Sicher digitalisieren

Bild: ©olly/stock.adobe.com

Bei allen Normen und Standards rund um die Betriebssicherheit kann es dennoch zu schweren Unfällen mit Maschinen kommen, selbst bei vorschriftsmäßigen Sicherheitsvorkehrungen. Denn reagiert aufgrund einer Distributed-Denial-of-Service(DDoS)-Attacke die Elektronik eines Industrieroboters nicht auf den Not-Aus-Schalter, helfen selbst ansonsten funktionale Vorkehrungen nicht. Dann haben Anlagenplaner und Sicherheitsbeauftragte zwar ihre OT-Safety am Platz, aber womöglich die IT-Security außer Acht gelassen. Die aktuellen Leistungsversprechen von vernetzten Produktionssystemen interessieren natürlich auch Entscheider, die auf Anlagen aus der Zeit vor der Digitalisierung produzieren. Konkurrenz- und Modernisierungsdruck wirken ebenfalls auf die Branche ein, sodass heute viele vernetzte Anlagen mit einer unzureichenden IT-Sicherheitsarchitektur und ungeschultem Personal betrieben werden.

Strategie statt Wildwuchs

Um die Vorteile einer vernetzten Industrieanlage zu nutzen und sich zugleich nicht angreifbar zu machen, sollten Entscheider bei der Implementierung auf verlässliche Konzepte setzen und sich vor den ersten Schritten weitreichende Gedanken zur Architektur machen. Eine der erste Maßnahmen ist es, eine zuverlässige und abgesicherte IT-Infrastruktur als Grundlage für die Vernetzung von Anlagen, Mitarbeitern und Produkten zu schaffen. Wird hier gespart oder werden laienhafte Systeme eingesetzt, kann sich der Nutzen einer IIoT-Applikation bereits bei einfachen Low-Tech-Malware-Angriffen oder auch Datenschutzverletzungen ins Gegenteil drehen.

Planung und Zusammenarbeit

Wichtig bei der Planung und Implementierung sowie dem darauf folgenden Betrieb sind vor allem zwei Aspekte: Ist das Knowhow im eigenen Haus lückenhaft, sollten Firmen die Zusammenarbeit mit Spezialisten suchen und ihren Mitarbeiterstab schulen. Alle Zuständigen sollten sich der Verantwortung bewusst sein, die eine Anlagenvernetzung mit sich bringt. Bei der Wahl der Dienstleister und Lieferanten gilt es darauf zu achten, dass weitreichendes Wissen im Umgang mit Industrieanlagen und auf dem Feld der IT-Sicherheit vorhanden ist. Für jeden Teilbereich – IT und OT – an sich gibt es viele Unternehmen mit Expertise, für beide Teilbereiche kombiniert nur eine Handvoll. Auf der Ebene der Mitarbeiter hingegen schützen bereits einfache Richtlinien und ‚Cyber-Hygienestandards‘ vor vielen Sicherheitsrisiken. Das größte Sicherheitsrisiko in Unternehmen ist oft der Mensch. Hier unterscheiden sich Schwerindustrieunternehmen nicht von einem Bürobetrieb. Fahrlässig an das System angeschlossene Geräte, die mit dem Internet verbunden sind und nicht über ausreichende Schutzmaßnahmen verfügen, öffnen selbst bei der besten Netzwerkarchitektur den Angreifern Tür und Tor.

Best-Practice-Beispiel Netzwerksegmentierung

Für produzierende Unternehmen gibt es diverse Strategien, im Umgang mit Bedrohungen Schwachstellen durch Digitalisierung auszuschalten. Eine der effektivsten und bekanntesten stellt die Netzwerksegmentierung dar, die es durch verschiedene Ausgestaltungen ermöglicht, potentielle Angreifer gar nicht erst in die Nähe der Anlagen gelangen zu lassen. Während das Konzept in den meisten IT-Abteilungen bereits breite Anwendung findet, ist es in Industrieunternehmen gerade erst dabei, sich durchzusetzen. Bekannte Beispiele für die Funktionsweise von Netzwerksegmentierung sind virtuelle LANs (VLAN) oder eine Industrial Demilitarized Zone (IDMZ). Während sich beide Ansätze in der Herangehensweise unterscheiden, ist das Ziel gleich: kritische Systeme innerhalb einer Fabrik davor zu schützen, mit potentieller Malware oder gezielten Angriffen in Kontakt zu geraten. Dabei werden bei VLAN durch Broadcast-Domänen innerhalb eines geschalteten Netzwerks verschiedene angeschlossene Geräte auf lokaler statt auf physikalischer Ebene getrennt. Die IDMZ hingegen ist als digitales Niemandsland vorzustellen, das die Kommunikation zwischen Außenwelt und geschützten Bereichen komplett unterbricht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert