Industrial IT-Security

Industrie- und Produktionsanlagen geraten immer mehr in den Focus von Cyber-Angriffen. Die Medien berichten beinahe täglich über die stark zunehmenden Cyber-Bedrohungen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI)  hat die zunehmende Bedrohungslage erkannt und gibt entsprechende Handlungsempfehlungen heraus.

… für viele eine ganz neue, möglicherweise auch unerwartete Herausforderung …

 

Ein neues Problemfeld tut sich auf …

Die technische Entwicklung bei IT-Systemen schreitet unaufhörlich voran. Daraus ergeben sich immer mehr neue und bessere Funktionalitäten, die auch in industrielle Produktionsanlagen Einzug halten. Gleichzeitig wird eine immer stärker werdende Vernetzung von IT-Systemen erforderlich, u.a. mit überlagerten ERP-Systemen, dezentralen Anlagenteilen, mobile Devices, Fernwartungszugängen usw. Dieses bringt für die Betreiber solcher Anlagen viele Vorteile mit sich, die mittlerweile unverzichtbar geworden sind.

Dadurch, dass diese Vernetzungen oftmals über öffentliche Netze wie das Internet, Telefonleitungen, Mobilfunkverbindungen o.ä. erfolgen, ergeben sich auch große Angriffsflächen für Schadsoftware und Hackerangriffe. Bestehende Prozessleit- und Steuerungssysteme sind jedoch nur für einen Betrieb in isolierten Netzwerken entwickelt und implementiert worden. Der heutigen Bedrohungslage durch Schadsoftware und Hackerangriffe sind diese Systeme in den aller meisten Fällen schutzlos ausgeliefert.  

Folgende Gefahrenquellen / Trends werden uns in Zukunft begleiten …

  • Systemkomplexität nimmt weiter zu
  • Die Summe der Einzelsysteme
  • Prozess-Netzwerkstruktur (z.B. Remotezugriffe von unterschiedlichsten Devices und Netzwerken heraus)
  • Ständig wachsende Anforderungen an die Funktionalitäten
  • Prozessnetzwerk wird mehr und mehr mit Office Netz verbunden
  • Angriffstools werden immer „Besser“
  • Finanzieller Wert eines Angriffs nimmt zu (Motivation)

An der Bedrohung können Sie nichts ändern - Schwachstellen können Sie jedoch vermeiden !

Jede einzelne problemlösende Maßnahme ist ein Schritt zu mehr Security !

Anforderungen an IT-Security-Lösungen im Produktionsumfeld

Am Markt verfügbare IT-Security-Systeme und -Konzepte lassen sich nicht ohne weiteres auf IT-Systeme von Produktionsanlagen übertragen. Hierzu müssen die spezifischen Anforderungen berücksichtigt werden, die bei Produktionsanlagen gegeben sind.

Anforderungen an Produktionsanlagen:

  • 24/7/365 Verfügbarkeit hat höchste Priorität
  • Permanente Bedienbarkeit
  • Garantierter Systemzugriff
  • Gesicherte System Performance
  • Datenübertragung in Echtzeit
  • System und Datenintegrität
  • Schutz vor Sabotage und Spionage
  • Know-How Schutz
  • Support über den gesamten Lebenszyklus der Anlagen

 

Besonderheit bei Produktionsanlagen

Für den Betrieb von IT-Systemen im Büro-Umfeld und in Produktionsanlagen gibt es einen gravierenden Unterschied bei den Anforderungen. Während bei der Business-IT die Vertraulichkeit die oberste Priorität genießt, stellt in Produktionsanlagen die Verfügbarkeit (24/7/365) die wichtigste Eigenschaft und Anforderung an IT-Systeme dar.

Anforderungen Business-IT:

1.Vertraulichkeit
2.Integrität
3.Verfügbarbeit

Anforderungen Industrial-IT:

1.Verfügbarbeit

2.Integrität
3.Vertraulichkeit

Existierende IT-Security-Systeme schränken bei Gefahr der Vertraulichkeit automatisch die Verfügbarkeit der zu schützenden Systeme ein. Bei Produktionsanlagen würde ein solcher Mechanismus unweigerlich zu Produktionsstillständen führen. Aus diesem Grunde müssen für Produktionsanlagen neue IT-Security-Lösungen und Konzepte entwickelt und kundenspezifisch implementiert werden.

Vergleich Business IT - Industrial IT

Business ITIndustrial IT
VirenschutzWeit verbreitetKompliziert, oft unmöglich
Lebensdauer3-5 Jahre5-20 Jahre
OutsourcingWeit verbreitetSelten
PatchmanagementOft, täglichSelten, benötigt Freigabe vom Anlagenhersteller
ÄnderungenHäufigSelten
ZeitabhängigkeitVerzögerungen akzeptiertKritisch

Verfügbarkeit

Ausfälle akzeptiert24x7
IT-Sicherheits-BewusstseinGutSchwach
SicherheitstestsWeit verbreitetSelten und problematisch
Physische SicherheitAbgesichert, bemanntGroßflächig, unbemannt

 

Problemfelder in der Praxis

 

Produktionsnetzwerke und ihre offenen Schnittstellen

  • Vernetzung zwischen Produktions-Netzwerken und Office-IT
  • Verbindungen zum Internet
  • Fernwartungszugänge
  • Offene Kommunikationsports in den Systemen

Lösungsansatz:

  • Produktions-Netzwerke „abschotten“
  • Zonenkonzept
  • Firewalls Hutschienenmontage einbauen
  • Fernwartungszugänge absichern
  • Offene Kommunikationsports aufspüren und zumachen
  • Kommunikation überwachen

 

USB-Schnittstellen und Wechselspeichermedien

  • USB- und Wechselspeicher-Medien sind eine oft unterschätzte Gefahr
  • Keine Verwaltung von USB-Medien im Betrieb
  • USB-Schnittstellen und Wechselspeicher an den meisten Rechnern offen
  • Eigene & externe Mitarbeiter können USB / CD / DVD uneingeschränkt nutzen
  • -> Produktionsdaten, Rezepte, Protokolle und Datenbanken kopieren
  • -> Datendiebstahl und Virusgefahr

Lösungsansatz:

  • Verwaltung von USB- und Wechselspeicher-Medien im Betrieb
  • Richtlinie für den Umgang mit USB- und Wechselspeicher-Medien einführen
  • USB- und Wechselspeicher-Schnittstellen kontrolliert absperren
  • Zutrittskontrolle und abgesperrte Server-und Schaltschränke

 

Faktor Menschen

  • Eigene Mitarbeiter und IT-Dienstleister haben Zugang zu den Produktionssystemen
  • Über Fernwartungssysteme haben Fremdfirmen Zugang zu den Produktionssystemen
  • -> Produktionsdaten, Rezepte, Protokolle und Datenbanken kopieren
  • -> Datendiebstahl und Virusgefahr

Lösungsansatz:

  • Verwendung hinreichend sicherer Authentisierungsmechanismen bei den IT-Systemen
  • Verbindliche IT-Security-Richtlinien erstellen und einführen
  • Mitarbeiter/innen schulen
  • Bewusstsein schaffen
  • Nur Fremdfirmen zulassen, die über eigene angemessene IT-Security-Richtlinien verfügen
  • Verfügbare Standards nutzen


Der Weg zu mehr IT-Security in Produktionsanlagen

Aufgrund der besonderen Anforderungen an IT-Security-Systemen in Produktionsanlagen bedarf es für die Einführung solcher Systeme einer gründlichen Planung vorweg. Alle einzuführenden Systeme müssen vorab auf ihre Eignung im Gesamtsystem und auf die Verträglichkeit mit allen Systemkomponenten und Schnittstellen der Produktionsanlage geprüft werden. In die Planung und Prüfung sollten die Systemspezialisten der einzelnen Produktionssysteme auf jeden Fall mit einbezogen werden.

Schritte zur Erhöhung der IT-Security

  • Erstellung einer umfassenden Bestandsdokumentation für alle IT-Systeme und IT-Komponenten im Produktionsumfeld
  • Erarbeitung von Risikoanalysen
  • Erstellung von Sicherheitskonzepten und konkreten Vorschlägen zur vorbeugenden Erhöhung der Sicherheit
  • Installation und Inbetriebnahme von Sicherheitslösungen für Produktions- und Infrastrukturanlagen
  • Service, Support und Beratung bei sicherheitstechnischen Problemen
  • Erstellung IT-Security-Richtlinien für Produktionsanlagen
  • Schulung und Sensibilisierung der Mitarbeiter für das Thema Industrial IT-Security
  • Einführung eines IT-Security-Management-Systems für Produktionsanlagen
  • Erarbeitung verbindlicher Richtlinien zur Auswahl von Fremdfirmen

 

Vorhandene Normen und Standards nutzen

Norm / Standard Inhalt:

  • BSI 100-1 Managementsystem für Informationssicherheit
  • BSI Empfehlung: IT in der Produktion - Industrial Control System Security
  • VDI /VDE 2182-1 bis 3 Informationssicherheit in der industriellen Automatisierung
  • ISO/IEC 27001 IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme - Anforderungen
  • IEC 62443-1 bis -4 „Industrial Network and System Security for industrial process measurement control“
  • ISA99 „Manufacturing and Control Systems Security“
  • NAMUR NA 115 IT-Sicherheit für Systeme der Automatisierungstechnik
  • ISO 9001:2008 Qualitätsmanagementsysteme

 

Investitionsgründe für Industrial IT Security Maßnahmen

Folgende Argumente sprechen für Investitionen in Maßnahmen zur Erhöhung der Industrial IT Security:

  • Produktionsausfall vermeiden, Schäden und Stillstände minimieren
  • Schutz von Firmengeheimnissen (Vermögenswerte) – Diebstahl vermeiden (Produktionsverfahren, Rezepturen, Kundendaten, Mitarbeiterdaten, etc…)
  • Gesetze und Richtlinien einhalten
  • Persönliche Haftung des Managements vermeiden wegen unzureichender IT Sicherheit
  • Überleben des Unternehmens sichern
  • Imageschaden vermeiden
  • Nichtversicherung vermeiden wegen unzureichender IT Sicherheit (Feuerversicherung, Betriebshaftpflicht, Haftung bei Lieferverzug, etc… )
  • Versicherungsprämien reduzieren mit Sicherheitszertifikaten (Elektronikversicherung, Datenträgerversicherung, Betriebsunterbrechungsversicherung)
  • Identifikation mit dem Unternehmen verbessern – Unternehmenskultur (Vorbildfunktion der Führungskräfte, Sensibilisierung der Mitarbeiter, mehr Verantwortung für das Unternehmen zeigen)
  • Sich positiv vom Wettbewerb absetzen – Vertrauen beim Kunden stärken - Erhaltung der Marktposition
  • Wachsende Bedrohungslage – nur eine Frage der Zeit – mehr Attacken = mehr Ausfälle
  • Risiko-Management einführen
  • Fehlersuche minimieren – Administratoren entlasten
  • Schwachstellen im Unternehmen reduzieren