So können Unternehmen ihre Smart Factory schützen

Sicherheit im Industriellen Internet der Dinge und IoT

19.05.2016 von Jürgen  Hill
Die Vernetzung und Automatisierung industrieller Prozesse per IIoT oder IoT birgt für Unternehmen enorme Vorteile. Allerdings bringt die Vernetzung der Industrie 4.0 auch neue Herausforderungen mit sich, wenn IT auf OT trifft.
Sicherheit bleibt im IIoT ein moving target.
Foto: Chesky - shutterstock.com

Jedes dritte Unternehmen gerät heute mehrmals in der Woche ins Visier von Cyberkriminellen. Spezielle Schutzmaßnahmen haben bislang aber erst die Hälfte aller Unternehmen im Einsatz. Dementsprechend haben laut VDE sieben von zehn Entscheidern aus der Industrie Befürchtungen hinsichtlich der IT-Sicherheit. Sie sehen diese als größtes Hindernis für die Ausbreitung von Industrie 4.0 in Deutschland.

100 Prozent Sicherheit gibt es nicht

Etlichen Entscheidern ist das IoT noch immer nicht ganz geheuer.
Foto: Deutsche Telekom

Gleichzeitig machen verschiedene Bausteine einer industriellen IoT-Lösung sowie die notwendige Öffnung von Netzen und Systemen für Kunden, Lieferanten und Partner die Sicherheit im industriellen Internet immer mehr zu einer komplexen Aufgabe. Wo die Risiken liegen und wie sich Unternehmen dagegen wappnen können, versucht die Deutsche Telekom dem Whitepaper "Sicherheit im industriellen Internet der Dinge" zu erklären. Sehr zum Leidwesen etlicher Entscheider zeigen die Autoren des White Paper, dass in Sachen Sicherheit für das IIoT in der Industrie 4.0 keine Patentlösung gibt.

Letztlich muss ein Unternehmen im Kontext des eigenen Geschäftsmodells immer selbst abwägen, welchen Grad an Sicherheit es benötigt. Dabei ist hundertprozentige Sicherheit ebenso realitätsfern wie der Wunsch, einmalig Sicherheitsmaßnahmen zu implementieren und das Thema danach zu den Akten zu legen. Sicherheit bleibt ein "moving target"; IT-Security-Strategien und -Maßnahmen sind permanent weiterzuentwickeln, so die Telekom-Autoren.

Security by design ist gefragt

Ein adäquates Sicherheits-Management für IIoT muss schon sehr früh ansetzen: Bei der Auswahl von Anlagen, Geräten, Systemen und Netzwerkkomponenten. Denn im Hinblick auf die Prozessautomatisierung ist die digitale Fabrik bereits Realität. Der ständig steigende Einsatz von Fertigungsautomaten und -robotern sowie deren konsequente Vernetzung im lokalen Bereich, etwa in einem Fertigungsgebäude, werden durch Netztechniken wie Ethernet, WLAN, Bluetooth, RFID oder Low Power Wide Area Networks (LPWANs) unterstützt. In diesen IoT-Netzen tauschen sich die einzelnen Komponenten mit cyberphysischen Systemen (CPS) aus.

Die Grundlage dafür bildet die Ausstattung von bislang passiven Geräten beziehungsweise Dingen mit Mikrocontrollern, Identifikatoren, Sensoren und Aktoren. Hier sollten Unternehmen darauf achten, ob der Hersteller Sicherheitsaspekte bereits mit dem ersten Entwicklungsschritt in das Produkt integriert hat (Security by Design).

In IoT-Szenarien muss die gesamte Prozesskette geschützt werden, also auch externe Partner, Zulieferer etc.
Foto: WathanyuSowong - Shutterstock.com

Doch das Sicherheits-Management von IoT-Umgebungen umfasst nicht nur die Security und Safety der eigenen Gerät und Anlagen, vielmehr sollte laut Telekom nicht vergessen werden, dass die Netze und Systeme ja teilweise für Kunden, Lieferanten und Partner geöffnet werden beziehungsweise wurden. Und last but not least ist bei allen Sicherheitsdiskussionen der Faktor Mensch nicht zu vergessen - hier sei nur an Fehlverhalten, Gutgläubigkeit und Social Engineering erinnert.

Deshalb empfehlen die Autoren des Telekom-White-Paper gleich mehrere Maßnahmen. So sollten Unternehmen darauf achten, ob der Hersteller Sicherheitsaspekte bereits mit dem ersten Entwicklungsschritt in das Produkt integriert hat - also das Prinzip Security by Design verfolgen. Das gilt auch für den Bezug von Konnektivitäts- und Cloud-Diensten. Ferner raten sie dazu ein Defense-in-Depth-Konzept umzusetzen.

Defense in Depth

Unter Defense in Depth ist, so die Autoren, eine Sicherheitsarchitektur zu verstehen, die in verschiedene Ebenen oder Schichten aufgeteilt ist. Diese sind mit den jeweils adäquaten Sicherheitsmechanismen versehen. Gelingt es einem Angreifer, die Barrieren einer Schicht zu überwinden, steht er vor der nächsten "verschlossenen Tür", deren Schloss er knacken muss. In ICS-Systemen (Industrial Control System) gilt es beispielsweise, die Feldbus-Kommunikation zwischen Sensoren, Aktoren und Automatisierungs-Devices abzusichern. Ferner ist ein unbefugter Zugriff über Wartungszugänge zu verhindern.

Des Weiteren sollten zusätzliche Barrieren einen potenziellen Eindringling daran hindern, die speicherprogrammierbare Steuerung (SPS) eines ICS anzugreifen. Hier wären also im Falle einer Defense-in-Depth-Strategie Feldbus-Firewalls sowie eine automatisierte Anomalieerkennung erforderlich. Entsprechende Richtlinien und Prozeduren lassen sich beziehungsweise sollten für jede Ebene eines Defense-in-Depth-Konzepts aufgesetzt werden.

Interessierte Leser finden das ausführliche Whitepaper der Telekom hier.