- accessec GmbH

Praxis und Anwendungen
Industrial Security: Haben alte Konzepte ausgedient?
Sicherheit ist
Einstellungssache
Sebastian Rohr, technischer Geschäftsführer, accessec GmbH
Nicht ohne Grund stehen beim Hightech-Projekt „Industrie 4.0“ auch Fragen der Datensicherheit im Raum. Viele Unternehmen sehen sich mittlerweile mit Angriffen sowohl von
außen, aber auch aus den eigenen Reihen konfrontiert. Sind die seit Jahren angewandten
Sicherheitskonzepte in der industriellen Fertigung und der Prozessindustrie angesichts der
4. Industriellen Revolution haltbar? Zwei wesentliche Aspekte illustrieren die besonderen
Anforderungen an moderne Sicherheitskonzepte.
s ist nach wie vor üblich, dass Industriekonzerne zur Abfederung von Lastspitzen oder
als durchweg arbeitsteilige Strategie einzelne Prozess- oder Produktionsschritte an Dienstleister oder Anlagenbetreuer wie etwa Lohnabfüller auslagern. Ähnlich wie bei den bereits hoch
integrierten Just-in-time oder Just-in-Sequence Modellen,
ist eine mehr oder weniger enge Verknüpfung der Logistikkette von Hersteller und Zulieferer oder eben Auftraggeber und Lohnfertiger erforderlich. Dabei werden in
der Regel große Datenmengen ausgetauscht, dies erfolgt
regelmäßig im Rahmen fester Vertragswerke und enger
Verknüpfung der Partner sowie – hoffentlich – unter
Einhaltung der jeweils geltenden Sicherheitsregelungen
der Partner. Nahezu jeder große Konzern hat hierfür,
quasi parallel zu seinem globalen Corporate Network,
ein Partner/Supply-Chain Network aufgebaut, an dessen
Anschluss und Teilnahme eine Reihe von Anforderungen
geknüpft sind. Historisch wurden sowohl beim Design
dieser Netze als auch bei der Gestaltung der Regelwerke
und Verträge nur ein Mindestmaß an Sicherheitsanforderungen betrachtet. Es bestehen zwar Policies und
unterschriebene Vereinbarungen. Doch deren Einhaltung oder gar die bloße technische Umsetzbarkeit beim
Partner werden höchstens zum Abschluss des Vertrages
einmal geprüft. Unternehmen fehlt oft die Zeit, im Rahmen regelmäßiger Audits die bestehenden Regelungen
zu überprüfen oder eine Re-Zertifizierung der Mitarbeiter
für den Zugriff vorzunehmen. Auch die durchgängige
Überwachung des Datenverkehrs findet vielerorts höchstens über eine Firewall statt.
Wir führen Sie aus der Grauzone theoretischer Sicherheit
die Ihre IT wirklich schützen.
IT-Sicherheitsanalyse
Penetration Testing
Secure Architecture
Cryptographic Engineering
Praxis und Anwendungen
Zunehmende Vernetzung
sicher gestalten
Derzeit ist die vierte industrielle Revolution in vollem
Gang. Abläufe sollen so flexibel wie möglich und Konfigurationen just-in-time durchgeführt werden können.
Das wird nur durch eine noch höhere allumfassende
Vernetzung bis in das letzte System der Lieferkette und
in den letzten Sensor und Aktuator der eigentlichen Fertigung hinein gehen. Schon heute müssen die Anforderungen generalstabsmäßig geplant und dabei die bereits
gesammelten Erfahrungen mit der lokalen Vernetzung
eingearbeitet werden. Für jeden potenziellen Teilhaber
der vernetzten Industrie 4.0 wird es unerlässlich sein,
seine interne Sicherheitsorganisation, seine Policies und
Prozesse auf die weitergehende Öffnung vorzubereiten.
Nach Einzug der Speicherprogrammierbaren Steuerungen (SPS, englisch PLC) im Rahmen der Dritten industriellen Revolution wurde vermehrt auf die lokale Vernetzung und gemeinsame Überwachung der Komponenten
gesetzt. Gerade Prozessindustrie und Massenfertigung
sind schnell dazu übergangen, zentralisierte Leitstände
und auf Linienebene verknüpfte Produktionszellen zu
etablieren, was mit einer weitergehenden Vernetzung
einherging. Der vorgebliche Bedarf des mittleren und
oberen Managements, nahezu in Echtzeit den Status
der Fertigungsprozesse zu überwachen, führte zur Verknüpfung der sogenannten Office IT mit den Netzen der
Produktion.
Industrial Security Management und Office IT
Hier ein einheitliches Sicherheitsmanagement aufzubauen, bereitet den Verantwortlichen schon heute Kopfschmerzen. Ein Großteil der im Betrieb befindlichen
Anlagen, Systeme und Komponenten der Industrie 3.0
sind nicht für eine solche übergreifende Vernetzung
ausgelegt. Oft scheiterten Ansätze, in denen wohlmeinende Sicherheitsexperten aus dem Lager der Office IT
ihre anscheinend erprobten und stabilen Lösungen im
Produktionsumfeld einsetzen wollten. Doch schon die
teilweise fragilen TCP/IP Stacks der Steuerungsrechner
Spätestens mit „Industrie 4.0“ verliert das Industrial Security Management endgültig die Berechtigung, sich autark
von den Konzepten und Policies der Office IT-Security
zu bewegen. Zwar ist es weiterhin zwingend erforderlich,
den besonderen Gegebenheiten der Automatisierung
und der Steuerungskommunikation Rechnung zu tragen, aber durch die Adaption von IPv6 in Sensornetzen
und die Migration auf Industrial Ethernet fallen weitere
Besonderheiten weg, die Schutz durch ihre Andersartigkeit geboten haben. Umso mehr ist nun der Dialog und
die enge Zusammenarbeit mit den IT-Sicherheitsorganisationen der Office IT zwingend erforderlich, um Widersprüche und Kompetenzrangeleien auszuräumen. Die
accessec-Berater empfehlen dabei unter anderem, die
folgenden Aspekte zu beachten und Aufgaben zu lösen:
Harmonisierung und ggf. Zusammenführung der
Berichtslinien (Shopfloor Security/IT-Security)
Engere Zusammenarbeit mit der Netzwerkarchitektur und -Planung
Erstellung und Festsetzung rechtlicher Rahmenbedingungen und Vertragswerke für die Teilnahme an
Verbundnetzen und Clustern der Industrie 4.0
Besonderer Fokus auf die globale Vernetzung,
Zugänge und Gateways für Industrial IT
Direkte Einbeziehung der Produktions-IT bei Themen des Identity&Access Management
Nutzung von Föderation zur Entschärfung der
Access-Problematik in Systemen der Industrie 4.0
Netzkopplung zwischen Office und Produktion
stark regulieren und reglementieren
Übergreifend anwendbare Standards und Policies
für die Netzwerksicherheit definieren
Best Practices und Blueprints aus erfolgreichen
Projekten ableiten und als Standard etablieren
Mitarbeit bei branchenübergreifender Standardisierung von Schnittstellen und Protokollen
Ende der Schonzeit: Industrieanlagen sind für Hacker
interessant geworden
führen bei den üblichen Sicherheits-Scans zu einem Ausfall oder einer starken Beeinträchtigung.Verfügbarkeit ist
aber das K.-o.-Kriterium für die Produktionsmannschaft,
die Sicherheitslösungen wurden zurückgebaut, die Produktionssysteme verblieben ungeprüft und potenziell
unsicher im Netz.
a+s
zeitschrift für automation und security, #1 / 2014
© SecuMedia Verlags-GmbH D-55205 Ingelheim
16
Praxis und Anwendungen
Aktive Teilnahme und Mitgestaltung an internationalen Gremien, um lokale Standards zu globalisieren
Gerade der innovative deutsche Mittelstand ist aufgefordert, die diversen Forschungsprogramme und Budgets
der nationalen und europäischen Programme aufzugreifen und die Erkenntnisse des Industriestandorts Deutschland in die internationalen Gremien und Organisationen
zu tragen. Die Fördermittel sind ein guter Weg, den Aufwand für die Umsetzung der genannten Punkte in angemessenem Rahmen zu halten.
Die Sicherheitsstrategien in der industriellen Fertigung
und der Prozessindustrie sind im Zuge der 4. Industriellen
Revolution teilweise ans Ende ihrer Daseinsberechtigung
gekommen. In Anbetracht immer komplexer werdender Netzwerkstrukturen kommen Industrieunternehmen
nicht umhin, sich neuen Sicherheitsarchitekturen zu
öffnen. Dazu zählen neben der Risikoprophylaxe entlang
jeder Supply-Chain auch die Etablierung allumfassender
Sicherheitsmechanismen für Produktions- und Office IT.
Insbesondere die ganzheitliche Betrachtung von Industrial Security Management und Konzepten für die Office
Neue Wege gehen: Industrie 4.0 zwingt zum Umdenken
bei der Sicherheitsstrategie
IT sollten sich in künftigen Strategien widerspiegeln.
Unternehmen sind gut beraten, wenn sie sich frühzeitig
mit den neuen Rahmenbedingungen auseinandersetzen
und ihre Maßnahmen darauf abstellen.
IMPRESSUM
a+s – zeitschrift für automation
und security
ISSN 1862-4375
3. Jahrgang 2014
Redaktion
Elmar Török, Fachjournalist
(verantw. für den redaktionellen Teil)
Tel.: +49 89 38157 8030
E-Mail: [email protected]
Verlag
SecuMedia Verlags-GmbH
Lise-Meitner-Str. 4, 55435 Gau-Algesheim
www.SecuMedia.de
Beteiligungsverhältnisse (Angabe gem. §9,
Abs.4 Landesmediengesetz RLP) Gesellschafter
zu je 1/6 sind Gerlinde Hohl, Klaus-Peter Hohl,
Peter Hohl (GF), Veronika Laufersweiler (GF),
Nina Malchus (GF), Stefanie Petersen.
Registereintragung:
Handelsregister Mainz B 22282
Umsatzsteuer-Identifikationsnummer:
DE 148266233
Abo-Service
Tel.: +49 6725 9304-0
Fax: +49 6725 5994
E-Mail: [email protected]
www.automation-security.de
Anzeigenleitung
Birgit Eckert
(verantw. für den Anzeigenteil)
Tel.: +49 6725 9304-20
E-Mail: [email protected]
Zurzeit gültige Anzeigenpreisliste: Nr. 2 vom
Januar 2013
Bezugspreise/Bestellungen/Kündigung
Erscheinungsweise 4 Mal jährlich
Bildnachweis
Titelbild: Siemens AG
Abopreis
Jahresabo print: 39,00 Euro inkl. Porto und
MwSt. (Ausland 43,81 Euro)
Einzelheft: 10,00 Euro inkl. Porto und MwSt.
Jahresabo online: 12,00 Euro
Auslandsangebote auf Anfrage:
+49 6725 9304-27
Eine Kündigung ist jederzeit zur nächsten noch
nicht gelieferten Ausgabe möglich. Überzahlte
Beträge werden rückerstattet.
Satz/Druckvorstufe
BLACKART Werbestudio
Schnaas und Schweitzer,
Stromberger Str. 47, 55413 Weiler
Druck
hofmann infocom GmbH
Emmericher Straße 10, 90411 Nürnberg
Urheber- und Verlagsrechte: Alle in diesem Heft
veröffentlichten Beiträge sind urheberrechtlich
geschützt. Jegliche Verwendung außerhalb der
engen Grenzen des Urheberrechtsgesetzes ist
ohne Zustimmung des Verlages unzulässig und
strafbar.
Dies gilt insbesondere für Vervielfältigungen,
Übersetzungen, Mikroverfilmungen und Einspeicherung in elektronische Systeme. Haftung/Gewährleistung: Die in dieser Zeitschrift
veröffentlichten Beiträge wurden nach bestem
Wissen und Gewissen zusammengestellt. Eine
Gewähr für die Richtigkeit und Vollständigkeit
kann seitens der Herausgeber nicht übernommen werden. Die Herausgeber haften ebenfalls
nicht für etwaige mittelbare und unmittelbare
Folgeschäden und Ansprüche Dritter.
17
a+s
Redaktionsbeirat
der Zeitschrift a+s
Markus Bartsch, Business Development für IT
Security, TÜViT GmbH
Dr. Stephan Beirer, Teamleiter Informationssicherheit in der Prozessdatenverarbeitung, GAI
NetConsult GmbH
Holger Heimann, Geschäftsführer, it.sec GmbH
& Co. KG
Torsten Jüngling, Country Manager, Stonesoft
GmH
Holger Junker, Referatsleiter C12, Bundesamt
für Sicherheit in der Informationstechnik (BSI)
Alexander Kuhn, technischer Vertrieb, Enterprise Sales, GeNUA
Sylvia Mohrhardt, Public Relations & CEO Assistance, QGroup GmbH
Prof. Dr. Hartmut Pohl, geschäftsführender
Gesellschafter, softScheck GmbH
Christian Scheucher, Geschäftsführer,
secXtreme GmbH
Gerhard Schwartz, Business Development
Manager, Hewlett-Packard GmbH
Dirk Seewald, Chief Executive Officer - Vorstand -, Innominate Security Technologies AG
Marc Siemering, Director Industrial Automation
HANNOVER MESSE, Deutsche Messe AG
Dr. Thomas Störtkuhl, Embedded Systems
(V-INM), TÜV SÜD AG
Steffen Zimmermann, Referent Produkt- und
Know-how-Schutz, VDMA
zeitschrift für automation und security, #1 / 2014
© SecuMedia Verlags-GmbH D-55205 Ingelheim