Startseite > Office & Kommunikation > Vertraulich vernetzt

M2M-Sicherheit

Vertraulich vernetzt

16. Oktober 2015, 10:30 Uhr | Manfred Bauer, Regional Sales Manager und IOT Sales Lead, Cisco Deutschland

Fortsetzung des Artikels von Teil 2

Umfassende Sicherheitslösungen

Aufgrund der allumfassenden Vernetzung ist eine Absicherung der Verteil-, Betriebs- und Produktionsnetze auf ähn-lich hohem Niveau nötig wie heute bei IT-Netzen. Diese dienen aus zwei Gründen als Vorbild. Erstens besitzen die meisten Cyber-Kriminellen viel Erfahrung im IT-Bereich und passen im ersten Schritt ihre bekannten Angriffstaktiken nur leicht an die anderen Netze an, die ebenfalls zu weiten Teilen auf dem Internet-Protokoll basieren. Zweitens besitzen Sicherheitsexperten viel Erfahrung mit Angriffen aus dem Internet und können ihrerseits wiederum die Abwehrmechnanismen an die neuen Anforderungen anpassen. Dies bietet zumindest einen gewissen Grundschutz, der jedoch für die M2M-Kommunikation zu erweitern ist.

Das Ziel sollte eine Netzwerk-übergreifende End-to-End-Security sein, die vom IT- über das Produktions- und Verteilnetz bis zum einzelnen Industrie- und Netzwerk-Switch reicht. Doch dazu ist erst einmal eine enge Abstimmung zwischen der Unternehmens-IT und den verantwortlichen Fachabteilungs-, Betriebs- und Produktionsleitern nötig. Dieser scheinbar einfache organisatorische Prozess ist in vielen Unternehmen leider deutlich schwieriger zu realisieren als die Einführung der geeigneten technischen Lösungen.

Heute schon im Einsatz

Zudem sind die Realisierungsmöglich-keiten von durchgängigen Sicherheitslösungen von der Maschine bis hin zum Rechenzentrum oft gar nicht bekannt. Netzwerktechnologie kann nämlich schon heute durchgängig in den verschiedenen Architekturebenen eines Unternehmens eingesetzt werden. Das umfasst die maschinennahen Switch-Anbindungen auf Basis von Profinet bis hin zu den darüber liegenden Netzwerkarchitekturen. Dabei ist ein Ansatz nötig, der auch für kabellose und -gebundene Systeme einheitliche Sicherheitsrichtlinien und Management-Tools bietet. Zum Beispiel setzt bereits heute einer der führenden Lack-Produzenten im deutschen Mittelstand gehärtete Wifi-Lösungen ein, um eine durchgängige Kommunikation in den Werken zu ermöglichen.

Auch für die Fernwartung stehen bereits entsprechende Systeme zur Verfügung. So nutzt etwa ein führender Anbieter von Holzverarbeitungsmaschinen eine programmierbare Routerplatform in Kombination mit Sicherheitslösungen auf Basis etablierter IT-Technologien. Damit realisiert er einen Remote-Wartungszugangs zu Maschinen, die sich bei verschiedenen Kunden in der Produktion befinden.

Ausblick in die Zukunft

Unternehmen, die nicht in der IT-Branche tätig sind, sollten aber auch einen Blick auf die aktuellen Entwicklungen in diesem Bereich werfen. Schließlich sind die IT-Bedrohungen von heute die Gefahren für Produktions-, Betriebs- und Verteilnetze von morgen. Derzeit stehen die sogenannten Advanced-Persistent-Threats (APTs) im Vordergrund, die auf intelligente Weise gezielt Netzwerke angreifen und möglichst lange unentdeckt bleiben möchten.

Aktuelle Beipiele bilden die Attacken auf den Bundestag oder US-Behörden. Abwehren lassen sich diese Gefahren nur durch eine umfassende Threat-Intelligence (Informationen über Bedrohungen), die zuverlässig und konsistent die entsprech-enden Daten von vertrauenswürdigen Quellen sammelt. Diese Informationen sind kontextbezogen zu korrelieren, um die Schritte der Angreifer zu verstehen und angemessen darauf zu reagieren. Anhand dieser Erkenntnisse lassen sich schnell Anomalien und Bedrohungen von außen sowie Missbrauch von Netzwerken und Anwendungen durch interne Nutzer oder Geräte erkennen. Dazu dienen beim Ansatz Advanced-Threat-Protection (ATP) in die Netzwerk-Infrastruktur eingebaute Sensoren.

Mit integrierten Sicherheitsfunktionen können Netzwerke auch Richtlinien automatisieren und dynamisch durchsetzen. So lassen sich etwa Nutzer und Anwendungen im gesamten Netzwerk segmentieren, verdächtige Netzwerkgeräte blockieren sowie Zugangsrichtlinien für Router, Switches und WLAN-Controller modifizieren. Um die Maßnahmen nicht überzudimensionieren, werden sie anhand des kalkulierten Risikos festgelegt. Doch vor allem bei kritischen Infrastrukturen können kleine Ursachen große Wirkung haben, so dass im Zweifel die Sicherheit Vorrang besitzen muss – heute und auch in Zukunft.