Startseite » Chemie » Anlagen (Chemie) »

OT-Sicherheit in der chemischen Industrie

OT-Sicherheit in der chemischen Industrie
Produktionsnetzwerke vor Cyber-Angriffen schützen

Cyber-Angriffe nehmen in ihrer Verbreitung und Raffinesse zu. Dabei steht nicht nur die Büroinfrastruktur im Fokus, sondern auch die digitalen Produktionsnetzwerke, die sogenannte OT-Infrastruktur. Diese Situation erfordert einen ganzheitlichen Ansatz zur Absicherung der industriellen Abläufe, wie das Beispiel eines global aufgestellten Chemiekonzerns zeigt.

Seit einigen Jahren führt die digitale Transformation zu immer mehr Vernetzung auf allen Ebenen der Produktion. Dadurch sind zunehmend mehr physische Geräte in Netzwerke eingebunden. Der Vorteil: Die Industrie kann das Potenzial der Machine-to-Machine-Kommunikation und des maschinellen Lernens nutzen und ihre Produktionsprozesse optimieren. Der Nachteil: Die automatisierte Vernetzung bringt hochkritische Produktionsumgebungen hervor. Diese abzusichern, ist eine geschäftskritische Aufgabe. Denn Cyber-Angriffe können den Stillstand ganzer Produktionsanlagen zur Folge haben und gehen somit mit einem hohen finanziellen Verlust einher.

Tatsächlich zeigt die aktuelle Studie „Cybersecurity-Level in OT“ des Research- und Analystenhauses Tech Consult GmbH, dass von den 26 % der Industrieunternehmen, die innerhalb der letzten zwölf Monate Hackerangriffe auf ihre Produktionsinfrastruktur verzeichneten, 57 % eine unmittelbare Unterbrechung der Produktion erlebten. Ein wirkungsvoller Schutz der digitalen Produktionsinfrastruktur (Operational Technology; OT) in Betrieben basiert auf zwei Säulen: Ein intelligentes Network Intrusion Detection System (IDS) visualisiert das OT-Netzwerk und entdeckt frühzeitig Angriffe und Anomalien. Eine automatisierte Plattform analysiert und bewertet kontinuierlich die Risiken in Übereinstimmung mit führenden OT-Cyber-Sicherheitsstandards.

Absicherung der OT-Infrastruktur

OT-Cyber-Angriffe in der Produktion von Gefahrstoffen in der chemischen Industrie können schwerwiegende Folgen haben. Es drohen Umweltschäden und die Gefährdung von Menschenleben – vom Imageschaden ganz zu schweigen. Ein führender, weltweit tätiger Produzent von Spezialchemikalien mit Standorten in vielen verschiedenen Ländern sah sich einem besonders großen Sicherheitsrisiko ausgesetzt: Die Produktionslinien sind unternehmensweit miteinander vernetzt und Dutzende Anlagen laufen mit unterschiedlichen Systemtypen und Topologien. Das bestehende Cyber-Sicherheitssystem deckte zwar die IT-Netzwerke gut ab. Als dieses jedoch auf die OT-Netzwerke in der Produktion angewendet wurde, zeigten sich gefährliche Funktionslücken. Zum Beispiel konnte das System die spezifischen Netzwerkprotokolle nicht verarbeiten. Zudem fehlten eine vollständige Erfassung und Transparenz aller Anlagen an jedem Standort.

Das Unternehmen identifizierte die Anforderungen, um einen wirkungsvollen Schutz seiner verteilten OT-Netzwerke aufbauen zu können: Das zukünftige Cyber-Security-System sollte sämtliche OT-Assets kontinuierlich überwachen, OT-Cyber-Bedrohungen genauso wie Anomalien erkennen und aktiv vor ihnen warnen, Logikänderungen an allen industriellen Steuerungen verfolgen und schließlich OT-Cyber-Alarme an das Security Information and Event Management System (SIEM) melden.

Zentral oder lokal überwacht

Nach einem Auswahlprozess unter zwölf führenden Anbietern von OT-Sicherheitslösungen fiel die Entscheidung auf Radiflow. Das Unternehmen ist spezialisiert auf die Cyber-Sicherheit kritischer industrieller Geschäftsabläufe. Die Antwort auf die spezifischen Herausforderungen basiert auf einem von Radiflow entwickelten Industrial Threat Detection System (iSID). Das Besondere: Das System kann an einem zentralen Standort eingesetzt werden und erkennt gleichzeitig Bedrohungen an beliebig vielen entfernten Standorten – oder alternativ lokal an jedem einzelnen Standort. Sogar eine Kombination aus beiden Lösungen ist möglich. Im Fall des Herstellers von Spezialchemikalien installierte Radiflow lokal in jeder Produktionsanlage eine iSID-Einheit. Da jede Anlage mehrere Subnetze umfasst, erhielt jedes Subnetz zusätzlich einen Radiflow iSAP Smart Collector. Dieses Gerät ermöglicht es, einen gespiegelten Strom des gesamten TCP/IP-Datenverkehrs an das lokale iSID zu senden. An jedem Standort installiert, empfangen die iSAP Smart Collectors den gesamten LAN-Verkehr vom lokalen Switch und filtern die Daten. Sie werden komprimiert, um die Überlastung des Netzwerks zu verhindern, und über VPN-Tunnel an das zentrale iSID gesendet. Dieses nutzt zudem die gesammelten TCP/IP-Daten, um ein Modell der Netzwerktopologie zu erstellen. Das Modell enthält alle Anlagen, Ports und Protokolle mit ihren vollständigen Eigenschaften und ordnet jeweils den entsprechenden Geschäftsprozess zu.

Risikobewertung des Netzwerks

Grundsätzlich ist eine aussagekräftige Visualisierung des OT-Netzwerkes für dessen Schutz unerlässlich. Das Ziel ist eine kontinuierliche und lückenlose Überwachung von Verhaltensänderungen im Netzwerk, um Anomalien im industriellen Betrieb zu erkennen und so früh wie möglich vor Bedrohungen zu warnen. Eine der größten Herausforderungen für CISOs und Entscheidungsträger in Unternehmen der Industrieautomation ist die Optimierung des OT-Sicherheitsbetriebs. Sie erfordert eine Priorisierung der Sicherheitsmaßnahmen, die unter Berücksichtigung von Budgetbeschränkungen und begrenzten zulässigen Betriebsausfallzeiten implementiert werden müssen. Erreicht wird dies durch die Risikobewertung des Netzwerks: die Summe der Wahrscheinlichkeit eines Angriffs – bezogen auf jede einzelne Geschäftseinheit –, gewichtet mit der Auswirkung – finanzieller Verlust oder anderer Schaden –, die ein Angriff verursacht. Der erste Schritt zur Optimierung besteht darin, die Angreifer und Angriffstechniken zu ermitteln, die das OT-Netzwerk bedrohen. Das Ergebnis ist eine ständig aktualisierte Risikobewertung sowie eine priorisierte Liste von Maßnahmen, die die Kosteneffizienz der OT-Sicherheitssysteme sicherstellen – größte Risikoreduzierung pro Euro, der für die Bedrohungsabwehr ausgegeben wird –, ohne irrelevante oder überzogene Kosten für Sicherheitsmaßnahmen zu generieren.

Radiflow Inc., Tel Aviv, Israel


Autor: Ilan Barda

Gründer und CEO,

Radiflow

Newsletter

Jetzt unseren Newsletter abonnieren

cav-Produktreport

Für Sie zusammengestellt

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Top-Thema: Instandhaltung 4.0

Lösungen für Chemie, Pharma und Food

Pharma-Lexikon

Online Lexikon für Pharma-Technologie

Prozesstechnik-Videos

Hier finden Sie alle aktuellen Videos

phpro-Expertenmeinung

Pharma-Experten geben Auskunft

Prozesstechnik-Kalender

Alle Termine auf einen Blick

Anzeige

Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de