Januar 2023
Domänenwissen und geschulte Mitarbeitende
Sicher digitalisieren
Industrielle Trends wie Industrial Internet of Things (IIoT) und Digitalisierung setzen immense Datenströme voraus. Doch im Gegensatz zur IT-Security für Büros müssen Fabrikbetreiber auf wesentlich mehr Stolpersteine achten, damit ihre Anlagen nicht schon einfachen Angriffen zum Opfer fallen.
Login
Danke für Ihr Interesse an unseren Inhalten. Abonnenten der Fachzeitschrift metall finden das Login für den Vollzugriff im Impressum der aktuellen Printausgabe. Das Passwort ändert monatlich.
Jetzt registrieren und lesen. Registrieren Sie sich um einzelne Artikel zu lesen und einfach per Kreditkarte zu bezahlen. (CHF 5,- pro Artikel)
Als registrierter Benutzer haben Sie jederzeit Zugriff auf Ihre gekauften Artikel.
Sollten Sie als interessierte Fachkraft im Metall-, Stahl- und Fassadenbau die Fachzeitschrift metall tatsächlich noch nicht abonniert haben, verlieren Sie keine Zeit und bestellen Sie Ihr persönliches Abonnement gleich hier.
Sicher digitalisieren
Domänenwissen und geschulte Mitarbeitende
Industrielle Trends wie Industrial Internet of Things (IIoT) und Digitalisierung setzen immense Datenströme voraus. Doch im Gegensatz zur IT-Security für Büros müssen Fabrikbetreiber auf wesentlich mehr Stolpersteine achten, damit ihre Anlagen nicht schon einfachen Angriffen zum Opfer fallen.
Bei allen Normen und Standards rund um die Betriebssicherheit kann es dennoch zu schweren Unfällen mit Maschinen kommen, selbst bei vorschriftsmässigen Sicherheitsvorkehrungen. Denn reagiert aufgrund einer Distributed-Denial-of-Service (DDoS)-Attacke die Elektronik eines Industrieroboters nicht auf den Not-Aus-Schalter, helfen selbst ansonsten funktionale Vorkehrungen nicht. Dann haben Anlagenplaner und Sicherheitsbeauftragte zwar ihre OT-Safety am Platz (OT = Operational Technologie), aber womöglich die IT-Security ausser Acht gelassen. Die aktuellen Leistungsversprechen von vernetzten Produktionssystemen interessieren natürlich auch Entscheider, die auf Anlagen aus der Zeit vor der Digitalisierung produzieren. Konkurrenz- und Modernisierungsdruck wirken ebenfalls auf die Branche ein, sodass heute viele vernetzte Anlagen mit einer unzureichenden IT-Sicherheitsarchitektur und ungeschultem Personal betrieben werden.
Strategie statt Wildwuchs
Um die Vorteile einer vernetzten Industrieanlage zu nutzen und sich zugleich nicht angreifbar zu machen, sollten Entscheider bei der Implementierung auf verlässliche Konzepte setzen und sich vor den ersten Schritten weitreichende Gedanken zur Architektur machen. Eine der ersten Massnahmen ist es, eine zuverlässige und abgesicherte IT-Infrastruktur als Grundlage für die Vernetzung von Anlagen, Mitarbeitenden und Produkten zu schaffen. Wird hier gespart oder werden laienhafte Systeme eingesetzt, kann sich der Nutzen einer IIoT-Applikation bereits bei einfachen Low-Tech-Malware-Angriffen oder auch Datenschutzverletzungen ins Gegenteil drehen.
«Eine der ersten Massnahmen ist es, eine zuverlässige und abgesicherte IT-Infrastruktur als Grundlage für die Vernetzung von Anlagen, Mitarbeitenden und Produkten zu schaffen.»
Planung und Zusammenarbeit
Wichtig bei der Planung und Implementierung sowie dem darauf folgenden Betrieb sind vor allem zwei Aspekte: Ist das Knowhow im eigenen Haus lückenhaft, sollten Firmen die Zusammenarbeit mit Spezialisten suchen und ihren Mitarbeitendenstab schulen. Alle Zuständigen sollten sich der Verantwortung bewusst sein, die eine Anlagenvernetzung mit sich bringt. Bei der Wahl der Dienstleister und Lieferanten gilt es, darauf zu achten, dass weitreichendes Wissen im Umgang mit Industrieanlagen und auf dem Feld der IT-Sicherheit vorhanden ist. Für jeden Teilbereich – IT und OT – an sich gibt es viele Unternehmen mit Expertise, für beide Teilbereiche kombiniert nur eine Handvoll. Auf der Ebene der Mitarbeitenden hingegen schützen bereits einfache Richtlinien und Cyber-Hygiene-Standards vor vielen Sicherheitsrisiken. Das grösste Sicherheitsrisiko in Unternehmen ist oft der Mensch. Hier unterscheiden sich Schwerindustrieunternehmen nicht von einem Bürobetrieb. Fahrlässig an das System angeschlossene Geräte, die mit dem Internet verbunden sind und nicht über ausreichende Schutzmassnahmen verfügen, öffnen selbst bei der besten Netzwerkarchitektur den Angreifern Tür und Tor.
Best-Practice-Beispiel Netzwerksegmentierung
Für produzierende Unternehmen gibt es diverse Strategien, im Umgang mit Bedrohungen Schwachstellen durch Digitalisierung auszuschalten. Eine der effektivsten und bekanntesten stellt die Netzwerksegmentierung dar, die es durch verschiedene Ausgestaltungen ermöglicht, potenzielle Angreifer gar nicht erst in die Nähe der Anlagen gelangen zu lassen. Während das Konzept in den meisten IT-Abteilungen bereits breite Anwendung findet, ist es in Industrieunternehmen gerade erst dabei, sich durchzusetzen. Bekannte Beispiele für die Funktionsweise von Netzwerksegmentierung sind virtuelle LANs (VLAN) oder eine Industrial Demilitarized Zone (IDMZ). Während sich beide Ansätze in der Herangehensweise unterscheiden, ist das Ziel gleich: kritische Systeme innerhalb einer Fabrik davor zu schützen, mit potenzieller Malware oder gezielten Angriffen in Kontakt zu geraten. Dabei werden bei VLAN durch Broadcast-Domänen innerhalb eines geschalteten Netzwerks verschiedene angeschlossene Geräte auf lokaler statt auf physikalischer Ebene getrennt. Die IDMZ hingegen kann man sich als digitales Niemandsland vorstellen, das die Kommunikation zwischen Aussenwelt und geschützten Bereichen komplett unterbricht.
Stellenwert der Sicherheit realistisch einschätzen
Sich nur am Rande um die IT-Security zu kümmern, kann schnell dazu führen, dass aus Investitionen Verlustgeschäfte werden. Davor schützen eine durchdachte strategische Positionierung des Unternehmens und der breit angelegte Rückgriff auf Wissen aus beiden Domänen, OT und IT.
Quelle: IT & Production Online
www.it-production.com ■
