- accessec GmbH
Transcrição
- accessec GmbH
Praxis und Anwendungen Industrial Security: Haben alte Konzepte ausgedient? Sicherheit ist Einstellungssache Sebastian Rohr, technischer Geschäftsführer, accessec GmbH Nicht ohne Grund stehen beim Hightech-Projekt „Industrie 4.0“ auch Fragen der Datensicherheit im Raum. Viele Unternehmen sehen sich mittlerweile mit Angriffen sowohl von außen, aber auch aus den eigenen Reihen konfrontiert. Sind die seit Jahren angewandten Sicherheitskonzepte in der industriellen Fertigung und der Prozessindustrie angesichts der 4. Industriellen Revolution haltbar? Zwei wesentliche Aspekte illustrieren die besonderen Anforderungen an moderne Sicherheitskonzepte. s ist nach wie vor üblich, dass Industriekonzerne zur Abfederung von Lastspitzen oder als durchweg arbeitsteilige Strategie einzelne Prozess- oder Produktionsschritte an Dienstleister oder Anlagenbetreuer wie etwa Lohnabfüller auslagern. Ähnlich wie bei den bereits hoch integrierten Just-in-time oder Just-in-Sequence Modellen, ist eine mehr oder weniger enge Verknüpfung der Logistikkette von Hersteller und Zulieferer oder eben Auftraggeber und Lohnfertiger erforderlich. Dabei werden in der Regel große Datenmengen ausgetauscht, dies erfolgt regelmäßig im Rahmen fester Vertragswerke und enger Verknüpfung der Partner sowie – hoffentlich – unter Einhaltung der jeweils geltenden Sicherheitsregelungen der Partner. Nahezu jeder große Konzern hat hierfür, quasi parallel zu seinem globalen Corporate Network, ein Partner/Supply-Chain Network aufgebaut, an dessen Anschluss und Teilnahme eine Reihe von Anforderungen geknüpft sind. Historisch wurden sowohl beim Design dieser Netze als auch bei der Gestaltung der Regelwerke und Verträge nur ein Mindestmaß an Sicherheitsanforderungen betrachtet. Es bestehen zwar Policies und unterschriebene Vereinbarungen. Doch deren Einhaltung oder gar die bloße technische Umsetzbarkeit beim Partner werden höchstens zum Abschluss des Vertrages einmal geprüft. Unternehmen fehlt oft die Zeit, im Rahmen regelmäßiger Audits die bestehenden Regelungen zu überprüfen oder eine Re-Zertifizierung der Mitarbeiter für den Zugriff vorzunehmen. Auch die durchgängige Überwachung des Datenverkehrs findet vielerorts höchstens über eine Firewall statt. Wir führen Sie aus der Grauzone theoretischer Sicherheit die Ihre IT wirklich schützen. IT-Sicherheitsanalyse Penetration Testing Secure Architecture Cryptographic Engineering Praxis und Anwendungen Zunehmende Vernetzung sicher gestalten Derzeit ist die vierte industrielle Revolution in vollem Gang. Abläufe sollen so flexibel wie möglich und Konfigurationen just-in-time durchgeführt werden können. Das wird nur durch eine noch höhere allumfassende Vernetzung bis in das letzte System der Lieferkette und in den letzten Sensor und Aktuator der eigentlichen Fertigung hinein gehen. Schon heute müssen die Anforderungen generalstabsmäßig geplant und dabei die bereits gesammelten Erfahrungen mit der lokalen Vernetzung eingearbeitet werden. Für jeden potenziellen Teilhaber der vernetzten Industrie 4.0 wird es unerlässlich sein, seine interne Sicherheitsorganisation, seine Policies und Prozesse auf die weitergehende Öffnung vorzubereiten. Nach Einzug der Speicherprogrammierbaren Steuerungen (SPS, englisch PLC) im Rahmen der Dritten industriellen Revolution wurde vermehrt auf die lokale Vernetzung und gemeinsame Überwachung der Komponenten gesetzt. Gerade Prozessindustrie und Massenfertigung sind schnell dazu übergangen, zentralisierte Leitstände und auf Linienebene verknüpfte Produktionszellen zu etablieren, was mit einer weitergehenden Vernetzung einherging. Der vorgebliche Bedarf des mittleren und oberen Managements, nahezu in Echtzeit den Status der Fertigungsprozesse zu überwachen, führte zur Verknüpfung der sogenannten Office IT mit den Netzen der Produktion. Industrial Security Management und Office IT Hier ein einheitliches Sicherheitsmanagement aufzubauen, bereitet den Verantwortlichen schon heute Kopfschmerzen. Ein Großteil der im Betrieb befindlichen Anlagen, Systeme und Komponenten der Industrie 3.0 sind nicht für eine solche übergreifende Vernetzung ausgelegt. Oft scheiterten Ansätze, in denen wohlmeinende Sicherheitsexperten aus dem Lager der Office IT ihre anscheinend erprobten und stabilen Lösungen im Produktionsumfeld einsetzen wollten. Doch schon die teilweise fragilen TCP/IP Stacks der Steuerungsrechner Spätestens mit „Industrie 4.0“ verliert das Industrial Security Management endgültig die Berechtigung, sich autark von den Konzepten und Policies der Office IT-Security zu bewegen. Zwar ist es weiterhin zwingend erforderlich, den besonderen Gegebenheiten der Automatisierung und der Steuerungskommunikation Rechnung zu tragen, aber durch die Adaption von IPv6 in Sensornetzen und die Migration auf Industrial Ethernet fallen weitere Besonderheiten weg, die Schutz durch ihre Andersartigkeit geboten haben. Umso mehr ist nun der Dialog und die enge Zusammenarbeit mit den IT-Sicherheitsorganisationen der Office IT zwingend erforderlich, um Widersprüche und Kompetenzrangeleien auszuräumen. Die accessec-Berater empfehlen dabei unter anderem, die folgenden Aspekte zu beachten und Aufgaben zu lösen: Harmonisierung und ggf. Zusammenführung der Berichtslinien (Shopfloor Security/IT-Security) Engere Zusammenarbeit mit der Netzwerkarchitektur und -Planung Erstellung und Festsetzung rechtlicher Rahmenbedingungen und Vertragswerke für die Teilnahme an Verbundnetzen und Clustern der Industrie 4.0 Besonderer Fokus auf die globale Vernetzung, Zugänge und Gateways für Industrial IT Direkte Einbeziehung der Produktions-IT bei Themen des Identity&Access Management Nutzung von Föderation zur Entschärfung der Access-Problematik in Systemen der Industrie 4.0 Netzkopplung zwischen Office und Produktion stark regulieren und reglementieren Übergreifend anwendbare Standards und Policies für die Netzwerksicherheit definieren Best Practices und Blueprints aus erfolgreichen Projekten ableiten und als Standard etablieren Mitarbeit bei branchenübergreifender Standardisierung von Schnittstellen und Protokollen Ende der Schonzeit: Industrieanlagen sind für Hacker interessant geworden führen bei den üblichen Sicherheits-Scans zu einem Ausfall oder einer starken Beeinträchtigung.Verfügbarkeit ist aber das K.-o.-Kriterium für die Produktionsmannschaft, die Sicherheitslösungen wurden zurückgebaut, die Produktionssysteme verblieben ungeprüft und potenziell unsicher im Netz. a+s zeitschrift für automation und security, #1 / 2014 © SecuMedia Verlags-GmbH D-55205 Ingelheim 16 Praxis und Anwendungen Aktive Teilnahme und Mitgestaltung an internationalen Gremien, um lokale Standards zu globalisieren Gerade der innovative deutsche Mittelstand ist aufgefordert, die diversen Forschungsprogramme und Budgets der nationalen und europäischen Programme aufzugreifen und die Erkenntnisse des Industriestandorts Deutschland in die internationalen Gremien und Organisationen zu tragen. Die Fördermittel sind ein guter Weg, den Aufwand für die Umsetzung der genannten Punkte in angemessenem Rahmen zu halten. Die Sicherheitsstrategien in der industriellen Fertigung und der Prozessindustrie sind im Zuge der 4. Industriellen Revolution teilweise ans Ende ihrer Daseinsberechtigung gekommen. In Anbetracht immer komplexer werdender Netzwerkstrukturen kommen Industrieunternehmen nicht umhin, sich neuen Sicherheitsarchitekturen zu öffnen. Dazu zählen neben der Risikoprophylaxe entlang jeder Supply-Chain auch die Etablierung allumfassender Sicherheitsmechanismen für Produktions- und Office IT. Insbesondere die ganzheitliche Betrachtung von Industrial Security Management und Konzepten für die Office Neue Wege gehen: Industrie 4.0 zwingt zum Umdenken bei der Sicherheitsstrategie IT sollten sich in künftigen Strategien widerspiegeln. Unternehmen sind gut beraten, wenn sie sich frühzeitig mit den neuen Rahmenbedingungen auseinandersetzen und ihre Maßnahmen darauf abstellen. IMPRESSUM a+s – zeitschrift für automation und security ISSN 1862-4375 3. Jahrgang 2014 Redaktion Elmar Török, Fachjournalist (verantw. für den redaktionellen Teil) Tel.: +49 89 38157 8030 E-Mail: [email protected] Verlag SecuMedia Verlags-GmbH Lise-Meitner-Str. 4, 55435 Gau-Algesheim www.SecuMedia.de Beteiligungsverhältnisse (Angabe gem. §9, Abs.4 Landesmediengesetz RLP) Gesellschafter zu je 1/6 sind Gerlinde Hohl, Klaus-Peter Hohl, Peter Hohl (GF), Veronika Laufersweiler (GF), Nina Malchus (GF), Stefanie Petersen. Registereintragung: Handelsregister Mainz B 22282 Umsatzsteuer-Identifikationsnummer: DE 148266233 Abo-Service Tel.: +49 6725 9304-0 Fax: +49 6725 5994 E-Mail: [email protected] www.automation-security.de Anzeigenleitung Birgit Eckert (verantw. für den Anzeigenteil) Tel.: +49 6725 9304-20 E-Mail: [email protected] Zurzeit gültige Anzeigenpreisliste: Nr. 2 vom Januar 2013 Bezugspreise/Bestellungen/Kündigung Erscheinungsweise 4 Mal jährlich Bildnachweis Titelbild: Siemens AG Abopreis Jahresabo print: 39,00 Euro inkl. Porto und MwSt. (Ausland 43,81 Euro) Einzelheft: 10,00 Euro inkl. Porto und MwSt. Jahresabo online: 12,00 Euro Auslandsangebote auf Anfrage: +49 6725 9304-27 Eine Kündigung ist jederzeit zur nächsten noch nicht gelieferten Ausgabe möglich. Überzahlte Beträge werden rückerstattet. Satz/Druckvorstufe BLACKART Werbestudio Schnaas und Schweitzer, Stromberger Str. 47, 55413 Weiler Druck hofmann infocom GmbH Emmericher Straße 10, 90411 Nürnberg Urheber- und Verlagsrechte: Alle in diesem Heft veröffentlichten Beiträge sind urheberrechtlich geschützt. Jegliche Verwendung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und Einspeicherung in elektronische Systeme. Haftung/Gewährleistung: Die in dieser Zeitschrift veröffentlichten Beiträge wurden nach bestem Wissen und Gewissen zusammengestellt. Eine Gewähr für die Richtigkeit und Vollständigkeit kann seitens der Herausgeber nicht übernommen werden. Die Herausgeber haften ebenfalls nicht für etwaige mittelbare und unmittelbare Folgeschäden und Ansprüche Dritter. 17 a+s Redaktionsbeirat der Zeitschrift a+s Markus Bartsch, Business Development für IT Security, TÜViT GmbH Dr. Stephan Beirer, Teamleiter Informationssicherheit in der Prozessdatenverarbeitung, GAI NetConsult GmbH Holger Heimann, Geschäftsführer, it.sec GmbH & Co. KG Torsten Jüngling, Country Manager, Stonesoft GmH Holger Junker, Referatsleiter C12, Bundesamt für Sicherheit in der Informationstechnik (BSI) Alexander Kuhn, technischer Vertrieb, Enterprise Sales, GeNUA Sylvia Mohrhardt, Public Relations & CEO Assistance, QGroup GmbH Prof. Dr. Hartmut Pohl, geschäftsführender Gesellschafter, softScheck GmbH Christian Scheucher, Geschäftsführer, secXtreme GmbH Gerhard Schwartz, Business Development Manager, Hewlett-Packard GmbH Dirk Seewald, Chief Executive Officer - Vorstand -, Innominate Security Technologies AG Marc Siemering, Director Industrial Automation HANNOVER MESSE, Deutsche Messe AG Dr. Thomas Störtkuhl, Embedded Systems (V-INM), TÜV SÜD AG Steffen Zimmermann, Referent Produkt- und Know-how-Schutz, VDMA zeitschrift für automation und security, #1 / 2014 © SecuMedia Verlags-GmbH D-55205 Ingelheim