Eine gute Absicherung gegen Cyber-Angriffe kann nur gelingen, wenn aufeinander abgestimmte technische und organisatorische Maßnahmen ineinandergreifen. Dies entspricht dem Vorgehen, das bei der Umsetzung einer Automatisierungslösung üblich ist: Mechanische Komponenten, Sensoren und Aktoren werden passend zueinander ausgesucht und dann mit den Steuerungskomponenten und -programmen verknüpft. Hat der Anwender bei einzelnen Elementen eine schlechte Wahl getroffen, wird die gewünschte Leistung nicht erreicht. Bestandteile, deren Funktionsumfang deutlich über das notwendige Maß hinausgeht, verteuern hingegen die Lösung, ohne einen Mehrwert im System zu schaffen.
Systematische Vorgehensweise Im Bereich der Security wird die geschilderte Vorgehensweise ebenfalls angewendet. Am Anfang der Aktivitäten stehen eine Bestandsaufnahme und Anforderungsanalyse, in diesem Fall eine Bedrohungsanalyse: Welchen Schutzbedarf haben die Systeme und Daten? Und welchen Gefahren sind sie tatsächlich ausgesetzt? Basierend auf der Risikoeinschätzung lassen sich jetzt technische und organisatorische Maßnahmen ermitteln. In diesem Zusammenhang ist das richtige Verständnis des Einsatzszenarios wichtig: Welche Kommunikationsbeziehungen werden benötigt respektive welche Verbindungen können abgeschaltet oder blockiert werden? Welche Mitarbeiter müssen zur Erledigung welcher Aufgaben auf das System zugreifen, insbesondere wer darf Veränderungen vornehmen? In jedem Fall sind Vorkehrungen zum Abfangen von Überlastzuständen zu treffen. Darüber hinaus muss die Durchführung von Backups zur Vermeidung von Datenverlusten und Stillständen berücksichtigt werden.
Bestenfalls finden das Design der Automatisierungslösung und der für sie erforderlichen Security-Maßnahmen gleichzeitig statt. Auf diese Weise entsteht ein unter Kosten- und Bedienungsgesichtspunkten abgestimmtes Gesamtkonzept, auch als ‚Security by Design‘ bezeichnet. Bei diesem Prozess unterstützen Security-Standards wie die IEC62443 (1), die von Betriebsprozessen über das sichere Systemdesign bis zu den sicheren Komponenten sämtliche Elemente betrachtet. Wenn hier Ressourcen oder Erfahrungen fehlen, kann es sich als sinnvoll erweisen, externe Expertise hinzuzuziehen. Denn ein schlechtes Security-Design führt zu einem ungünstigen Kosten-Nutzen-Verhältnis und lässt gegebenenfalls Lücken offen, die Angreifer ausnutzen können. Leider ist das Verhältnis von Angreifer und Verteidiger in der Cyber-Security asymmetrisch. Der Verteidiger muss folglich alle Lücken schließen, während dem Angreifer unter Umständen eine einzige Schwachstelle ausreicht.
Restriktiver Netzwerkzugang Technische Security-Funktionen sorgen dafür, dass die existierenden Bedrohungen und Risiken reduziert werden. Als eine der wichtigsten Security-Funktionen zeigt sich die Aufteilung eines Netzwerks in Segmente, wobei typischerweise Firewalls zum Einsatz kommen. Eine solche Netzwerksegmentierung hilft gegen unbefugte Zugriffe aus dem Büronetzwerk – was insbesondere die Ausbreitung von Schadsoftware wie Ransomware einschließt – ebenso wie gegen die Verteilung von Schadsoftware aus den betroffenen Segmenten. Zudem lassen sich Überlastzustände verhindern oder zumindest eindämmen.
Das erreichte Schutzniveau hängt von der Qualität des Regelwerks der Firewalls, also den entsprechenden Betriebsprozessen ab: Welche Verbindungen sind wirklich notwendig? Zwischen dem IT- und Produktionsbereich müssen natürlich Daten zur Fertigungssteuerung sowie für Qualitätsaufzeichnungen ausgetauscht werden. Doch nur wenige Büromitarbeiter benötigen für ihre Arbeit Zugriff auf Betriebsmittel. Und Maschinen kommunizieren in der Regel nicht untereinander oder mit dem Internet. In vielen Fällen ist es möglich, den Netzwerkzugang zu Produktionszellen im Normalbetrieb sehr restriktiv zu gestalten. Im Wesentlichen müssen Fertigungsaufträge mit den zugehörigen Daten in die Anlage gelangen sowie Betriebs- und Prozessdaten aufgezeichnet werden können. Vor diesem Hintergrund sind lediglich wenige erlaubte Verbindungen erforderlich.
Dynamische Regeländerung Erfahrungsgemäß ergeben sich höhere Risiken im Projektierungs- oder Wartungsfall, wenn zusätzliche Verbindungen zum Netzwerk oder ein physischer Zugang – beispielsweise über einen USB-Stick – notwendig sind. Hier lässt sich das Risiko durch eine dynamische Änderung der Firewall-Regeln senken. Erhält z.B. ein externer Wartungstechniker temporären Zugriff auf das Anlagennetzwerk, wird der Regelsatz umgeschaltet und normalerweise gestattete Verbindungen werden unterbunden, um einen versehentlichen oder vorsätzlichen Übergriff auf das Unternehmensnetzwerk zu vermeiden. Leider kommt es häufiger vor, dass Servicetechniker mit virenverseuchten Laptops oder USB-Sticks arbeiten.
Eine Firewall filtert nur auf der Ebene von Netzwerkverbindungen, der Inhalt des Datenstroms wird nicht oder selten tief genug analysiert. Als systematische Ergänzung der Firewall bietet sich daher eine Zugriffssteuerung an, die in die Schnittstellen der Systeme und Komponenten programmiert ist. Soll dies skalierbar geschehen, stellt sich die Verwaltung von einzelnen Benutzern und deren Passwörtern auf jeder Komponente nicht mehr als zielführend dar. Vielmehr wird eine zentrale Benutzerverwaltung benötigt, die von den Systemen und Komponenten jedoch technisch sowie von den Prozessen organisatorisch unterstützt werden muss, etwa durch das Abschalten nicht mehr aktiver Zugänge. In diesem Szenario sind somit Lieferanten wie Betreiber gefordert.