Die Berichte über, aus Sicht der Angreifer erfolgreiche, Cyberangriffe im Industrieumfeld reißen nicht ab. Sind die Angreifer zu schlau oder die Firmen zu nachlässig?
Stefan Turi: Klar ist, dass die Methoden der Angreifer und Cyberkriminellen immer perfider und ausgeklügelter werden – und Firmen dadurch vor enorme Herausforderungen stellen. Denn viele Unternehmen weisen eine gewachsene und äußerst inhomogene Infrastruktur auf, die teilweise über Jahrzehnte stetig gewachsen ist – die Implementierung eines umfassenden und praktikablen Cybersecurity-Konzepts wird dadurch wesentlich erschwert.
Unsere Berichterstattung zeichnet seit Jahren nach, wie OT- und IT-Infrastrukturen zusammenwachsen. Wie sieht das Rockwell-Schutzkonzept aus?
Turi: Die Konvergenz von IT und OT kann nur mit einem umfassenden und holistischen Cybersecurity-Ansatz gelingen. Beide Systeme verfolgen allerdings unterschiedliche Kern-Ziele: Für den Shopfloor ist es unerlässlich, dass die Produktionsparameter möglichst hoch sind und zugleich Ausfallzeiten und Instandhaltungszeiträume so weit wie möglich reduziert werden. Für die IT hingegen sind der Datenschutz sowie die Absicherung der Produktion essenziell. Ein sogenanntes Connected Enterprise und damit gleichbleibend hohe Produktionsparameter können aber nur bei einem konstanten Datenaustausch erfolgreich umgesetzt werden – ein holistisches Konzept ist notwendig, das die Cybersecurity-Bedürfnisse von OT und IT kombiniert. Rockwell Automation setzt dabei auf Standardisierung und Virtualisierung der Produktions-IT mit industriellen Data Centern und ‚Industrielle Demilitarisierte Zonen‘, auch IDMZ genannt.
In der Netzwerktechnik werden ‚Demilitarisierte Zonen‘ seit Jahrzehnten eingerichtet. Was ist das und welchen Nutzen spielt dieses Konzept im Industriesegment aus? Welche Besonderheit stellen ‚Industrielle Demilitarisierte Zonen‘ dar?
Turi: Eine Demilitarisierte Zone, oder auch DMZ, findet sich sinnvollerweise überall dort, wo man vermeiden möchte, dass bestimmte Teile eines Unternehmens mit anderen Teilen direkt kommunizieren. So können etwa besonders sensible Unternehmensbereiche und -daten vor Cyberattacken oder Ransomware geschützt werden – zwischen ihnen und potenziellen Einfallstoren steht schlussendlich immer noch eine Pufferzone. Konkret bedeutet das, dass der Datenaustausch zwischen dem Unternehmensnetzwerk und einer schützenswerten Infrastruktur durch eine weitere Instanz abgesichert ist. So wird der Datentransfer und Informationsfluss abgesichert und kontrolliert. Während reguläre DMZen sich praktisch überall implementieren lassen, wo eine solche Cybersecurity-Architektur benötigt wird, verfolgen wir bei Rockwell Automation mit der IDMZ einen individuellen Ansatz für die Industrie. Systeme wie das MES, Anwendungen zur Fernwartung, Anti-Virus-Lösungen oder WSUS müssen in der Lage sein, auf gewisse Daten zuzugreifen – auch jenseits des OT-Netzwerks. Genau hier bieten die IDMZ zusätzlichen Schutz.