• Gas: Aufwärtstrend geht weiter
  • Strom: CO2-Markt gibt weiter den Ton an
  • EWZ startet alpines Solarkraftwerk bereits im September
  • Bundesregierung nennt erste Eckdaten zum Wasserstoff
  • Stadtwerke München und Komm­-Energie gründen Unternehmen
  • Solarthermie kann deutlich zulegen
  • 54-Megawatt-Vorzeigeprojekt von Vensys
  • Gascade schreibt Verbrauchsgas aus
  • Roadmap für Oberleitungs-Lkw
  • Abo Wind weiterhin auf der Erfolgsspur
Enerige & Management > Advertorial - Sichere Vernetzung in der Industrie 4.0
Bild: Secunet
ADVERTORIAL:
Sichere Vernetzung in der Industrie 4.0
Die Digitalisierung konfrontiert Betreiber mit neuen Heraus­forderungen. Wie ist es möglich, Maschinen zum Schutz abzuschotten und gleichzeitig zur Vernetzung zu öffnen?
 
Eine Folge der Digitalisierung in der Indus­trie ist es, dass die ursprünglich getrennten Welten der IT und OT immer stärker miteinander verzahnt sind. So werden Anlagen und Maschinen mittlerweile aus der Prozess-IT zentral gesteuert und überwacht, arbeiten mit IKT-Systemen aus der Business-IT zu­sammen und sind auf IT-Dienstleistungen außerhalb der eigenen Organisationsgrenzen angewiesen. Doch dieser hohe Konnektivi­tätsgrad führt unweigerlich zu neuen Heraus­forderungen. Heute müssen sich Betreiber mit IT-Bedrohungen auseinandersetzen, die in der früheren Arbeitswelt von Ingenieuren und Technikern nicht präsent waren.
 
Zudem unterstreicht der Gesetzgeber die Notwendigkeit, solchen Bedrohungen vorzubeugen, und erlässt Vorgaben, Re­gulierungen und Empfehlungen. Beispiele dafür sind das IT-Sicherheitsgesetz, die Verordnung zur Bestimmung Kritischer In­frastrukturen des Bundesamts für Sicherheit in der Informationstechnik (BSI-KritisV) oder die BSI-Empfehlung zur IT in der Produktion (BSI-CS 005). Mit diesen Maßnahmen wird letztlich der hohe Schutzbedarf der Kom­ponenten in sensiblen Netzbereichen der Produktionsumgebung festgestellt. An­lagen und Maschinen erfordern demnach einen umfassenden Schutz vor IT-Einflüssen, gleichzeitig jedoch eine Vernetzung zur Umsetzung neuer datengetriebener Betriebs­prozesse. Wie kann ein solch paradox er­scheinender Anspruch erfüllt werden?
 
Lange Lebenszyklen, hohes Risiko
 
Für Maschinen, die in der Prozess-IT (PIT) betrieben werden, sind Lebenszyklen von mehr als 30 Jahren typisch. Untypisch dagegen sind Modifikationen von Kom­ponenten, um Maschinen und Anlagen gegen aktuelle IT-Bedrohungen zu wappnen. Der Grund dafür ist, dass Betreiber das Aus­fallrisiko durch solche Modifikationen als zu hoch einstufen. Die Devise lautet: Never change a running system. Allerdings wird dabei das Risiko, das die Vernetzung un­geschützter veralteter Technologie mit sich bringt, unterschätzt. In Gefahr gerät nicht nur der einwandfreie Betrieb der Maschine selbst. Auch andere Teilnehmer im Netzwerk sind gefährdet, zudem können sich Einfalls­tore für potentielle Cyberattacken öffnen. Daher besteht Handlungsbedarf, Maschinen das notwendige IT-Sicherheitsniveau zu ver­leihen. Wie akut dieser Handlungsbedarf ist, zeigen einige Sicherheitsvorfälle, die zuletzt bekannt geworden sind, wie etwa die Sicher­heitslücke in der Fernwartungsfunktion ak­tueller sowie bereits nicht mehr mit Updates versorgter Betriebssysteme.

 
Bild: iStock / Thossaphol

 
Doch es würde zu kurz greifen, den Fokus allein auf die nötige Absicherung von Maschinen zu legen. Es gibt noch weitere Baustellen: Etwa bestehen heute weiter­gehende Ansprüche an die Vernetzung, die so noch gar nicht bedient werden. Reicht es aus, Maschinen kabelgebunden per LAN an die Infrastruktur anzubinden oder sollte vielmehr die Mobilität der Maschine gewahrt werden, wozu eine drahtlose Verbindung per WLAN oder Mobilfunk notwendig ist? Und wie lässt sich die Anbindung von Maschinen an beliebige interne und externe Dienste oder Plattformen in den jeweils individuellen An­wendungsfällen umsetzen? Ein ganzheitliches Konzept sollte – neben der akut notwendigen Absicherung ver­netzter Maschinen – auch diese und ähnliche Fragen beantworten.
 
Gefragt ist ein Ansatz, der folgende Aspekte vereint:
 
  • Absichern
  • Vernetzen
  • Überwachen

1. Absichern: Absicherung und sichere Vernetzung von Maschinen
Die Funktionsweise der PIT mit ihren Maschinen und Anlagen unterscheidet sich stark von der klassischen IT. Dies gilt es bei der Adaption der Sicherheits­strategie zu berücksichtigen. Nur so kann ein angemessener Schutz vor äußeren Einflüssen erreicht werden und gleichzeitig eine kontrollierte und sichere Vernetzung stattfinden. Durch eine Entkopplung des Lebenszyklus von Maschinen und Anlagen von dem der IT-Umgebung lässt sich auch für Systeme in diesem Bereich der Infrastruk­tur ein hohes Sicherheitsniveau erreichen.
 
Daher setzt das Sicherheitssystem secunet edge   an der kritischen Schnittstelle zwischen der Maschine und dem Netzwerk an. Durch eine Mikro-Segmentierung des Netzwerks arbeitet die mit dem Sicherheits­system verbundene Maschine isoliert vor äußeren Einflüssen in ihrem eigenen Netz­segment. Die ein- sowie ausgehende Kommunikation nimmt stets den Weg über das Sicherheits­system, wodurch der Datenfluss zwischen den Netzsegmenten vollständig steuer- und kontrollierbar wird. Zudem ist lediglich das gehärtete und minimierte Betriebs­system des Sicherheitssystems von schnell­lebigen Update-Zyklen betroffen. Dadurch lassen sich Updates problemlos durch­führen, so dass das Gesamtsystem stets auf aktuellem Stand ist, ohne dass Neben­wirkungen oder Auswirkungen auf die Ver­fügbarkeit der Maschine in Kauf genommen werden müssten.
 
Die langen Laufzeiten von Maschinen bringen es mit sich, dass deren Daten­übertragung oft auf Protokollen basiert, die nicht mehr als sicher gelten. Daher lässt sich weder die Vertraulichkeit noch die Au­thentizität der ausgetauschten Informationen nachweisen. Dies ist problematisch, da verfälschte Informationen, die von der Maschine an eine Leitstelle gesendet werden, falsche Annahmen über den Be­trieb der Maschine hervorrufen. Ein in secunet edge in­tegrierter Protokollübersetzer löst dieses Problem. Eine ungesicherte Übertragung der Daten im Netzwerk findet nur noch auf der minimalen Strecke zwischen Maschine und Sicherheitssystem statt. Von dort an erfolgt die Übersetzung on-the-fly, beispielsweise vom unsicheren File Transfer Protocol (FTP) in die sicheren Protokoll­varianten SFTP oder FTPS.
 
2. Vernetzen: flexible Integration von Maschinen in IoT- und Industrie- 4.0-Anwendungsfälle
Ist eine sichere Vernetzung gegeben und damit gleichsam ein stabiles Fundament geschaffen, stehen die Betreiber vor neuen Herausforderungen. Denn nicht nur die in einer Produktionsumgebung ein­gesetzten unterschiedlichen Technologien, Protokolle oder Übertragungstechniken steigern die Komplexität. Auch möchten di­verse Interessenten aus unterschiedlichen Gründen auf Maschinen bzw. auf deren Informationen zugreifen. Möglicherweise sollen zur Optimierung eigener Prozesse sowie zur Minimierung von Ausfallzeiten maschinenerzeugte Daten an IoT-Platt­formen übertragen und analysiert werden. Oder Techniker sollen aus Kostengründen die Maschinen aus der Ferne über das In­ternet warten. Bei solchen Anforderungen ist eine sichere und kontrollierte Anbindung der Maschinen an interne und externe Dienste vonnöten.
 
Das Sicherheitssystem secunet edge enthält ein modulares Plattform-Konzept in Form einer Ausführungsumgebung für Applikationen. Anwendungen, die darin aus­geführt werden, beispielsweise Agenten von IoT-Plattformen, Anwendungen zur Daten­vorverarbeitung oder zur Kommunikation mit internen Diensten, erhalten einen kon­trollierten Zugriff auf Informationen ver­bundener Maschinen und können diese sicher und gerichtet an den jeweiligen Dienst übermitteln bzw. davon entgegennehmen. Der entscheidende Vorteil eines solch of­fenen und modularen Plattform-Konzepts: Die Gesamtkomplexität verringert sich durch die Bündelung benötigter Anwendungen auf einer Edge-Computing-Plattform. So benötigen individuelle IoT-Anwendungs­szenarien keine Individuallösungen und lassen sich schrittweise im eigenen Tempo realisieren. Auch Entwickler sowie Anbieter von Datendiensten, beispielsweise im Be­reich der künstlichen Intelligenz oder Big Data, profitieren von einem solchen Konzept. Sie können ohne tiefgreifendes Security- Know-how und ohne Einschränkungen in Hardware-Fragen ihre plattformunabhängigen Anwendungen über die Plattform secunet edge sicher anbieten.
 
3. Überwachen: Security Monitoring zur Stärkung der Abwehr von Cyberangriffen
Neben der grundlegenden Absicherung ist die stete Überwachung der Kommunikation von und zur Maschine zur Aufrechterhaltung eines höchstmöglichen IT-Sicherheitsniveaus entscheidend. Ein Security Monitoring macht den Informationsfluss transparent und er­möglicht die Analyse des Kommunikations­verhaltens der Maschine. secunet edge bietet hierzu eine integrierte Sensorik, die den ein- und ausgehenden Datenverkehr an der Schnittstelle zwischen Maschine und externem Netz kontinuierlich erfasst und durch ein zentrales Analysesystem auswertet.

Mit Hilfe von selbstlernenden Algorithmen erfasst das Analysesystem das Normalver­halten der Kommunikation einer Maschine. Ein plötzlich auftretendes abnormales Kom­munikationsverhalten, das unter anderem durch die Infektion einer Maschine mit Mal­ware oder durch einen nicht gewollten Verbindungsaufbau eines Angreifers zur Maschine auftreten kann, wird so erkannt. Der Vorteil einer solchen Verhaltensana­lyse: Auch bislang unbekannte Angriffstypen werden aufgedeckt. Dies ermöglicht eine unmittelbare Reaktion beim Auftritt eines Sicherheitsvorfalls, und die ungewollte Kom­munikation zwischen Maschine und Netz­werk kann blockiert werden.
 
Vielfältige Einsatzmöglichkeiten

Mit secunet edge werden nicht nur ver­schiedene Anforderungsbereiche der Industrial Security bedient, sondern auch Basisfunktionen zur Umsetzung von Indus­trie-4.0-Konzepten bereitgestellt. Zudem deckt die Platform nicht nur gegenwärtige, sondern auch künftige Anfor­derungen ab. Denn die Schutzhülle, die das System gleichsam um die Maschine legt, ist variabel und kann dadurch einfach an zu­künftige Erfordernisse angepasst werden. Deshalb profitieren nicht nur Betreiber, die ihren Maschinenpark nachrüsten und den Digitalisierungsprozess mit einem soliden Fundament der IT-Sicherheit untermauern wollen, von secunet edge. Auch Maschinen­hersteller, die neue Maschinen-Designs mit einer zukunftssicheren Schutzhülle ver­sehen möchten – und gleichzeitig den Anfor­derungen ihrer Kunden zur Absicherung von Bestandsmaschinen nachkommen wollen –, gehören zu den Adressaten der Lösung. Nicht zuletzt können Systemintegratoren sich die Edge-Computing-Plattform   zunutze machen und ihre IT-Dienste an die Maschine des Betreibers bringen.
 
Maschinen stehen zwar strukturell gesehen am Rande eines Industrie-4.0-Netzwerks – „at the edge“ –, doch nichtsdestotrotz kommt ihnen eine zentrale Rolle zu. Deshalb ist es so wichtig, sie angemessen zu schützen und ihr Potenzial durch neue Technologien aus­zuschöpfen. Mehr Informationen unter: https://www.secunet.com/de/energieversorger  
 

© 2020 Energie & Management GmbH
Montag, 09.12.2019, 09:10 Uhr

Mehr zum Thema