Die Lücken sind groß: „Viele OT-Systeme wurden über Jahre ohne Sicherheits-Updates betrieben. Das war unproblematisch, solange keine Verbindung zum Internet bestand“, so Endian CEO Raphael Vallazza. „Mit der Einführung der Smart Factory werden diese OT-Systeme mit der IT vernetzt und bieten damit schlagartig eine breite Angriffsfläche über Sicherheitslücken, die eigentlich längst gepatcht sein müssten.“
Ein weiteres Risiko ist die exponentiell wachsende Zahl der vernetzten Geräte und die damit verbundene Komplexität der Netzwerke, besonders vor dem Hintergrund des anhaltenden IT-Fachkräftemangels. Außerdem verschwimmen die Unternehmensgrenzen immer mehr, bedingt durch das Konzept der Fernwartung sowie dem anhaltenden Home-Office-Trend. „Jedes internetfähige Gerät, das beispielsweise von Besuchern oder Mitarbeitern ins Unternehmen gebracht wird, kann sich verbinden und ein potentielles Risiko darstellen“, so Vallazza. “Die Smart Factory braucht ein ganzheitliches Sicherheitskonzept, das alle Risiken berücksichtigt“.
Geräte sicher vernetzen
Die Digitalisierung einer Fabrik startet nicht bei „Null“. Meistens müssen auch Maschinen vernetzt werden, die noch auf veralteten Betriebssystemen basieren. In diesem Fall ist es empfehlenswert, die Verbindung zum Internet über ein IoT-Security-Gateway herzustellen, wie beispielsweise das Endian 4i Edge X. Es verfügt nicht nur über die erforderlichen Konnektivitätsoptionen sondern ist gleichzeitig mit zahlreichen IT-Sicherheitsfunktionen ausgestattet, wie Firewall, Deep Packet Inspection (DPI), Intrusion Detection System (IDS) und Intrusion Prevention System (IPS) sowie VPN. Indem es vor die Maschine geschaltet wird und die eingehenden Datenströme analysiert und filtert, sorgt es auch bei älteren Anlagen für ein aktuelles Sicherheitsniveau.
Visualisieren und segmentieren
Voraussetzung für ein ganzheitliches Sicherheitskonzept ist es, den Überblick zu behalten und zwar über alle im Netzwerk verbundenen Geräte, ihre Verknüpfungen miteinander und die regulären Datenströme. Netzwerkvisualisierung ist hier das Stichwort und mittlerweile gibt es für diesen Zweck Software, die alle Geräte automatisiert erkennt und die Verbindungen grafisch darstellt. Ist der Normalzustand bekannt, lassen sich Angriffe mittels einer automatisierten Anomalieerkennung frühzeitig identifizieren.
Auf Basis der Netzwerkvisualisierung sollte im nächsten Schritt die Netzwerksegmentierung erfolgen. Dafür werden Bereiche mit einem vergleichbaren Sicherheitslevel bestimmt und über IoT-Gateways voneinander abgetrennt. Sollte ein Angreifer die Firewall überwinden, beispielsweise über gestohlene Zugangsdaten, so kann das IDS/IPS die Unregelmäßigkeiten im Datenverkehr erkennen und den Angriff stoppen.
Nicht zuletzt müssen beim Aufbau der Sicherheitsarchitektur die rechtlichen Standards Berücksichtigung finden. Der Branchenstandard IEC 62443 beschreibt Anforderungen im Hinblick auf Technik und Prozesse für die Sicherheit bei industriellen Kommunikationsnetzen. Er fordert eine klare Segmentierung der einzelnen Produktionsbereiche. Nach Möglichkeit stellt jede einzelne Produktionslinie oder -zelle ein eigenes Segment dar. Darüber hinaus müssen Unternehmen eine Multi-Faktor-Authentifizierung etablieren, Daten verschlüsseln und die Zugriffsberechtigungen von Benutzern oder Benutzergruppen verwalten. Auch die Vorgaben der Datenschutzgrundverordnung müssen berücksichtigt werden und, je nach Branche, die der NIS2-Regelung und der KRITIS-Vorschriften.
Zentrales Management der Anlagen
Mit der sicheren Vernetzung der Anlagen ist die Basis für ein ganzheitliches Sicherheitskonzept gelegt. Mindestens genauso wichtig ist im Anschluss die zentrale Verwaltung aller Anlagen über eine einzige IoT-Plattform. Auf diesem Weg lassen sich die angebundenen IoT-Gateways jederzeit mit den notwendigen Sicherheitsupdates versorgen, um die verbundenen Anlagen zu schützen.
Über diese zentrale IoT-Plattform lassen sich idealerweise auch granulare Rollen und Berechtigungen einrichten und in Echtzeit verwalten. Damit können Unternehmen festlegen, wer welche Aktionen auf einer Maschine durchführen darf oder Einblick in bestimmte Daten erhält. Die Nutzungsrechte sollten nach dem „Least-Privilege-Prinzip“ vergeben werden, was bedeutet, dass jeder Nutzer nur so wenig Rechte wie nötig erhält.
Durch ein Zero-Trust-Konzept wird das Sicherheitsniveau beim Zugriff auf die Systeme nochmals verbessert. Jeder einzelne Zugriff, ganz gleich, ob er innerhalb oder außerhalb des Unternehmens erfolgt, braucht eine eigene Berechtigung.
Edge Computing
Edge Computing steht für eine Datenverarbeitung möglichst nahe an dem Ort, wo sie entstehen. Je weniger Daten über das Internet versendet werden, desto geringer ist die Wahrscheinlichkeit, dass sie abgefangen oder manipuliert werden. Leistungsstarke industrielle IoT-Gateways bieten dafür ausreichend Rechenkapazität und eine Möglichkeit, Daten zwischenzuspeichern, falls die Verbindung unterbrochen wird.
Sofern die IoT-Gateways auch für den Einsatz von Docker Containern vorgesehen sind, können Unternehmen ihre individuellen Anwendungen auf den IoT-Gateways ausführen. Hat eine Niederlassung beispielsweise eine Software zur Datenverarbeitung entwickelt, lässt sie sich einfach und schnell per Docker-Container und über die zentrale IoT-Plattform an alle anderen Standorte verteilen.
Mitarbeiter einbinden
Am häufigsten kommt Schadsoftware nach wie vor per E-Mail ins Unternehmen. Angreifer setzten darauf, dass im hektischen Arbeitsalltag auf einen infizierten Anhang oder Link geklickt wird und sind damit viel zu oft erfolgreich. Künstliche Intelligenz in Sprachanwendungen wird zukünftig dafür sorgen, dass Phishing-Mails immer schwerer zu erkennen sind. Unternehmen sind deshalb trotz aller technischen Vorsichtsmaßnahmen gefordert, ihre Mitarbeiter permanent zu schulen und in Sachen IT-Sicherheit weiterzubilden. Auch ein vertrauensvolles Arbeitsklima und eine offene Fehlerkultur leisten einen wichtigen Beitrag zu einem höheren Sicherheitsniveau.
