Vernetzte Komponenten in der Produktion sind häufig unsicher. Das ist nicht erst bekannt, seitdem Fertigungen durch Angriffe wie NotPetya oder EKANS lahmgelegt wurden. Wie ein herstellerunabhängiges Netzwerkmonitoring mit Anomalieerkennung Stabilität und Sicherheit in der Produktion steigern kann.
Immer wieder werden neue Sicherheitslücken in Industriekomponenten bekannt. So meldete Rhebo im Februar 2020 an den Hersteller Beckhoff Automation eine Schwachstelle auf dem Buskoppler BK9000, die für Denial-Of-Service-Angriffe ausgenutzt werden kann. Im Durchschnitt identifiziert Rhebo innerhalb der ersten zwei Wochen bereits 23 Schwachstellen und Sicherheitsvorfälle in der Automatisierungs- und Steuerungstechnik (Operational Technology) von Industrieunternehmen und kritischen Infrastrukturen. Mit den im Juni 2020 veröffentlichten Ripple20-Schwachstellen geraten zusätzlich IoT-fähige Geräte aller Hersteller in den Fokus.
Das Sicherheitsproblem wird durch die steigende Komplexität und Variabilität der Komponenten verschärft. Sicherheitsfunktionen – soweit überhaupt vorhanden – sind selten zwischen den Herstellern abgestimmt. Zudem erschweren proprietäre Protokolle die Härtung der Produktions-IT und damit verbundenen Automatisierungs- und Steuerungstechnik (Operational Technology, kurz OT).
Diese Komplexität birgt ein weiteres, meist gänzlich unbeachtetes Problem: technische Fehlerzustände. Fehlkonfigurationen, Konflikte zwischen den Geräten und Werkeinstellungen, die zum Teil eine erheblich höhere Netzwerklast verursachen, gefährden die operative Stabilität der Fertigung. Die Verantwortlichen für die IT-Sicherheit in der Produktion stehen dabei vor der Herausforderung, Anlagen mit Lebenszyklen von 20 Jahren gegen sich rasant entwickelnde Cybergefahren zu verteidigen. Cybersicherheit ist daher nur herstellerübergreifend und integriert umsetzbar.
Firewalls und Intrusion-Detection-Systeme (IDS) haben in den vergangenen Jahren nur bedingt Abhilfe geschaffen. Sie funktionieren, solange die Angriffsmuster bekannt sind. Wird eine offiziell unbekannte Schwachstelle ausgenutzt oder ein neues oder abgewandeltes Angriffsmuster verwendet, kommen diese Lösungen schnell an ihre Grenzen. So entstehen nach wie vor die meisten Ransomware-Vorfälle in Produktionen durch Spillover von der Unternehmens-IT.
Auch Angriffe und Manipulationen durch Innentäter sowie technische Fehlerzustände erkennen Firewalls & Co. nicht. Da die einzelnen Produktionskomponenten selten Kapazität für Sicherheitsfunktionen aufweisen, ist die Operational Technology für Angreifer und Schadsoftware eine offene Spielwiese. Integrierte IT-Sicherheit in der Produktion umfasst deshalb ein dediziertes, ganzheitliches Netzwerkmonitoring der OT mit Anomalieerkennung. Ein solches System ergänzt Firewalls und IDS in idealer Weise, um die oben skizzierten Lücken zu schließen.
Wie der OT-Sicherheitsexperte Sebastian Rohr in seinem Buch „Industrial IT Security“ ausführte, herrscht in der OT ein Mangel an Dokumentation und Überwachung. Weder sind alle Komponenten, Netzteilnehmer und Abhängigkeiten bekannt noch herrscht Klarheit über die Aktualität der eingesetzten Betriebssysteme. Die einzige Möglichkeit, etwas über die Kommunikation aus der OT zu erfahren, sind Firewalls an den Netzwerkgrenzen. Innerhalb der OT stehen die Verantwortlichen dagegen vor einer Blackbox.
Industrielles Netzwerkmonitoring bringt Licht in die OT. Éine Netzwerkmonitoring-Lösung wird in die OT integriert und ist auf die vorherrschenden Kommunikationsprotokolle spezialisiert. Dadurch kann jegliche Kommunikation innerhalb der OT überwacht werden – auch Datenaustausch, der direkt zwischen den Anlagen stattfindet und nicht über die Firewalls an den Netzwerkgrenzen läuft.
Das Netzwerkmonitoring identifiziert alle aktiven Geräte, Komponenten und Systeme innerhalb der OT und dokumentiert deren Betriebssysteme, Verbindungen und Kommunikationsverhalten. Durch die Identifikation der Betriebssysteme erfolgt auch ein Abgleich mit der internationalen Schwachstellendatenbank CVE. Verantwortliche für OT-Sicherheit erhalten so umfassende Informationen für ein detailliertes Asset Management sowie über bekannte Schwachstellen in der Infrastruktur.
Die Anomalieerkennung erlaubt eine Echtzeit-Identifikation neuartiger Angriffe, die von den Firewalls übersehen werden. Anstelle der signaturbasierten Gefahrensuche der Firewalls nutzt die Anomalieerkennung eine Verhaltensanalyse. Sie lernt das gängige, zu erwartende Kommunikationsmuster der OT und meldet jede Abweichung von diesem. Dadurch werden auch Angriffe oder schädliche Vorgänge sichtbar, die neuartig sind oder durch Innentäter erfolgen. Das ist bei Spillover-Effekten durch beispielsweise NotPetya oder EKANS, aber auch im Zuge vermehrter Home-Office-Arbeit wichtig.
Im Homeoffice sind die Arbeitsrechner in der Regel mit dem privaten Heimnetz verbunden. Dieses ist jedoch selten ausreichend gesichert. Cyberkriminelle können dadurch einfacher den Arbeitsrechner manipulieren und von dort hinter die gesicherten Netzwerkgrenzen des Unternehmens gelangen. Die Mitarbeitenden tragen sozusagen den Hacker in die Firma.
Ein weiterer Aspekt der integrierten Anomalieerkennung ist die Stabilität der Operational Technology. Spezialisierte OT-Monitoringlösungen wie Rhebo Industrial Protector erkennen neben Sicherheitsvorfällen auch technische Fehlerzustände anhand der überwachten Kommunikation. So werden Fehlkonfigurationen, Überlastzustände und Kommunikationsfehler sichtbar, welche die Stabilität der Produktion – insbesondere der Echtzeitprozesse – gefährden.
Da die Produktion nicht gestört werden soll, arbeitet das Netzwerkmonitoring mit Anomalieerkennung passiv und rückwirkungsfrei. Das ist sinnvoll, da nicht jede Anomalie automatisch einen kritischen Sicherheitsvorfall darstellt, der geblockt werden muss oder für den die gesamte OT heruntergefahren werden muss. Die Entscheidungshoheit, wie mit gemeldeten Anomalien umgegangen werden soll, verbleibt daher bei den Betreibern des Netzwerkmonitorings.
Abhängig vom Anbieter des industriellen Netzwerkmonitoring funktioniert die Lösung zudem herstellerübergreifend. Mittlerweile wurden viele Anbieter von großen Industrieunternehmen übernommen. Nur wenige Anbieter wie Rhebo gewährleisten nach wie vor Herstellerunabhängigkeit und somit bedingungslose Objektivität beim Monitoring. Dadurch wird die Kommunikation auch in einer äußerst komplexen OT lückenlos und übergreifend überwacht.
Die Integration erfolgt in der Regel über alleinstehende Hardware-Software-Pakete, die beispielsweise an Switches oder Router angeschlossen werden. Seit über zwei Jahren steht zudem die Option zur Auswahl, das Monitoring als reine Software oder App auf bestehenden OT-Komponenten zu integrieren. So kann Rhebo Industrial Protector übergreifend auf den weit verbreiteten Industriekomponenten von Bosch Rexroth, Siemens Ruggedcom, Phoenix Contact, Wago und Cisco integriert werden.
Für die leistungsstarken Gateways von Insys icom ergänzt die Lösung auf Wunsch die integrierte Firewall des Herstellers. Für IBM-Komponenten kann das Netzwerkmonitoring im IBM QRadar App-Shop hinzugebucht werden. Das vollständig integrative Netzwerkmonitoring mit Anomalieerkennung erfordert daher keinen kostenintensiven Infrastrukturumbau in der Produktion, denn das Sicherheits- und Stabilitäts-Upgrade der OT erfolgt reibungslos, ohne Produktionsunterbrechung oder zusätzliche Netzwerklast.
Der Autor Klaus Mochalski ist CEO von Rhebo.
Lesen Sie auch: Robotergestützte Röntgenprüfung von Kfz-Türschlössern mit Nullfehlerprinzip
Teilen Sie die Meldung „Operational Technology: IT-Sicherheit als Embedded System umsetzen“ mit Ihren Kontakten:
In der Digitalisierung der Industrie steckt enormes Potenzial für jeden Fertigungsbetrieb und zudem für Deutschland als Wirtschaftsstandort. Welcher Ansatz verspricht auf dem Weg zur Data-driven…
Die Fertigung der Zukunft verfügt über autonom arbeitende, sich selbst organisierende Systeme in Produktion und Logistik. Dies bringt neue Wertschöpfungsmöglichkeiten mit sich, trägt zur Senkung…
Eine wirtschaftliche Fertigung hängt im Wesentlichen von den verfügbaren Informationen ab. Das Coscom Eco-System führt Fertigungsdaten zusammen, erzeugt Beziehungswissen und stellt dies gezielt im Fertigungsprozess…
Im Großteil der von starkem Wandel geprägten Fertigungslandschaft führen automatisierte Qualitätssicherungsprozesse heutzutage die Liste der gefragtesten Funktionalitäten von PLM-Plattformen für das Produktlebenszyklus-Management an.
Mit den Serien ZXP7-41-X1, ZXP7-21-X1, ZXP7-11-X1 und ZXP7-X1-Assista erweitert SMC die Kompatibilität von Vakuum-Greifern mit kollaborativen Robotern (Cobots).
Digitale Plattform-Modelle werden europaweit immer beliebter. Das gilt auch im Bereich der Beschaffung individueller Zeichnungsteile, wie der Online-Fertiger Facturee bestätigt. Für seine B2B-Fertigungsplattform verzeichnet das…
Der Geschäftsbereich Manufacturing Intelligence von Hexagon präsentierte seine Pläne für den Aufbau des branchenweit flexibelsten und offensten Ökosystems für die additive Fertigung (AM). So hilft…
Technische Änderungsanfragen in Produktionssystemen sind unvermeidbar. In der Serienfertigung müssen diese Änderungen bei gleichzeitiger Absicherung der Prozesse umgesetzt werden. Ein praxisnaher Ansatz der FIR an…
Auf den Liebherr Performance Days vom 07.12. bis 09.12.2021 kann man Verzahntechnik und Automation virtuell erleben. In der Tech Arena werden Neuheiten vorgestellt und Live-Vorträge…
Das Fraunhofer-Institut für Produktionstechnologie IPT in Aachen hat gemeinsam mit Industriepartnern einen digitalen Zwilling entwickelt, mit dem sich Bauteilschwingungen bei der Fräsbearbeitung vorhersagen lassen. Mithilfe…
Die neue Version 8 der Manufacturing Management Software (MMS) von Fastems bietet durch datengestützte Einblicke in Fertigungsprozesse die Möglichkeit für eine proaktive Optimierung der CNC-Produktion.…
3D Systems stellt seinen Workflow des selektiven Lasersinterns (SLS) der nächsten Generation vor. Dieser besteht aus dem neuen SLS 380, 3D Sprint, Duraform-Werkstoffen von 3D…
Copyright © 2021 All rights Reserved. WIN-Verlag