Die Vernetzung und Automatisierung industrieller Prozesse per IIoT oder IoT birgt für Unternehmen enorme Vorteile. Allerdings bringt die Vernetzung der Industrie 4.0 auch neue Herausforderungen mit sich, wenn IT auf OT trifft. [...]
SECURITY BY DESIGN IST GEFRAGT
Ein adäquates Sicherheits-Management für IIoT muss schon sehr früh ansetzen: Bei der Auswahl von Anlagen, Geräten, Systemen und Netzwerkkomponenten. Denn im Hinblick auf die Prozessautomatisierung ist die digitale Fabrik bereits Realität. Der ständig steigende Einsatz von Fertigungsautomaten und -robotern sowie deren konsequente Vernetzung im lokalen Bereich, etwa in einem Fertigungsgebäude, werden durch Netztechniken wie Ethernet, WLAN, Bluetooth, RFID oder Low Power Wide Area Networks (LPWANs) unterstützt. In diesen IoT-Netzen tauschen sich die einzelnen Komponenten mit cyberphysischen Systemen (CPS) aus. Die Grundlage hierfür bildet die Ausstattung von bislang passiven Geräten beziehungsweise Dingen mit Mikrocontrollern, Identifikatoren, Sensoren und Aktoren. Hier sollten Unternehmen darauf achten, ob der Hersteller Sicherheitsaspekte bereits mit dem ersten Entwicklungsschritt in das Produkt integriert hat (Security by Design).
Doch das Sicherheits-Management von IoT-Umgebungen umfasst nicht nur die Security und Safety der eigenen Gerät und Anlagen, vielmehr sollte laut Telekom nicht vergessen werden, dass die Netze und Systeme ja teilweise für Kunden, Lieferanten und Partner geöffnet werden beziehungsweise wurden. Und last but not least ist bei allen Sicherheitsdiskussionen der Faktor Mensch nicht zu vergessen – hier sei nur an Fehlverhalten, Gutgläubigkeit und Social Engineering erinnert.
Deshalb empfehlen die Autoren des Telekom-White-Paper gleich mehrere Maßnahmen. So sollten Unternehmen darauf achten, ob der Hersteller Sicherheitsaspekte bereits mit dem ersten Entwicklungsschritt in das Produkt integriert hat – also das Prinzip Security by Design verfolgen. Das gilt auch für den Bezug von Konnektivitäts- und Cloud-Diensten. Ferner raten sie dazu ein Defense-in-Depth-Konzept umzusetzen.
DEFENSE IN DEPTH
Unter Defense in Depth ist, so die Autoren, eine Sicherheitsarchitektur zu verstehen, die in verschiedene Ebenen oder Schichten aufgeteilt ist. Diese sind mit den jeweils adäquaten Sicherheitsmechanismen versehen. Gelingt es einem Angreifer, die Barrieren einer Schicht zu überwinden, steht er vor der nächsten „verschlossenen Tür“, deren Schloss er knacken muss. In ICS-Systemen (Industrial Control System) gilt es beispielsweise, die Feldbus-Kommunikation zwischen Sensoren, Aktoren und Automatisierungs-Devices abzusichern. Ferner ist ein unbefugter Zugriff über Wartungszugänge zu verhindern. Des Weiteren sollten zusätzliche Barrieren einen potenziellen Eindringling daran hindern, die speicherprogrammierbare Steuerung (SPS) eines ICS anzugreifen. Hier wären also im Falle einer Defense-in-Depth-Strategie Feldbus-Firewalls sowie eine automatisierte Anomalieerkennung erforderlich. Entsprechende Richtlinien und Prozeduren lassen sich beziehungsweise sollten für jede Ebene eines Defense-in-Depth-Konzepts aufgesetzt werden.
Interessierte Leser finden das ausführliche White Paper der Telekom hier.
*Jürgen Hill ist Teamleiter der Technologie der computerwoche.de
Be the first to comment