Schloss vor einer vernetzten Weltkarte

Industrial Security Wie sicher ist Ihr Unternehmen?

In Zeiten der Digitalisierung ist nichts wichtiger als der Schutz von Daten – Ihrer persönlichen aber vor allem auch der Ihres Unternehmens. Weltweit waren etwa 66 % der kleinen und mittelständischen Industrieunternehmen bereits Ziel von Cyber-Angriffen. Viele Unternehmen sind sich zwar der Gefahr durch Cyber-Kriminalität bewusst, unterschätzen jedoch die kostspieligen Konsequenzen für ihre Maschinen und Anlagen. Industrial-IT-Security kann Ausfälle, Sabotage oder Datenverlust verhindern und Ihre Produktion somit vor einem hohen wirtschaftlichen Schaden schützen.

Übersicht der verschiedenen Eigenschaften von IT- und ICS-Security

Die Anforderungen von ICS- und IT-Security im Vergleich

Das Zusammenspiel von IT und OT

Die Sicherheit Ihres Unternehmens befindet sich in zwei Welten: IT (Information Technology) und OT (Operational Technology). Um den Schutz Ihrer Netzwerke und Anlagen im Zeitalter von Industrie 4.0 sicherzustellen, sind die Betrachtung beider Welten und ein gesamtheitliches Sicherheitskonzept notwendig.

Denn die von der IT definierten Maßnahmen müssen durch zusätzliche OT-Security-Lösungen erweitert werden und die unterschiedlichen Schutzziele berücksichtigt werden.

Der Schutz von Daten betrifft jede Branche Klicken Sie auf die Hotspots, um mehr zu erfahren

Interaktive Image Map: Industrial Security Branchenüberblick
Maschinenhersteller
Cyber-Sicherheit steigert die Zuverlässigkeit und Verfügbarkeit Ihrer Maschinen. Für eine Fernwartung beim Kunden ist außerdem eine sichere Fernverbindung Voraussetzung.
Automobilindustrie
Industrial-Security-Mechanismen sichern die Verfügbarkeit Ihrer Produktionsstraßen und können diese möglicherweise sogar erhöhen.
Anlagenbetreiber
Industrial Security sichert nicht nur die Verfügbarkeit und den zuverlässigen Ablauf Ihrer industriellen Anlagen und Prozesse, sondern schützt auch Ihr Produktions-Know-how.
Energie
Unternehmen in der Energiewirtschaft spielen eine wichtige Rolle in der Grundversorgung der Menschen. Aus diesem Grund verpflichtete der Gesetzgeber in vielen Ländern die Betreiber von Anlagen der kritischen Infrastruktur, ihre Anlagen gegen einen unberechtigten Zugriff zu schützen.
Wasser/Abwasser
Um die stetige Trinkwasserversorgung und Abwasserreinigung zu gewährleisten, sichern Sie Ihren Fernzugriff auf entlegene Pumpen- und Aufzugsstationen und schützen damit Ihre Automatisierungssysteme vor den zunehmenden Cyber-Angriffen aus dem Internet.
Öl und Gas
Eine gehackte Anlage kann schnell nicht nur zu einem finanziellen Verlust führen, sondern auch zum Sicherheitsrisiko Ihrer Mitarbeitenden werden. Industrial Security ist in explosiven und leicht entflammbaren Bereichen als Safety-Voraussetzung anzusehen.

Vernetzung bietet große Chancen, aber auch einige Schwächen

Die Vorteile einer wachsenden Vernetzung, wie Steigerung der Produktivität oder Flexibilisierung, sind offensichtlich. Doch durch die steigende Vernetzung und der damit folgenden schnellen Fusion von IT und OT entstehen zunehmend erweiterte Angriffsoberflächen in Unternehmensnetzwerken. Damit geraten auch kritische Infrastrukturen (KRITIS) verstärkt ins Visier von Cyber-Angriffen aller Art: Kriminellen gelingt es immer wieder, mögliche Schwachstellen im IIoT (Industrial Internet of Things) auszunutzen und damit Zugriff auf Unternehmen und Infrastrukturen zu erhalten. Somit stellt sich hier die Frage, wie großflächig Automatisierungsumfelder vernetzt und dabei gleichzeitig Industrieanlagen und KRITIS gegen Hackerangriffe oder Schad-Software gesichert werden können.

Die folgenden Punkte geben Ihnen eine Übersicht über die größten Bedrohungen und mögliche Schutzmaßnahmen.

Topologie eines segmentierten Netzwerks

Lösung: Netzwerksegmentierung

Störungen aus dem Office

Störungen und Viren, z. B. aus dem Office-Umfeld, können direkt in den Produktionsbereich übertragen werden.

Lösung: Netzwerksegmentierung

Durch die Aufteilung großer Netzwerke in kleine Segmente kann der Datenaustausch zwischen den verschiedenen Zonen, z. B. zwischen Produktion und Office oder zwischen verschiedenen Anlagenteilen, gesteuert werden. Die Trennung der einzelnen Segmente kann mithilfe von VLANs oder Firewalls erfolgen. Für die Kommunikation zwischen den einzelnen Netzwerksegmenten müssen dann Router oder Layer-3-Switches eingesetzt werden. Diese Geräte fangen typische Netzwerkfehler auf, sodass sie sich nicht weiter im restlichen Netzwerk verbreiten können.

Topologie: Das CIFS-Integrity-Monitoring erkennt Veränderungen an Systemsteuerungen und dämmt diese frühzeitig ein

Lösung: Eingrenzung der Kommunikation

Befall mit Schad-Software

Häufig ist Schad-Software so konzipiert, dass sie versucht, sich auf benachbarte Systeme auszubreiten und diese auch zu befallen. Beispiel hierfür ist die WannaCry-Schad-Software, die ungepatchte Windows-Systeme befallen hat.

Lösung: Eingrenzung der Kommunikation

Durch die Verwendung von Firewalls kann die Verbreitung entsprechender Schad-Software begrenzt oder verhindert werden. Wenn alle Kommunikationsmöglichkeiten unterbunden werden, die nicht technisch notwendig sind, sind viele Angriffe nicht mehr möglich. Zusätzlich hilft ein industrietaugliches Integrity Monitoring (z. B. CIM), Veränderungen und Manipulationen an Windows-basierten Systeme wie Steuerungen, Bedieneinheiten oder PCs frühzeitig zu erkennen und einzudämmen.

Topologie: Sichere Fernwartung mit Firewalls am Internetzugang

Lösung: Verschlüsselte Datenübertragung

Hacker-Angriffe

Kriminelle können über eine offene Internetverbindung Daten kopieren oder Änderungen an der Anlage durchführen.

Lösung: Verschlüsselte Datenübertragung

Automatisierungssysteme sollten vom Internet aus nicht zugänglich sein. Dies wird durch eine Firewall am Internetzugang erreicht, die allen eingehenden aber auch den ausgehenden Verkehr auf notwendige und zugelassene Verbindungen beschränkt. Alle Weitverkehrsverbindungen sollten verschlüsselt durchgeführt werden, z. B. durch VPN mit IPsec.

Switch mit abgeschalteten Ports

Lösung: Ports absichern

Infizierte Hardware

Infizierte Hardware wie USB-Stick oder Laptops können Schad-Software ins Netzwerk übertragen.

Lösung: Ports absichern

Über die Funktion Port Security können Sie direkt an Ihren Netzwerkkomponenten einstellen, dass unerwünschte Teilnehmer keine Daten mit dem Netzwerk austauschen dürfen. Darüber hinaus sollten Sie freie Ports, die nicht benötigt werden, abschalten. Einige Komponenten bieten zusätzlich die Möglichkeit, Sie via SNMP und Meldekontakt zu alarmieren, wenn ein unberechtigter Zugriff auf das Netzwerk registriert wird.

Topologie: Steuerung der Fernwartung mithilfe eines Schlüsselschalters

Lösung: Sicherer Fernzugriff

Unberechtigter Zugriff auf Anlagen

Aus der Ferne werden versehentlich Änderungen am falschen System durchgeführt.

Lösung: Sicherer Fernzugriff

Der sichere Fernzugriff auf eine oder mehrere Maschinen kann mit unterschiedlichen technologischen Lösungen realisiert werden. Zum einen wird die Kommunikation nach außen verschlüsselt, z. B. über IPsec oder OpenVPN. Zum anderen kann über einen Schlüsselschalter an der Maschine die Fernwartung initiiert werden.

So wird sichergestellt, dass nur an der Maschine Änderungen vorgenommen werden, an der dies beabsichtigt ist. Gleichzeitig können über den Schlüsselschalter die Kommunikationsregeln im Netzwerk für die Zeit der Fernwartung blockiert werden.

 Topologie: Sichere Einbindung von mobilen Endgeräten mit Einmalpasswörtern und DMZ

Lösung: Sichere WLAN-Passwortvergabe

Mobile Endgeräte

Nicht autorisierte Smart Devices verbinden sich über die WLAN-Schnittstelle.

Lösung: Sichere WLAN-Passwortvergabe

Sind WLAN-Passwörter bekannt und über längere Zeit unverändert, ermöglicht das auch einen unkontrollierten Zugriff Dritter auf das Maschinennetzwerk. WLAN-Komponenten von Phoenix Contact ermöglichen daher ein automatisiertes Schlüsselmanagement durch die Maschinensteuerung. So lassen sich sichere WLAN-Maschinenzugänge in Form von Einmalpasswörtern einfach realisieren.

Zusätzlich kann die WLAN-Kommunikation über eine demilitarisierte Zone (DMZ) abgesichert und vom restlichen Netzwerk isoliert werden.

Der 360°-Security-Kreis, bestehend aus sicheren Produkten, sicheren Dienstleistungen und sicheren Lösungen

Unser vollständiges 360°-Security-Konzept

360°-Security – unser vollständiges Angebot ohne Kompromisse

Eine gute Absicherung gegen Cyber-Angriffe kann nur gelingen, wenn aufeinander abgestimmte technische und organisatorische Maßnahmen ineinandergreifen. Deshalb bieten wir 360°-Security, die den Schutz von Anlagen vereinfacht und sie von allen Seiten absichert:

Sichere Dienstleistungen
Unsere geschulten und kompetenten Security-Spezialisten beraten Sie, wie Sie die individuellen Sicherheitsrisiken in Ihrer Anlage minimieren können, und erstellen auf Wunsch ein Security-Konzept (zertifiziert nach IEC 62443-2-4). Darüber hinaus geben wir unser Wissen in Schulungen weiter, um auch Ihre Mitarbeitenden fit für Cyber Security zu machen.

Sichere Lösungen
Unsere Security-Konzepte schützen Ihre kritischen Prozesse, z. B. mithilfe von Zonenkonzepten, einer Datenflusskontrolle und dem Einsatz gehärteter Komponenten. Außerdem werden sichere Prozesse etabliert und dokumentiert.

Sichere Produkte
Security ist im gesamten Lebenszyklus unserer Produkte verankert – vom sicheren Entwicklungsprozess (zertifiziert nach IEC 62443-4-1) über die Integration wichtiger Security-Funktionen bis zu regelmäßigen Updates und Security-Patches.