Cyber-Security für höhere Produktivität in der Industrie

Der tiefe Blick auf die Daten

cav05190807a.jpg
Die Anomalie-Erkennung durch Deep Packet Inspection, also der tiefe Blick in die Datenkommunikation, bringt in der Industrie nicht nur einen erheblichen Sicherheitsvorteil, sondern kann auch die Produktivität deutlich erhöhen Bild: mdex
Anzeige
Mit Industrie 4.0 und der zunehmenden Digitalisierung steigt das Risiko potenzieller Cyberangriffe auf die vernetzte Produktionsumgebung. Fernwartungslösungen oder Production on Demand sind allerdings ohne durchgängige Vernetzung nicht realisierbar. Die Bedrohungslage für OT-Systeme hat sich damit auch in der Chemieindustrie schlagartig verschärft. Eine Datenkontrolle und Anomalie-Erkennung entspannt die Situation ein wenig.

Schreckensszenarien durch Cyberangriffe sind leider keine theoretische Idee mehr. Der Netzwerkübergang zwischen der Office-IT und dem Produktionsnetzwerk (OT) stellt ein Einfallstor für Cyberkriminelle dar. So können Würmer, Trojaner oder andere unerwünschte Programme von der herkömmlichen Infrastruktur aus in die Produktionsumgebung gelangen und dort den Produktionsprozess erheblich beeinträchtigen. Stuxnet, Wannacry und Emotet sind dafür bekannte Beispiele. Doch wie kann die Gefahr durch solche Bedrohungen minimiert werden, ohne auf die zahlreichen Vorteile einer durchgängigen Vernetzung zu verzichten? Schließlich sind ohne sie viele innovative Konzepte gar nicht realisierbar, angefangen bei Fernwartung und Remote-Zugriff zur Produktionssteuerung bis hin zu Production on Demand oder Pay per Use. Hundertprozentigen Schutz wird es für OT-Systeme allerdings genauso wenig geben wie für IT-Systeme. Für einen bestmöglichen Schutz lassen sich aber verschiedene Maßnahmen miteinander kombinieren.

Den Datenverkehr kontrollieren

Im ersten Schritt gilt es, den Datenverkehr zu kontrollieren, beispielsweise durch eine Firewall, die idealerweise nicht nur die internen IT-Systeme vom Internet trennt, sondern auch von den eigenen OT-Systemen. Hier kann nicht nur sehr fein geregelt werden, welche IT-Systeme mit welchen OT-Systemen kommunizieren dürfen, sondern auch welche Protokolle sie dafür verwenden dürfen. Wenn ein IT-System also beispielsweise ausschließlich über eine HTTPS-Verbindung mit einem OT-System kommunizieren soll, ist es sinnvoll, die Kommunikation auf genau dieses Protokoll einzugrenzen. Damit sind dann Angriffe, die z. B. auf dem SMB-Protokoll basieren, nicht mehr möglich. Genauso kann es gegebenenfalls sinnvoll sein, die Kommunikationsrichtung einzuschränken, wenn ein OT-System immer nur Daten an ein IT-System sendet, z. B. für Dokumentationszwecke. Zugriffe aus der Ferne gilt es natürlich ebenfalls abzusichern. Der bloße Schutz durch die Kombination aus Passwort und Benutzername genügt hier keineswegs. Verschlüsselte Verbindungen, z. B. per VPN (Virtual Private Network), sind hier eine bessere Wahl.

Diese Überlegungen zeigen bereits, dass es keine universelle Sicherheitslösung gibt, die für alle Betriebe passt, sondern dass die entsprechenden Maßnahmen immer auf die betrieblichen Erfordernisse abzustimmen sind. Nur so ist ein sinnvoller Schutz gewährleistet. Darauf hat sich die mdex spezialisiert und bietet alles für eine sichere, verschlüsselte Datenanbindung für Maschinen und Anlagen. Dazu gehört auch die sogenannte Anomalie-Erkennung, die heute zunehmend wichtiger wird. Denn das Erkennen von Angriffen auf ein System wird immer schwieriger, vor allem angesichts der immer komplexer werdenden Attacken. Deshalb gilt es auch, bereits erfolgreich durchgeführte Angriffe zu erkennen und wirksame Gegenmaßnahmen zu ergreifen.

Anomalien schnell und sicher erkennen

Die Anomalie-Erkennung durch „Deep Packet Inspection“, also den „tiefen Blick“ in die Datenkommunikation, bringt in der Industrie nicht nur einen erheblichen Sicherheitsvorteil, sondern kann auch die Produktivität deutlich erhöhen. Hierdurch werden z. B. neue Kommunikationsteilnehmer, neue Protokolle oder auch Messwerte, die sich nicht in einem definierten Rahmen bewegen, in Echtzeit erkannt. Dadurch kann sehr schnell auf einen Angriff oder einen sich einschleichenden (noch unbekannten) Fehler reagiert werden, bevor ein Schaden entsteht.

Bei diesem Ansatz ist – nach einer Einlernphase – also das normale Verhalten des Systems bekannt. Alles, was in der Folge in irgendeiner Hinsicht davon abweicht, wird als Anomalie erkannt und löst einen Alarm aus. Die Gründe für eine solche Abweichung können vielfältig sein, etwa ein defekter Sensor, ein neuer Laptop eines Service-Mitarbeiters, oder auch ein Angriff durch einen Virus. Wie das in der Praxis funktioniert, ist einfach zu verstehen, wenn man den typischen Ablauf einer „Infektion“ näher betrachtet.

Ablauf einer Infektion

Um eine Maschine oder Anlage mit einem Schadprogramm zu infizieren, reicht ein USB-Stick, der Laptop eines Servicetechnikers oder auch ein (erlaubter) Fernzugriff aus. Der Wannacry-Virus beispielsweise verbreitet sich über eine Schwachstelle in Microsoft-Windows-Betriebssystemen. Er verschlüsselt bestimmte Daten auf dem befallenen System und fordert anschließend zu einer Lösegeldzahlung auf, damit die Daten wieder entschlüsselt werden. Bevor dies geschieht, sucht der Virus jedoch erst gezielt nach weiteren Systemen im Netzwerk, die ebenfalls diese Sicherheitslücke aufweisen. Er will also zunächst unerkannt bleiben. Das heißt, es gibt ein Zeitfenster, in dem ein befallenes System noch gerettet werden kann, falls der Angriff rechtzeitig erkannt wird.

Diese Inkubationszeit gibt es bei nahezu allen Schadprogrammen, da sie ja an einer möglichst weiten Verbreitung interessiert sind. In diesem Zeitfenster werden gleich mehrere Anomalien erkannt: Zum einen hat die Suche nach neuen, verwundbaren Systemen haufenweise neue Kommunikationsbeziehungen, die alle eine entsprechende Alarmierung bedeuten. Des Weiteren hat z. B. Wannacry das Protokoll SMB verwendet, da die entsprechende Sicherheitslücke genau hierauf aufsetzt. Somit wird also neben dem plötzlichen Auftreten von sehr vielen neuen Kommunikationsbeziehungen auch ein Protokoll massiv verwendet, das bisher typischerweise viel weniger oder gar nicht in Gebrauch war. Anhand der Kommunikation kann zudem ausgemacht werden, welches System von dem Virus befallen wurde. Im besten Fall kann hier also – eine entsprechend schnelle Reaktion vorausgesetzt – der Befall weiterer Systeme sowie eine Verschlüsselung des befallenen Systems verhindert werden. Im schlimmsten Fall muss nun lediglich der betroffene Industrie-PC neu aufgesetzt werden, ein kostspieliger Produktionsausfall lässt sich noch verhindern.

Es lohnt sich also, die IT-/OT-Sicherheit der gesamten Kommunikationsinfrastruktur in ihrem Gesamtkontext zu bewerten und durch ein sorgfältig abgestimmtes IT-Sicherheitskonzept (auch für die OT-Systeme) das Risiko durch die Vernetzung in einem wirtschaftlich sinnvollen Rahmen zu minimieren.

www.prozesstechnik-online.de

Suchwort: cav0519mdex


Autor: Dennis Paul

Bereichsleiter IoT-Projekte,

mdex

Anzeige

Powtech Guide 2019


Alles zur Powtech 2019. Jetzt lesen

Newsletter

Jetzt unseren Newsletter abonnieren

cav-Produktreport


Für Sie zusammengestellt

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Top-Thema: Instandhaltung 4.0

Lösungen für Chemie, Pharma und Food

Pharma-Lexikon

Online Lexikon für Pharma-Technologie

Prozesstechnik-Videos

Hier finden Sie alle aktuellen Videos

phpro-Expertenmeinung


Pharma-Experten geben Auskunft

Prozesstechnik-Kalender

Alle Termine auf einen Blick
Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de