Sicherheit in der Produktion
Maßgeschneiderte Schutzkonzepte
Sicherheitsvorfälle oder der Ausfall von IT-Systemen in modernen Unternehmen betreffen heute fast immer die Kerngeschäftsprozesse. Dies trifft nicht mehr nur auf die Office-Welt zu. Durch den Einsatz von IT-Standardkomponenten in der Produktionswelt sowie durch die Integration von Office-IT und Fertigungs- und Automationstechnik entstehen neue Bedrohungen mit immenser Sprengkraft, von denen einige bisher noch viel zu wenig bekannt sind.
Mit zunehmender Vernetzung industrieller Produktionsanlagen auf der Basis von Ethernet bis in
die Feldebene hinein steigt auch das Bedrohungsrisiko für die Automatisierungssysteme und
Produktionsanlagen. Bislang boten speziell diese Bereiche nur wenig Angriffsfläche, da häufig
proprietäre technologiespezifische Kommunikationsprotokolle eingesetzt und damit eng begrenzte "
Kommunikationsinseln" gebildet wurden. Durch die Vereinheitlichung der Kommunikationsinfrastruktur
wachsen diese Inseln jetzt allerdings zu Landschaften zusammen. Dies hat zur Folge, dass Störungen
und Bedrohungen nicht mehr lokal begrenzt sind. Aus dieser Situation entstehen Schwachstellen in
der Automatisierungstechnik, die bislang nicht vorhanden waren. Dazu gehört beispielsweise das
Auftreten von Fehlfunktionen, die durch Office-Schadsoftware verursacht werden. Zu den weiteren
primären Bedrohungen für den Produktionsbereich zählen Fehlbedienungen, hier unter anderem
unberechtigte Zugriffe oder Fehladressierungen sowie gezielte Angriffe.
Risiken durch unerwünschte Zugriffe
Eine der häufigsten Ursache für Störungen liegt in der Möglichkeit ungewollter oder
unberechtigter Zugriffe auf Systemkomponenten, etwa durch Fehladressierungen. Die Folgen dieser
Fehlbedienungen sind Fehlparametrierungen oder Fehlprogrammierungen – Problemstellungen, mit denen
Wolfgang Straßer, Geschäftsführer bei@-yet, im Rahmen seiner Beratungstätigkeit zunehmend häufiger
konfrontiert wird.
Im Unternehmensalltag kann es beispielsweise vorkommen, dass durch die unautorisierte
Integration eines externen Laptops in das Büronetzwerk große Teile der Produktionsumgebung lahm
gelegt werden. "Bei einem Vorfall dieser Art übernahm der Laptop die Funktion eines Servers,"
erklärt Wolfgang Straßer, "der mobile PC vergab unkontrolliert IP-Adressen und lastete schließlich
das gesamte Netzwerk aus – bis hin zur Produktion, da zu diesem Bereich keine logische Trennung
eingezogen worden war." Auch der Einsatz internetbasierter Dienste, zum Beispiel im Bereich
Fernwartung, birgt in einer einheitlichen Kommunikationsinfrastruktur Risiken. "So kann es
beispielsweise passieren, dass bei der Wartung einer Produktionsanlage mehr untersucht wird als
beauftragt," erörtert Wolfgang Strasser. "Ich habe tatsächlich erlebt, wie der Techniker eines
Herstellers per IP-Einwahl mit einem Leitstand verbunden war und von dort aus nicht nur seine
Arbeit erledigte, sondern sich auch im übrigen Firmen-Netzwerk umgesehen hat – er schaffte es bis
zum Kern des SAP-Systems."
Sichere Kommunikation in vereinheitlichten Netzen
Neben der optimalen immanenten Sicherheit der Systeme und Automatisierungskomponenten kommt
einem sicheren sowie transparenten Netzwerkdesign größte Bedeutung zu. Die zunehmende Integration
der Geschäftsprozesse durch IT-Systeme erzeugt ein gemeinsames Netzwerk, in dem alle
Unternehmenseinheiten logisch und oft sogar auch physikalisch eingegliedert sind. Hier ist ein so
genanntes Zonendesign notwendig, um zum einen den Schutz der unterschiedlichen Bereiche zu
gewährleisten und zum anderen diese sicher miteinander zu verbinden.
Im Zonendesign wird das Kommunikationsnetzwerk in mehrere Bereiche untergliedert. In jeder so
geschaffenen Zone laufen definierte Systeme mit festgelegten Diensten. Die übergreifende
Kommunikation wird durch die Definition von "Traffic Flows" festgelegt und dokumentiert, wobei
insbesondere der Übergang vom Büro- zum Produktionsnetzwerk einer methodischen Regelung bedarf, die
auch die Planung dedizierter Sicherheitsebenen umfasst, die sich etwa auf Router, Firewalls oder
IPS beziehen. Innerhalb der Produktion können weitere Sub-Zonen notwendig sein, beispielsweise um
besonders sensible Systeme möglichst zu isolieren.
Die technische Umsetzung von Lösungen zur Absicherung folgt letztendlich immer der individuellen
Situation sowie den Anforderungen der Unternehmen. "Security follows policy" gilt insbesondere auch
für die Zonensegmentierung der Netzwerke. Die Policy für die Regelung des Netzwerkverkehrs
beschreibt das, was technisch umgesetzt werden muss. Einer der ersten Schritte ist die Reflektion
der Ist-Situation und deren Beschreibung. Hier wird zum Beispiel festgelegt, welche
Geschäftsprozesse beteiligt sind, inklusive der Anforderungen in puncto Verfügbarkeit und
Schutzbedarf der Daten. Möglicherweise wird auch beschrieben, welche Systeme sich in den einzelnen
Bereichen (beispielsweise Logistik, Buchhaltung, Fertigung) befinden und wie diese miteinander
kommunizieren sollen (Protokolle, Datenaustausch, File Transfer). Daraus werden schließlich ein
genereller Kommunikationsplan sowie die Abbildung der einzelnen Zonen abgeleitet. Hierbei ist zu
beachten, dass die technische Planung und Architektur einerseits und die Definition der Richtlinie
andererseits voneinander zu trennen sind.
Wenn die Kommunikationsflüsse und die Zonen definiert sind, gilt es, eine Typisierung
vorzunehmen. Sie beschreibt auf allgemeinem Niveau, wie bestimmte Systeme und Dienste innerhalb der
Zonen und darüber hinaus kommunizieren. Das daraus resultierende Regelwerk hilft insbesondere im
laufenden Prozess, neue Systeme, Zonen oder Kommunikationsarten schnell und nach klaren Normen dem
Gesamtsystem hinzuzufügen.
Eine einzelne Zonendefinition enthält unter anderem folgende Parameter:
Betroffene Geschäftsprozesse,
Systeme/Anwendungen und Dienste sowie
Datenklassifizierung und Kommunikationsverbindungen (andere Zonen, externe
Verbindungen).
Zonenkonzepte als Erfolgsrezept
Für besonders sensible Zonen wie Personalbuchhaltung oder Produktion und für kritische
Datenübertragungen wie die von Steuerungsinformationen werden weitere Schutzmechanismen verwendet,
so zum Beispiel die Anbindung an eine sensible Zone über dedizierte Firewall und IPS oder das
Logging der Kommunikationsverbindungen.
Durch Zonenkonzepte sowie die Definition von Sub-Zonen und deren Absicherung kann auch eine
wesentliche Schwachstelle in Produktionsnetzwerken angegangen werden: Viele Komponenten können
nicht mit Sicherheitsmechanismen wie Security Patches, Firewall oder Antivirus ausgestattet werden,
da sie ansonsten die Freigabe beziehungsweise die Garantie des Herstellers verlieren würden. Die
Absicherungsmaßnahmen können konsequenterweise nur außerhalb der Automationsebene erfolgen, das
heißt um das System herum. Hierbei müssen die technischen mit den organisatorischen Aspekten in
eine Gesamtlösung integriert werden.
Das Verbinden der einzelnen Bereiche, die Integration der Prozesse und die Nutzung gemeinsamer
Komponenten bringt eine weitere Herausforderung mit sich: Die Betriebsprozesse, insbesondere das
Security Management, müssen sich über alle Teilbereiche erstrecken.
Für die IT und Produktionstechnik bedeutet das:
Die Rollen und Verantwortlichkeiten sind exakt definiert.
Übergabepunkte/Schnittstellen sind klar. Abhängigkeiten und kritische
Komponenten werden besonders fokussiert.
Planungs- und Veränderungsprozesse erfolgen abgestimmt.
Benachrichtigungswege sind definiert.
Synergien werden genutzt.
In kaum einem Unternehmen existiert eine "grüne Wiese" in Sachen Informationstechnik, denn die
Umgebungen – für die Office-IT gilt dies wie für die Produktionstechnik – sind jahrelang gewachsen.
Hinzu kommt, dass für die Einführung der notwendigen Veränderungen der produktive Betrieb nicht
unterbrochen werden kann. Beide Aspekte bieten aber keine Argumente dafür, die Arbeit an den
entsprechenden Sicherheitsmechanismen aufzuschieben.
Aus den Rahmenbedingungen lässt sich jedoch die bestmögliche Vorgehensweise ableiten: Planung
und Umsetzung von Sicherheitskonzepten sollten graduell erfolgen. Der erste Schritt ist eine
Analyse der aktuellen Situation, um Risiken transparent zu machen. Darauf baut ein Stufenplan auf,
an dessen Beginn die Definition einer Policy steht.
Die wichtigste Maßgabe allerdings ist organisatorischer Art: Die Verantwortlichen aus Produktion
und IT müssen an einen Tisch, denn diese Aufgabe ist nur gemeinsam zu lösen.
Lesen Sie mehr zum Thema
