Vernetzung

Auf Sicherheit und Verfügbarkeit bei der Produktion achten

Die IT-Sicherheit erstreckt sich mit der Digitalisierung längst in die Fertigungshallen. Ein dediziertes Sicherheitskonzept ist gefragt: Industrielles Netzwerk-Monitoring kann bei der Inventarisierung und Überwachung der Produktions-IT unterstützen.

Martin Menschner CTO von Rhebo

Martin Menschner CTO von Rhebo, empfiehlt Netzwerk-Monitoring als adäquates Sicherheitswerkzeug für die Industrie.

Mit der Digitalisierung der Produktion wird deren IT offener für Fremdzugriffe sowie komplexer und heterogener im Aufbau. Für die Verantwortlichen bedeutet das, zwei bislang wenig berücksichtigte Problemfelder besonders ins Blickfeld nehmen zu müssen: So sollte die Produktions-IT in die Cybersicherheitsstrategie eingebunden werden, um Stillständen, Datendiebstahl, Sabotage und Manipulation auf Produktionsebene vorzubeugen. Auch ist es wichtig, technische Fehlerzustände wie Fehlkonfigurationen, Überlastzustände und Kommunikationsstörungen zu berücksichtigen, um die Produktions-IT hinsichtlich Stabilität und Verfügbarkeit zu schützen.

Anforderungen an die Industrie

Beide Problemfehler bedürfen im ersten Schritt einer vollständigen Inventarisierung der Assets in der Produktionsumgebung. Dazu gehören neben Geräten und deren Eigenschaften auch die bestehenden Verbindungen und Kommunikationsmuster. Mit diesem Wissen kann dann eine Risikoanalyse erfolgen, um über Sicherheitsmaßnahmen zu entscheiden und im Rahmen der kontinuierlichen Verbesserung zu prüfen. Im zweiten Schritt sollten die Verantwortlichen über alle Vorgänge in der Automatisierungstechnik und Produktions-IT informiert werden, die die Cybersicherheit oder Prozessstabilität gefährden.

Hintergrund ist, dass in Industrienetzwerken eine vorhersehbare und sich wiederholende Kommunikation vorherrscht. Starke Veränderungen sind in der Regel untypisch. Klassische Sicherheitswerkzeuge wie Firewalls und Intrusion-Detection-Systeme (IDS) kommen hier jedoch an ihre Grenzen. Zum einen fehlt ihnen der Blick in die Automatisierungstechnik, da sie ausschließlich an den Netzwerkgrenzen sitzen. Zum anderen analysieren sie die Kommunikation mehrheitlich signaturbasiert, d.h. sie erkennen ausschließlich Gefährdungen, deren Muster bereits bekannt sind. Gegenüber modernen Gefährdungsszenarien wie Zero-Day-Angriffen, Innentätern oder auch technischen Fehlerzuständen sind sie dementsprechend machtlos.

Diese Lücke kann laut des Bundesamts für Sicherheit in der Informationstechnik (BSI) durch ein Netzwerk-Monitoring mit Anomalieerkennung geschlossen werden. In ihrer „Empfehlung: IT in der Produktion – Monitoring und Anomalieerkennung in Produktionsnetzwerken“ argumentiert das BSI, dass beide Überwachungskonzepte in modernen Industrieunternehmen „zur Notwendigkeit in Bezug auf Prävention, Detektion und Reaktion“ relevant seien. Das Netzwerk-Monitoring überwacht die Kommunikation innerhalb der jeweiligen Netzwerkgrenzen und stellt damit den fehlenden Innenblick her. Zudem ergänzt es die signaturbasierte Analyse um eine verhaltensbasierte Analyse. Diese kann durch intelligente Lernmechanismen auch unbekannte Gefährdungen erkennen.

Dies ist ein Artikel aus unserer Print-Ausgabe 10/2019. Bestellen Sie ein kostenfreies Probe-Abo.

Anomalien sind vielfältig und versteckt

Die Wirksamkeit und Notwendigkeit eines industriellen Netzwerk-Monitorings bestätigen nicht zuletzt Ergebnisse aus Sicherheitsaudits sowie Langzeit-Monitorings, die Rhebo Industrial Network Continuity seit mehreren Jahren durchführt. Neben Gefährdungen in der Automatisierungstechnik identifizierte man Kommunikationsmuster, in denen es zu unerwarteten Veränderungen der Befehlshierarchie zwischen Geräten kam. Ein Gerät, das zuvor nur Befehle von der zentralen Steuerung erhalten hatte, sendete dann plötzlich selbst Befehle zurück und versuchte so, auf die zentrale Steuerung zu wirken. Neben diesen sicherheitskritischen Vorgängen beeinflussen auch technische Fehlerzustände die Stabilität. So können Hardware- und Software-Fehler oder Überlastzustände zu Verzögerungen in der Steuerungskommunikation führen. Insbesondere in Anlagen, in denen Echtzeitprozesse laufen, können diese zu Produktionsstörungen oder Ausfällen führen.

Beide Vorfälle werden durch Firewall und IDS nicht erkannt. Das industrielle Netzwerk-Monitoring dagegen erkennt solche Gefährdungen durch die verhaltensbasierte Überwachung der Kommunikation innerhalb der Netzwerkgrenzen und die Spezialisierung auf industriespezifische Kommunikationsmuster. Der Einsatz von Deep-Packet-Inspection-Technologie kann zudem Änderungen bis auf Wertebene der Telegramme identifizieren.

Das industrielle Netzwerk-Monitoring bildet somit eine maßgebliche Ergänzung zu den typischen Sicherheitsmechanismen wie Firewalls und IDS, um sowohl lückenlose Industrial Security als auch Anlagenverfügbarkeit in der Produktions-IT sicherzustellen.

Bildquelle: Rhebo

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok