Tief stehen in der Abwehr

Die Bedrohungen sind vielfältig, die Angriffsszenarien unterschiedlich: Um auf möglichst viele verschiedene Cybergefahren vorbereitet zu sein, basieren die Siemens Industrial Security Services auf der Defense-in-Depth-Strategie, das heißt einer tiefengestaffelten Verteidigung. Die Grundidee: Eine Reihe von Hürden macht es Angreifern so schwer wie möglich, in ein IT-System einzudringen – ähnlich einer Festung mit mehreren Verteidigungsringen.

Die erste Hürde hat weniger mit Informationstechnologien zu tun, als vielmehr mit physischer Anlagensicherheit. Hier stehen Zutrittskontrollen, insbesondere zu kritischen Komponenten wie Serverräumen, im Mittelpunkt. Die zweite Barriere sind klare Anweisungen und Richtlinien zur IT-Sicherheit. Schließlich können Securitylösungen nur dann reibungslos funktionieren, wenn die Mitarbeiter entsprechend sensibilisiert und geschult sind. Denn nicht jeder Angriff kommt von außen. Mitunter schleusen auch Mitarbeiter ungewollt Viren oder Trojaner durch infizierte USB-Sticks in das System ein.

Um Angriffe von außen frühzeitig abzuwehren, setzen die Siemens-Experten auf zwei Maßnahmen. Erstens wird das Automatisierungssystem in autarke Sicherheitszellen unterteilt. Zweitens wird ein sogenanntes Perimeter-Netzwerk (Demilitarized Zone) eingerichtet, das einen direkten Zugriff von außen auf das System verhindert. Firewalls und abgesicherte Verbindungen mit VPN-Tunneln sorgen für eine sichere Kommunikation nach außen und zwischen den einzelnen Sicherheitszellen. Denn: Jede Schnittstelle ist ein potenzielles Einfallstor für Hacker. Daher deaktivieren die Siemens-Experten im Rahmen der sogenannten Systemhärtung unbenutzte Ports oder Laufwerke und entfernen unnötige Software. Ein weiterer Hebel für mehr IT-Sicherheit ist eine stringente Benutzerverwaltung. Benutzerkonten müssen ebenso wie -rechte regelmäßig geprüft und aktualisiert werden. Dadurch soll sichergestellt werden, dass Anwender nur Zugriff auf die Informationen und Anwendungen haben, die sie tatsächlich benötigen. Ebenso unabdingbar ist das Einspielen von aktuellen Sicherheits- patches und Systemupdates.

Den innersten Verteidigungsring bildet das „Host Intrusion Detection System“: Es identifiziert Schadsoftware mit einer schwarzen Liste (Blacklisting) oder lässt nur Kommunikation mit erlaubten Programmen zu (Whitelisting). Zuletzt sind auch in den Automatisierungskomponenten selbst Sicherheitsmechanismen integriert. Besonders umfangreiche Sicherheitsfeatures bietet beispielsweise die neue Controller-Generation Simatic S7-1500: Das Konzept Security Integrated reicht von Bausteinschutz bis Kommunikationsintegrität und unterstützt den Anwender beim Sichern seiner Applikation. Integrierte Funktionen zum Know-how-Schutz, etwa gegen den Nachbau von Maschinen, unterstützen beim Schutz vor unberechtigten Zugriffen und Modifikationen. Beim Kopierschutz wird die Simatic Memory Card eingesetzt, auf der einzelne Bausteine mit der Seriennummer der Originalspeicherkarte verknüpft werden. Auch lassen sich zwecks Zugriffsschutz über Berechtigungsstufen unterschiedlichen Benutzergruppen separate Rechte zuordnen.

Auf Basis des Defense-in-Depth-Konzepts bietet Siemens umfassende und integrierte Industrial Security Services. Ausgangspunkt sind in der Regel „Security Audits“, bei denen die Fachleute die Anlagensicherheit analysieren und erste Empfehlungen aussprechen. Die dabei angebotenen Security Assessments können für komplette Anlagen oder nur für Teile, etwa für das Prozessleitsystem PCS 7 und das Visualisierungssystem WinCC, durchgeführt werden. Ob Firewall-Einrichtung, Systemhärtung oder Whitelisting: Mit standardisierten Security Packages hilft Siemens Unternehmen, identifizierte Schwachstellen gezielt zu reduzieren. Darüber hinaus erhalten Industriekunden mit den sogenannten „Security Managed Services“ umfassende, maßgeschneiderte Lösungen, mit denen sie Sicherheitsrisiken in ihren Anlagen minimieren.

Unabhängig von der jeweiligen Lösung ist stets zu beachten, dass Industrial Security kein fertiges Produkt, sondern ein Prozess ist, der gelebt werden muss – in allen Phasen des Lebenszyklus von Maschinen und Anlagen und von Mitarbeitern aller Ebenen.

Mit den Simatic Remote Services bietet Siemens Unternehmen im Automatisierungsbereich flexible und günstige Fernzugriffservices. Die Überwachung, Wartung und Instandsetzung von Maschinen und Anlagen über sichere Remote-Verbindungen hilft, Kosten zu sparen und die Produktivität und Effizienz nachhaltig zu steigern.

Das Modul „Reactive“ umfasst schnellen reaktiven Remote Support bei Störfällen, auch rund um die Uhr. Beim Modul „Managed“ steht ein fester Ansprechpartner zur Verfügung, der mit den Systemen, Technologien und Netzwerken des Anwenders bereits vertraut ist. Durch diese langfristige und enge Zusammenarbeit werden Servicevorgänge effizient und schnell durchgeführt. Das Modul „Preventive“ bietet zusätzlich vorbeugende Inspektionsleistungen für die eingesetzten Produkte und Systeme. Dadurch werden Schwachstellen frühzeitig aufgespürt und Wartungszeiten planbar gemacht. Für einen stets aktuellen Schutz vor Schadcode sorgt wiederum das Modul „Virus Protection“, das dem System neue Virensignaturen schnell zur Verfügung stellt. Mit dem Modul „Proactive“ werden die Automatisierungssysteme auf mögliche Betriebsbeeinflussung mithilfe eines Softwareagenten kontinuierlich überwacht. Die Siemens-Spezialisten des Technical Supports überprüfen und bewerten eingehende Tickets und starten gegebenenfalls die vereinbarte Supportaktion.

Die Voraussetzung für Simatic Remote Services ist eine entsprechende IT-Infrastruktur, mit der die Anlage vor Ort überwacht wird. Über eine gesicherte Verbindung werden die Daten an eine Siemens-Leitstelle übertragen, in der Experten aus der Ferne eine Analyse vornehmen und im gegebenen Fall korrigierend eingreifen können. Die Sicherheit der Remote-Anbindung wird durch eine zertifizierte Infrastruktur nach ISO 27001 sowie durch die zuvor beschriebenen strengen Sicherheitsstandards hergestellt.

prozesstechnik-online.de/cav0613427