Startseite » Chemie » Sicherheit (Chemie) »

Technische Maßnahmen zur Cybersecurity im Vergleich

Zusammenspiel erhöht Sicherheit
Technische Maßnahmen zur Cybersecurity im Vergleich

Technische Maßnahmen zur Cybersecurity im Vergleich
Nur durch das Zusammenspiel verschiedener Maßnahmen lässt sich Cybersicherheit erzielen Bild: Michael715@shutterstock.com
Cybersecurity gewinnt aufgrund der zunehmenden Bedrohungen wie auch der regulatorischen Vorgaben erheblich an Bedeutung. Dabei muss die IT-Umgebung ebenso wie das Umfeld industrieller Steuerungssysteme (ICS), also Büro- und Fertigungsbereich, betrachtet werden. Aber wo liegen der Nutzen und die Grenzen entsprechender Security-Produkte? Letztendlich bietet nur das Zusammenspiel mehrerer Maßnahmen die nötige Sicherheit.

Vorrangig gilt es in der Automatisierung die eigentliche Automatisierungsaufgabe zu lösen, folglich einen Prozess umzusetzen, ein Gerät zu montieren oder einen Wert zu messen. Doch immer mehr Funktionen werden durch Software umgesetzt und einzelne Systeme miteinander vernetzt. Eine solche Digitalisierung eröffnet viele Chancen, birgt allerdings ebenfalls Risiken. So kann es neben geplanten zu ungezielten Angriffen auf das Netzwerk kommen, etwa durch unerlaubte Zugriffe oder Schadsoftware sowie schlicht durch Fehlbedienung oder Fehlfunktion. Um diese Risiken zu adressieren, stehen in der Cybersecurity technische und organisatorische Maßnahmen zur Verfügung, mit denen Schäden verhindert oder zumindest eingedämmt werden sollen. Im Wesentlichen handelt es sich dabei um Methoden zur Begrenzung des Zugriffs, indem die Kommunikation oder Zugriffsrechte beschränkt werden, sowie um Ansätze zum Schutz der Integrität. Die einzelnen Maßnahmen ergänzen sich in ihrer Wirkung. Im Folgenden werden insbesondere technische Maßnahmen vergleichend diskutiert, die entweder durch spezialisierte Security-Produkte oder durch die in die Komponenten integrierten Security-Eigenschaften realisierbar sind.

Schutz vor einem unerlaubten Zugriff

Unabhängig davon, ob ein gezielter Angriff oder lediglich eine Fehlbedienung unterbunden werden muss, stellt der Zugriffsschutz das wahrscheinlich wichtigste Instrument der Cybersecurity dar. Er beginnt bei der physischen Absicherung vor einem unbefugten Zugang und setzt sich auf der Kommunikationsebene fort. Erhält der Angreifer keinen Zugriff auf das Netzwerk, ist das Schadenspotenzial offensichtlich deutlich geringer.

Schutz auf der Netzwerkebene

Als erste Verteidigungslinie zur Verhinderung eines unbefugten Eindringens über Kommunikationsverbindungen bietet sich die Verwendung von Firewalls an. Sie filtern die Kommunikationsverbindungen, sodass nur noch erlaubte Verbindungen aufgebaut werden können. Diese Filterung lässt sich entweder in ein Gerät integrieren oder durch eine dedizierte Firewall-Komponente im Netzwerk umsetzen. Eine eingebaute Firewall erweist sich in puncto Kosten als vorteilhaft, ist aber je nach Qualität der Implementierung des Hauptsystems anfälliger im Hinblick auf Angriffe. Sollen viele unterschiedliche Geräte mit integrierter Firewall genutzt werden, sind sämtliche Varianten zu administrieren und zu pflegen. Wird das Hauptsystem doch erfolgreich angegriffen, kann die Firewall ebenfalls unterwandert werden. Zudem erfordert die hochwertige Einrichtung einer Firewall eigene Kenntnisse, die bei den Entwicklern von Automatisierungskomponenten nicht immer verfügbar sind (Bild 1).

Eine dedizierte Firewall als externes Gerät bedingt eine zielgerichtete Investition, ermöglicht allerdings eine von den anderen Automatisierungskomponenten unabhängige Auswahl. Darüber hinaus ist eine zentrale Administration realisierbar. Das eigenständige Security-Gerät zeigt sich als robust gegenüber Schwachstellen in weiteren Automatisierungskomponenten. Es lässt sich patchen und updaten, ohne die Funktion des Gesamtsystems zu beeinträchtigen. Im Fall einer Überlastung des Netzwerks schützt die Firewall, da sie selbst die Last aufnehmen und die hinter ihr angeordneten Automatisierungskomponenten so abschirmen kann. Firewall-Geräte werden typischerweise von Spezialisten für den Zugriffsschutz entwickelt und lassen daher ein entsprechendes Qualitätsniveau vermuten (Bild 2).

Schutz bei Fernverbindungen

Fernverbindungen über das Internet sollten grundsätzlich verschlüsselt erfolgen, etwa über ein Virtual Private Network (VPN). Die zu diesem Zweck eingesetzten Protokolle sichern generell nicht nur vor dem Abfangen und Abhören von Informationen ab, sondern enthalten auch Mechanismen zum Schutz vor Manipulationen. Für die Umsetzung gilt hier ebenfalls, dass die Integration durch Software oder als bereits eingebaute Funktion Kostenvorteile eröffnet, während sich die Ausführung als dedizierte Komponente positiv auf die Qualität der Implementierung und der Administration auswirkt. In zahlreichen Lösungen sind die Funktionen eines VPN-Gateways und einer Firewall kombiniert, so auch bei den Security Appliances FL mGuard von Phoenix Contact (Bild 3).

Schutz auf Benutzerebene

Ist die Kommunikation durch eine Firewall erlaubt worden oder über einen lokalen Zugang möglich, sollte dieser durch eine Benutzeranmeldung geschützt sein. Es wäre lediglich zu überlegen, ob eine Ausnahme erteilt werden kann, sofern der Mitarbeiter sich nur Daten anzeigen lässt oder die Maschine bedient. Alle administrativen Zugänge sind jedoch abzusichern. Ein Benutzermanagement kann lokal stattfinden, ist dann aber schwer administrierbar. Als praktischer erweisen sich zentrale Managementsysteme. Unterstützt das Automatisierungssystem keine Zugriffssteuerung, kann eine dedizierte Firewall helfen, die vorher festgelegten Verbindungen lediglich in dem Fall durchzuschalten, wenn sich der Benutzer bereits an der Firewall angemeldet hat (Bild 4).

Schutz vor Malware

Sehr viele Schäden werden durch Malware wie Viren und Trojaner verursacht. Bei Malware handelt es sich um Software, deren Schadwirkung erst bei ihrer Ausführung eintritt. Der Schutz auf der Netzwerkebene oder durch die Zugriffssteuerung hat also nicht gewirkt. Um die Umsetzung der Malware dennoch zu verhindern, steht Antiviren-Software als klassisches Security-Produkt zur Verfügung. Ihre Qualität hängt allerdings von der Erkennungsrate und den regelmäßigen Updates ab. Dementsprechend wird neue Malware nicht eher detektiert, bis es erste Opfer gegeben hat. Die Anforderungen an die Rechenleistung und mitunter zu beobachtende Fehlerkennungen führen ferner zu Störungen bei den Automatisierungsanwendungen. Als besser geeignet zeigen sich Lösungen, die die Ausführung von unbekannter Software direkt unterbinden – Stichwort: Whitelisting – sowie insbesondere Automatisierungskomponenten mit eingebautem Integritätsschutz. Ein wesentliches Element ist hier ein sicherer Patch- und Update-Prozess, der nur die Installation von Originalsoftware oder -firmware zulässt, wie dies bei immer mehr Produkten von Phoenix Contact – etwa der Baureihe FL mGuard oder den PLCnext-Geräten – der Fall ist.

Entscheidender Komplexitätsgrad

Der Vergleich von integrierten Security-Funktionen mit spezialisierten Security-Produkten verdeutlicht, dass beide Konzepte ihre Stärken haben und sich bestenfalls ergänzen sollten. Eingebaute Funktionen erweisen sich speziell dann als sinnvoll, wenn beispielsweise die gesamte Applikation durch eine einzige Steuerung bedient wird, über die auch die Anbindung an das Internet erfolgt. Voraussetzung ist natürlich die notwendige Qualität der Automatisierungskomponente. Komplexere Systeme, die aus mehreren Geräten bestehen, werden besser durch spezialisierte Firewalls und VPN-Gateways angekoppelt. Die gleichzeitige Nutzung der in die Komponenten integrierten Security-Funktionen kann das Sicherheitsniveau weiter erhöhen. Ein eingebauter Schutz der Integrität – zum Beispiel über kryptografische Verfahren – entpuppt sich als effektiver als die nachträgliche Installation einer Antiviren-Software.

Phoenix Contact GmbH & Co. KG, Blomberg


Autor: Dr. Lutz Jänicke

Corporate Product &
Solution Security Officer,

Phoenix Contact


Security:   Ganzheitlicher Ansatz

Phoenix Contact steht seinen Kunden über die gesamte Prozesskette mit standardisierter Security zur Seite. Bei der Bestandsaufnahme und Bedrohungsanalyse bestehender oder geplanter Anlagen bilden individuelle Dienstleistungsangebote die Basis für die Umsetzung von Security-Konzepten. Darüber hinaus werden für verschiedene Branchen sichere Automatisierungslösungen zur Verfügung gestellt.

Zum Aufbau sicherer Netzwerke tragen nicht zuletzt die entsprechenden Security-Komponenten wie Firewalls und sichere Steuerungen des Unternehmens bei, die in Kombination mit den Sicherheitsfunktionen anderer Komponenten wirken. Vom sicheren Entwicklungsprozess bis zum kontinuierlichen Schwachstellenmanagement des Phoenix Contact PSIRT (Product Security Incident Response Team) ist Security dazu im kompletten Lebenszyklus der Produkte und Lösungen verankert. Erfahrung und Wertschöpfungstiefe unterstützen die Anwender ferner bei der Erreichung ihrer Security-Qualitätsziele.

Newsletter

Jetzt unseren Newsletter abonnieren

cav-Produktreport

Für Sie zusammengestellt

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Top-Thema: Instandhaltung 4.0

Lösungen für Chemie, Pharma und Food

Pharma-Lexikon

Online Lexikon für Pharma-Technologie

phpro-Expertenmeinung

Pharma-Experten geben Auskunft

Prozesstechnik-Kalender

Alle Termine auf einen Blick


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de