere ich mich der Herausforderung?

Die eigentliche Herausforderung besteht darin, die kritischen Datenwege zu ermitteln und durch sichere, aber nicht weniger praktikablere Methoden auszutauschen.

Denn nur so werden auch die neuen Wege genutzt und nicht umgangen!

Hierzu bietet sich folgende Vorgehensweise an:

Beschreiben Sie die aktuell existierenden Datenwege (siehe oben genannte Beispiele) in und aus Ihrem jeweiligen Netz. Fragen Sie hierbei auch den/die jeweilige/n Anwender/innen nach ihren Anwendungsfällen.

Welche Wege sind besonders kritisch und haben, z.B. bei Übertragung von Schadcode, den größten Impact? (z.B. direkter Zugriff auf Leitstellenrechner)

Fragen Sie die jeweiligen Personen, die die einzelnen Wege jeden Tag nutzen und erheben Sie wichtige Kontextinformationen. Wenn z.B. keiner der Mitarbeiter durch das Haupttor geht, sondern alle immer den Nebeneingang nutzen, sollte eine USB-Datenschleuse auch dort aufgestellt werden.

Wenn Sie die existenten Kommunikationswege ermittelt haben, können Sie besser entscheiden, welche Übertragungswege auch noch in Zukunft genutzt werden sollen und welche man abschaffen kann.

Welche Lösungsansätze gibt es?

In puncto Datenaustausch gibt es die verschiedensten Ansätze und Lösungen, wie zum Beispiel:

  • Zentrale Austauschplattform für Daten
  • Einsatz von USB-Datenschleusen
  • Firewall mit Protokoll- u. Inhaltsprüfung (auch in Industrieprotokollen)
  • Datendioden (One-Way-Gateways)

Wichtig ist hierbei: Eine „Eierlegende Wollmilchsau“ gibt es nicht. Vielmehr stehen Sie vor der Herausforderung, die richtige Auswahl unter verschiedenen Ansätzen zu treffen und eine sinnvolle Architektur sowie die Integration in Ihre Umgebung zu erarbeiten. Und das, unter Einbeziehung des Anwenders.

Im Folgenden sehen Sie ein Beispiel, wie einige der genannten Lösungsansätze in einem Basis-Architekturmodell aussehen könnten. Generell sollte es darum gehen, dass Sie feste Kommunikationswege in Ihrem Netzwerk etablieren. Das größte Erfolgskriterium für eine funktionierende Inbetriebnahme ist es, die einzelnen Anwendergruppen frühzeitig mit ins Boot zu holen.

Muster-Basisarchitektur

 

Darüber hinaus benötigen wir jedoch weitere kreative Lösungen und vor allem weitere Security-Implementierungen in aktuellen und zukünftigen Protokollen. Bis dahin wird eine Absicherung auf Netzwerkebene nur eingeschränkt möglich sein.

Fazit

Durch die fortschreitende Digitalisierung und Industrie 4.0 werden die Anforderungen an den Austausch komplexer Daten in Produktionsumgebungen weiterhin anwachsen. Dabei betrifft der Datenaustausch in Automatisierungsnetze hinein und aus Automatisierungsnetzen hinaus die sensibelsten und kritischsten Wege in einem Unternehmen überhaupt!

Leider ist jedoch die Absicherung dieser Übertragungswege bei den verantwortlichen Mitarbeitern aufgrund umständlicher und komplexer Verfahrensweisen eine ungeliebte Angelegenheit.

Aus diesem Grund ist ein strukturierter Weg von einer detaillierten IST- Analyse über eine Risiko-Betrachtungen und die Einbeziehung der Anwender nötig.

Erst dann kann sich ein standardisierter und sicherer Datenaustausch positiv auf die Effizienz und ebenso auf die Mitarbeitermotivation auswirken.

Fragen Sie Ihre Anwender, um eine erste Einschätzung zu den Daten und Übertragungswegen zu bekommen. Fragen Sie auch insbesondere nach konkreten Arbeitsschritten nach, die im Arbeitsalltag besonders wichtig sind und deswegen nicht durch zukünftige Schutzmaßnahmen eingeschränkt werden sollten!