IT-Security in der Anlagenautomation

Autor / Redakteur: Prof. Rolf Lanz, Berner Fachhochschule / Silvano Böni

Die Bedrohungen aus dem Internet auf Produktionsanlagen sind äusserst vielfältig und nehmen in allen Bereichen stetig zu. Nur mit zusätzlichen Massnahmen im OT-Bereich lassen sich die aktuellen Gefahren auf ein tragbares Mass reduzieren.

Firmen zum Thema

Notwendige vertikale und horizontale Segmentierung in OT-Netzwerken.
Notwendige vertikale und horizontale Segmentierung in OT-Netzwerken.
(Bild: BFH)

Lange Zeit nutzten industrielle Produktions-Anlagen eigenständige und zum Teil proprietäre Protokolle. Die Anlagen waren meist gegenüber dem Firmennetz getrennt und so vom Rest der Welt isoliert. Dies garantierte bezüglich der IT-Security eine genügend hohe Betriebssicherheit.

Heute nutzen nahezu alle aktuellen Anlagekomponenten internetfähige Protokolle und sind gut für Industrie 4.0 vorbereitet. Eine vollständige Trennung vom Internet ist kaum mehr umsetzbar. Spätestens mit den nächsten Schritten Richtung I4.0 wird eine Kopplung mit dem Internet unausweichlich. Dies bedingt zusätzliche Aufwendungen zum Schutz der Produktionsanlagen. Dabei gelten im Wesentlichen dieselben Regeln und Vorgehensweisen zur Minimierung der Gefahren wie in anderen Bereichen des Internets. Die in den letzten Jahrzehnten gewonnenen Erkenntnisse bei der Anbindung eines Firmennetzes an das Internet sind heute in geeigneter Form auf die Anlageautomation anzuwenden.

Neben den bereits vorhandenen und gelebten physikalischen Zutrittsbeschränkungen gilt es auch zu garantieren, dass Aussenstehende keinen Zugriff über das Internet auf einzelnen Anlagekomponenten erhalten.

Zur Verbesserung der IT-Sicherheit sind folgende Massnahmen umzusetzen:

  • Trennen der Anlagehierarchien (vertikal) durch Firewalls, die alle benutzten Protokolle kennen und ausschliesslich die zwischen zwei Hierarchie-Ebenen benötigten Protokolle durchlassen. Dies garantiert eine effiziente und sichere Kommunikation unter den einzelnen Hierarchieebenen.
  • Isolation der benachbarten Anlagekomponenten (horizontal) gegeneinander. Das heisst, jedes aktive Gerät ist mit einer geeigneten lokalen Firewall oder einer vorgelagerten HW zur Filterung unerlaubter Protokollelemente auszustatten. Bei Systemen auf der Basis von weit verbreiteten Betriebssystemen (zum Beispiel Linux) kann dies rein softwaremässig erfolgen. Für alle anderen Systeme haben die aktiven Netzwerk-Komponenten (Switches) diese Funktion pro Anschluss-Port zu erfül­len.
  • An zentralen Punkten ist die gesamte Kommunikation der Anlagen mit Unterstützung eines IDS (Intrusion Detection System) oder eines IPS (Intrusion Protection System) zu überwachen und in ein vorhandenes SOC (Security Operation Center) zu integrieren.
  • Sobald es der Betrieb und allfällig ein­zuhaltende Regulatorien ermöglichen, sind alle Anlagekomponenten mit den aktuellsten, verfügbaren Security-Patches auszu­statten. Dies gilt sowohl für App­likationen, Betriebssysteme und deren Komponenten wie auch für die Firmware und alle benötigten Treiber. Sollten diese Massnahmen nicht in regelmässigen Abständen möglich sein, ist von einer Anbindung der Produktionsanlage ans Internet oder einer Kopplung mit dem Firmennetz abzusehen.

Durch eine gezielte, auf die Anlagen und Ihr Umfeld angepasste kontinuierliche Verbesserung der IT-Security lässt sich die Sicher­heit der Produktionsanlagen mit vertretbarem Aufwand stets der aktuellen Bedrohungslage gerecht anpassen. Die zusätzlich hierfür notwendigen Aufwendungen sind dabei immer einem möglichen Verlust durch das erhöhte Risiko eines Produktionsausfalls gegenüberzustellen.

(ID:47583070)