Viele Produktionsbetriebe setzen bei der Steuerung und Kontrolle ihrer Maschinen bereits auf IIoT-Lösungen. Entweder sind Maschinen schon ab Werk mit Sensoren versehen und untereinander vernetzt oder sie wurden im Laufe ihres Lebenszyklus mit solchen Funktionen ausgestattet. Neben verbesserter Übersicht und Wartungspraktiken hat dies auch eine Öffnung hin zum Internet zur Folge. Das Problem dabei: Die Sicherheit dieser Maschinen war oft nur physischer Natur. Und auch heute spielt Cyber-Sicherheit oftmals noch eine eher untergeordnete Rolle in der Produktion. Kritische Maschinen erhalten selten Updates, da der Betrieb möglichst nicht unterbrochen werden soll. Zudem haben Firmen selten einen kompletten Überblick über alle Geräte im Firmennetzwerk – es entstehen Sicherheitslücken.
Schnell alles finden
Um diese Lücken zu schließen, gibt es unterschiedliche Lösungen. Zur Wahl steht beispielsweise eine Software von Nozomi Networks, die Assets in den Netzwerken aufspüren und nach vorgegebenen Kriterien kategorisieren kann, unabhängig davon, ob es sich um OT-Geräte oder IoT/IIoT-Geräte handelt. Die Software kann auf zwei unterschiedliche Arten Geräte im Netzwerk erkennen: Entweder durch Span, also dem Mirroring von Netzwerkverkehr, und anschließender Analyse der Datenpakete in Hinsicht auf ihre Ersteller. Oder durch aktives Polling ausgewählter Geräte im Netzwerk. Mit der Smart Polling-Methode kann man beiden Verfahren verbinden: Zuerst identifiziert die Lösung so viele Geräte wie möglich passiv: Anstatt Daten pauschal zu erheben, werden kleinen Datafootprints aktiv abgefragt. Die Software fragt bestimmte Informationen wie etwa die Firmware-Version von den Geräten ab. Dadurch wird der Netzwerkverkehr geringgehalten, da nur die Geräte aktiv angefragt werden, die bekannt sind und nicht genügend Informationen liefern. Aktives Polling hat hingegen sich als riskant für Anlagenbetreiber herausgestellt, da es eine zusätzliche Belastung für das Netzwerk und die daran angebundenen Geräte darstellt. Schließlich können in Großbetrieben schnell mehrere zehntausend Assets über das Netzwerk erreicht werden. Im schlimmsten Fall kann das sogar zum Ausfall einer Komponente führen.
Auf Kritikalität prüfen
Sind alle Assets bekannt, können ihre Parameter in Bezug auf ihre Kritikalität überprüft werden, also beispielsweise darauf, ob die Firmware aktuell ist oder ob es wichtige Updates seitens des Herstellers gab. Auch abnormales Verhalten, das auf eine Kompromittierung einzelner Geräte hindeuten kann, erkennt die Lösung und schlägt Alarm. Verschickt ein Gerät über einen längeren Zeitraum große Mengen an Datenpaketen an eine ungewöhnliche oder unbekannte Adresse, ist von einem Datenleck auszugehen. Bedrohungsindikatoren wie YARA-Regeln oder STIX Indicators können dabei helfen, Regeln für solch abnormales Verhalten aufzustellen. Die Software sammelt alle verhaltensauffälligen Geräte in einer zentralen Übersicht und sortiert sie nach der Art ihrer Abweichung, beispielsweise ob diese gezielt herbeigeführt wurde oder durch technische Fehler bedingt ist. Denn nicht nur böswillige Akteure können den Betrieb zum Erliegen bringen, auch Verschleiß und Fehleinstellungen von Komponenten können den Ablauf behindern. Werden die Daten der vernetzten Produktionsgeräte erfasst, kann die Software bei Fehlfunktionen frühzeitig warnen. Ein Beispiel: Ein Gassensor in einer Leitung für verschiedene Gase fällt regelmäßig aus, weil er mit Flüssigkeit in Berührung kommt und für diesen Kontakt nicht ausgelegt ist. Die Ursachen können verschiedener Natur sein. So kann etwa bei der Zuführung der Gase eine Verunreinigung von außerhalb stattfinden – in diesem Fall durch ein Ventil, das regelmäßig Schmieröl in die Leitung abgibt. Überblickt eine Software die Prozessdaten, kann sie anhand der normalen Arbeitsweisen feststellen wo sich die Anomalie befindet.
Alles einsehen
Die Monitoring-Lösung verfügt auch über ein Dashboard, das Komponenten sowie ihre Verbindungen untereinander anzeigen kann. Auch ermittelte Vorfälle sind einsehbar. Sicherheitsbeauftragte sollten zu jeder Zeit wissen, wo sich wie viele OT- und IoT-Komponenten im Netzwerk befinden, welche Funktion sie gerade einnehmen und wie ihr Sicherheitsstatus ist bzw. ob sie ein Risiko für die Integrität des Unternehmens darstellen. Ist ein Vorfall bekannt, besteht die Möglichkeit, per Schnittstelle ein Ticket zur Bearbeitung zu eröffnen, um etwa den Bearbeitungsstatus des Alarms in einer separaten Lösung zur Verfügung zu stellen.