End-to-End-Security in der M2M-Kommunikation
Sicherheit für die Netzwerkinfrastruktur
Die allgegenwärtige Vernetzung von Maschinen, Personen, Prozessen und Daten unter dem Begriff "Internet of Everything" (IoE) ist ein Dauerthema für Verantwortliche von IT-Infrastrukturen in sämtlichen Branchen. Der steigende Vernetzungsgrad zwischen den Maschinen bietet ein hohes Wertschöpfungspotenzial, führt gleichzeitig aber zu neuen Sicherheitsgefahren. Mit einer agilen, sicheren IT-Infrastruktur können Unternehmen vorbeugen.
Bis zum Jahr 2019 wird es weltweit 10,5 Milliarden Maschine-zu-Maschine-(M2M-)Verbindungen geben. Damit wachsen sie auf mehr als das Dreifache im Vergleich zu 2014, als es 3,3 Milliarden M2M-Verbindungen gab. Dies prognostiziert etwa der "2015 Cisco Visual Networking Index (VNI) Forecast". Während der Großteil dieser Verbindungen Privatanwendungen wie Heimvernetzung oder Connected Cars ermöglicht, stellt die industrielle Produktion einen interessanten Anwendungsbereich für Unternehmen dar, der allerdings auch sehr sensibel ist. Denn Angriffe auf deren M2M-Strukturen können zu empfindlichen Ausfällen und großen Schäden führen, im schlimmsten Fall sogar zur Gefährdung von Menschenleben.
Die steigende Gefahr liegt daran, dass in flexiblen M2M-Infrastrukturen einerseits Industrie-4.0-Switches die Fertigungsstraßen mit übergeordneten MPLS-Netzen verbinden. Andererseits ist dank konvergenter Netzwerkarchitekturen die IT mit Betriebs-, Verteil- und Produktionsnetzen vernetzt. Die höhere Flexibilität und Mobilität der modernen M2M-Kommunikation lässt jedoch weder eine Abschottung noch streng vorgegebene Sicherheitsmaßnahmen mehr zu. Eine Freigabe nur weniger festgelegter Ports an den Geräten oder die Kontrolle des ausgehenden und eingehenden Datenverkehrs an der Netzwerkperipherie sind immer schwieriger möglich. So können durch die allgegenwärtige Vernetzung IT-Angriffe relativ einfach aus dem Internet über die Office-IT-LANs auf die Produktionsnetze gelangen.
Gegen diese Gefahr bieten nur umfassende Sicherheitslösungen Abhilfe, die von der Maschine über die Anbindungen bis hin zum Rechenzentrum reichen. Um dafür ein funktionierendes System aufzubauen, ist jedoch ein Ansatz zu wählen, der für kabellose wie kabelgebundene Systeme einheitliche Sicherheitsrichtlinien sowie Management-Tools bietet - und so die IT-Infrastruktur für die Herausforderungen der Industrie 4.0 vorbereitet. Entsprechend sollten Fertigungsunternehmen durchgängige Architekturen einführen, die Informations- mit Betriebs- und Anlagentechnik verbinden - interoperabel und offen für Lösungen anderer Hersteller. Schließlich lassen sich nur mit flexiblen Ansätzen die Anforderungen von Industrie 4.0 erfüllen wie individuelle Produktion, umfassende Datensicherheit, proaktive Wartung von Maschinen, sichere Fernwartung sowie die Unterstützung mobiler Lösungen.
Individuelle Produktion
Das zentrale Ziel von Industrie 4.0 ist die Flexibilisierung der Produktion bis hin zur individuellen Herstellung von Einzelstücken. Durch eine weitgehend automatisierte computerbasierende Steuerung kann das Unternehmen die Produktion jederzeit an neue Anforderungen anpassen. Zudem lässt sich bei Ausfall einer Maschine die Produktionslast auf andere Maschinen umleiten. Entsprechend setzen führende Unternehmen, beispielsweise in der Antriebstechnik, im Maschinenbau und in der Lebensmittelproduktion bereits Industrie-Switches ein, die durchgängige konvergente Netzwerklösungen ermöglichen, um die Verteil-, Betriebs- und Produktionsnetze mit den IT-Netzen zu verbinden.
Da Letztere jedoch in der Regel mit dem Internet verbunden sind, wird die Flexibilität durch eine höhere Gefahr erkauft, nämlich dem möglichen Eindringen von Schadprogrammen in die Fertigung. Entsprechend müssen Unternehmen auch in ihren Produktionssystemen Sicherheitslösungen wie Antivirensoftware, Zugriffsschutz mit Whitelists, Netzwerksegmentierung oder Containerlösungen einsetzen. Jedoch stehen diese nicht für alle Fertigungssysteme zur Verfügung. Speziell bei selten genutzten oder veralteten Maschinen sind eigene Security-Lösungen - wenn möglich gemeinsam mit dem Hersteller - zu entwickeln oder die Systeme auszutauschen.
Umfassende Datensicherheit
Die Vernetzung von Produktion und zentralem Rechenzentrum erfordert also eine ähnlich starke Absicherung der Verteil-, Betriebs- und Produktionsnetze wie es bei IT-Netzen üblich ist. Dazu dient ein netzwerkübergreifender Ansatz für End-to-End-Security, der vom IT- und Produktionsnetzwerk bis zum einzelnen Industrie- und Netzwerk-Switch reicht. Nur damit lassen sich etwa hohe Produktionssicherheit, Datenschutz, Wahrung des guten Rufs, Schutz geistigen Eigentums sowie die Vermeidung von Schadenersatzforderungen und Kostenausfall erreichen.
Doch in der Praxis arbeiten die Verantwortlichen der Unternehmens-IT nur selten mit den Betriebs- und Produktionsleitern zusammen. So kennen die einen nicht die speziellen Anforderungen in der Fertigung und die anderen nicht die aktuellen Möglichkeiten zu deren Absicherung. Doch schon heute gibt es durchgängige Sicherheitslösungen von der Maschine bis hin zum Rechenzentrum, die sich in den verschiedenen Architekturebenen einer Fabrik einsetzen lassen - von maschinennahen Switch-Anbindungen auf der Basis von Profinet bis hin zu den darüberliegenden Netzwerkarchitekturen.
Proaktive Wartung von Maschinen
Proaktive Wartung ("Predictive Maintenance") erfordert die Einbindung der Anlagenbauer in die IT- und Sicherheitsstrategie des Fertigungsunternehmens. Als technische Basis ist dabei eine performante und ständig verfügbare Router-Plattform zur Übertragung der Sensordaten in das Rechenzentrum nötig. Als Alternative gibt es frei programmierbare Router-Plattformen, die die Daten schon auf dem Netzwerkgerät analysieren und aggregieren, um die Reaktionszeit zu verkürzen.
So nutzen beispielsweise Hersteller von Windkraftanlagen bereits eine programmierbare Router-Plattform, die vor Ort Daten sammelt und diese zur Auswertung an ein entferntes Rechenzentrum sendet. Dafür kommen intelligente Router zum Einsatz, die neben den klassischen LAN-Netzwerkverbindungen auch M2M-Prozesse auf der Basis von 3G/4G-Netzen unterstützen. Der Datentransfer muss aber mit entsprechenden Sicherheitsvorkehrungen geschützt sein - etwa VPN-Tunnel oder bei sensiblen Daten auch Verschlüsselung. Zudem sollten redundante Netzwerkleitungen zum Einsatz kommen, um Ausfälle zu kompensieren.
Remote Support durch Techniker
Ähnliche Herausforderungen und Lösungen gibt es bei der Fernwartung durch interne oder externe Techniker. Doch neben den bereits angesprochenen Sicherheitsmaßnahmen sind dabei noch weitere einzusetzen. So sollten vor allem externe Techniker nicht auf alle Daten der Produktionsumgebung zugreifen können. Entsprechend ist ein Access-Management für sensible Systeme erforderlich, das eine strenge Identifizierung und Zwei-Faktor-Authentifizierung der Nutzer erfordert.
Eine weitere potenzielle Sicherheitsgefahr stellt das Aufspielen von Updates oder Patches auf die Maschinen dar. Vor allem wenn diese aus dem Internet geladen wurden, können sie Schadsoftware enthalten oder fehlerhaft sein. So sollten dort Antivirenlösungen zur Überprüfung der Software sowie Containersysteme zum Einsatz kommen - ähnlich wie bei den bekannten USB-Sticks der Vor-Ort-Techniker.
In der Fertigung kommen zunehmend auch mobile Lösungen zum Einsatz. Dazu gehören zum Beispiel Apps für Techniker und Produktionsleiter, die den aktuellen Status der Maschinen oder der Fertigung anzeigen, sowie mobile Roboter für Logistikaufgaben. Die Unabhängigkeit von Kabeln ermöglicht eine noch flexiblere Vernetzung, vermeidet Installationskosten und erweitert den Aktionsbereich von Menschen und Maschinen. Dies erfordert aber eine Architektur, die einheitliche Sicherheitsrichtlinien und Management-Tools für kabellose und kabelgebundene Systeme bietet. Schließlich dürfen die mobilen Systeme nicht außerhalb der Security-Maßnahmen stehen oder zu Schwachstellen durch eine unzureichende Konfiguration führen.
Fazit
Mit einem umfassenden Sicherheitsansatz können Fertigungsunternehmen über alle Netzwerke hinweg Richtlinien automatisieren und dynamisch durchsetzen. Damit lassen sich zum Beispiel Nutzer und Anwendungen segmentieren, Maschinen mit verdächtigen Werten ausschalten oder Zugangsrichtlinien für Router, Switches und WLAN-Controller modifizieren. Dabei sollten die Unternehmen auch aktuelle Entwicklungen im IT-Bereich berücksichtigen, die bereits heute die Fertigung betreffen können. Dazu zählen Advanced Persistent Threats (APTs), die auf intelligente Weise gezielt Netzwerke angreifen, um Daten auszuspähen oder Systeme lahmzulegen. Aber auch die zunehmende Gefahr durch Ransomware zur Lösegelderpressung sollten Unternehmen nicht unterschätzen. Abwehren lassen sich solche Angriffe nur durch eine umfassende Threat Intelligence, die aktuelle Daten zu Bedrohungen von vertrauenswürdigen Quellen sammelt und kontextbezogen korreliert. Anhand dieser Erkenntnisse sowie in die Netzwerkinfrastruktur eingebaute Sensoren sind Gefahren von außen und innen schnell zu erkennen und zu beheben.
Lesen Sie mehr zum Thema
