Industrie 4.0 zugriffssicher gestalten

Informationstransparenz, Vernetzung von Produktionsmitteln über das Internet of Things (IoT), technische Assistenzsysteme und automatisierte, autonome Entscheidungen cyberphysischer Systeme (Robotik) haben das Potenzial, das Produktionsumfeld nachhaltig umzugestalten und die vierte industrielle Revolution voranzutreiben.

Die Vorteile liegen auf der Hand: Über eine hohe Vernetzung können Produktionsabläufe wesentlich effizienter ablaufen, Produktionsmittel besser in Schuss gehalten werden sowie Produktionskosten durch den effizienteren Einsatz von Mensch und Maschine gesenkt werden.
Dies klingt alles sehr verlockend. Jedoch gibt es auf diesem Weg noch einige Hürden, eine wesentliche ist die IT-Sicherheit.

Sicherheit fraglich

Genau das Thema Sicherheit beschäftigt Hersteller auf ihrem Weg zur Industrie 4.0. Zu hoch sind die Risiken, Opfer eines Cyberangriffs zu werden und zu schwerwiegend ist der Schaden, der entsteht, wenn die Produktion auch nur für einen kurzen Zeitraum stillsteht. Dabei ergeben sich die Herausforderungen für die IT-Sicherheit aus den vier Kernaspekten von Industrie 4.0.

Höhere Vernetzung

Industrieanlagen sind heute wesentlich weiter miteinander vernetzt, als es früher der Fall war. Die Komponenten der Fabrikation werden nicht nur – wie jetzt auch – über Ländergrenzen und organisatorische Einheiten hinaus miteinander verbunden sein, sondern diese Vernetzung erfolgt auch wesentlich dynamischer. So reicht es künftig nicht nur mehr aus, den Zugriff auf die Produktionsmittel innerhalb des eigenen Unternehmens zu steuern, da sich alle Teilnehmer der Wertschöpfungskette daran beteiligen.

Zunahme der Informationen

Die Gesamtmenge der zu verarbeiteten Daten nimmt ständig zu. Diese können entweder absichtlich innerhalb der Kommunikation anfallen oder auf den Systemen zugänglich gemacht werden. Hier handelt es sich um Informationen, die jedes Mitglied der Wertschöpfungskette auf eine andere Art einschätzt. Sind sie für das eine Unternehmen geheim und schützenswert, können sie für das andere weniger vertraulich sein. Doch nicht nur die eigene Einschätzung ist ausschlaggebend. Oft unterliegen Daten aufgrund staatlicher Regularien einem besonders hohen Schutzgrad.

Automatisierte Entscheidungen

Ein weiterer wichtiger Kernaspekt ist die Tatsache, dass Entscheidungen in der Industrie 4.0 zunehmend von autonomen Systemen durchgeführt werden. Diese wirken sich durchaus sicherheitsrelevant aus und ergeben sich aus Änderungen in den Abläufen in den unterschiedlichen Domänen und Partnersystemen. Für die Entscheidung werden so Informationen aus unterschiedlichen Quellen hinzugezogen.

Externe Akteure

Zusätzlich erhalten immer neue externe Akteure wie etwa Zulieferer, Logistiker, Entwickler oder Wartungspersonal für Steuerungssysteme oder Maschinen Zugriff in das unternehmenseigene Produktionsnetzwerk. Dadurch werden seine Grenzen fließender, denn schließlich können die Netzwerk-Administratoren diese Arbeitskräfte nicht aus den Prozessen ausschließen.

Diese vier Faktoren führen dazu, dass weitere Risiken entstehen. Dadurch, dass der Produktionsablauf immer komplexer wird und immer mehr Akteure sich daran beteiligen sollen, fallen alte Methoden der Absicherung der eigenen Netzwerkumgebung nun weg. Wesentliche Herausforderung ist dabei, dass sich die Systemarchitektur entsprechend anpassen kann. Dynamische, echtzeitoptimierte und sich selbst organisierende unternehmensübergreifende Ad-hoc-Wertschöpfungsnetzwerke werden entstehen. Dies alles kann natürlich nicht mehr durch veraltete Mittel abgesichert werden. Wer beispielsweise starre Vorgaben für die Reaktion auf Bedrohungsszenarien einsetzt, könnte in ernste Schwierigkeiten kommen, da Wettbewerber oder Cyberkriminelle weitaus flexibler vorgehen als früher.

Übergeordnetes Sicherheitsmanagement nötig

Aus diesem Grund müssen sich IT-Verantwortliche neu mit den Rollen sowohl der Akteure und – oft vergessen – der beteiligten Subsysteme und Applikationen befassen. Hier müssen nicht nur die Zugriffsrechte der Beteiligten neu definiert werden, sondern auch das Zusammenspiel verschiedener Maschinen. Letzteres ist nötig, da zunehmend Systeme autonom miteinander agieren, ohne dass ein Mensch in diesen Prozess eingreift. Jedoch ist das natürlich besonders dann riskant, wenn Angreifer ein System übernehmen und sich sozusagen huckepack in andere, möglicherweise fremde IT-Umgebungen einschleusen lassen. Grundsätzlich müssen alle Maßnahmen in einer koordinierten OT/IT-Sicherheitsstrategie abgebildet werden, die nicht nur das eigene Unternehmen sondern auch die gesamte Wertschöpfungskette umfasst. Dazu gehört auch, dass die Teilnahme eines Partners am gesamten Prozess davon abhängig gemacht wird, ob er den IT-Sicherheitsrichtlinien zustimmt.

Nicht zuletzt sollten auch technische Maßnahmen wie etwa ein sicheres, protokollübergreifendes Industrial-OT-Gateway eingesetzt werden, denn für ein manuelles Management sind die Prozesse bereits jetzt schon zu komplex. Hierfür eignen sich insbesondere Privileged-Access-Management-Lösungen (PAM).

Wie kann eine PAM-Lösung ein OT-Gateway konkret schützen?

Die Kommunikation mit Industrieanlagen und Produktionsmitteln erfolgt üblicherweise über ein sogenanntes OT-Gateway, welches den Zugriff von Steuerungs- & Analysesoftware, Robots sowie des Wartungspersonals ermöglicht.

Um für diese Zugriffe maximale Sicherheit zu gewährleisten, sind vor allem zwei Punkte zu beachten:

1. Steuerungs- und Analysesoftware sollte ausschließlich mit den geringstmöglichen Privilegien ausgeführt werden, die für den ordnungsgemäßen Betrieb notwendig sind. Hier spricht man vom „Principle of Least Privilege“ (POLP). Diese Mindest-Privilegien können für die verschiedenen Produktionsmittel (OT-Devices) unterschiedlich sein und sollten somit dynamisch vergeben werden können.
   
2. Die Zugangsdaten zu den Produktionssystemen dürfen niemals auf dem OT-Gateway selbst abgelegt werden. Die Erfahrung zeigt jedoch, dass in vielen Fällen statische Passwörter – oftmals sogar im Klartext – direkt in den Anwendungen auf dem OT-Gateway hinterlegt sind. Dies stellt ein enormes Sicherheitsrisiko dar.

Mit einer speziell auf OT-Gateways angepassten PAM-Lösung können die Privilegien sämtlicher Applikationen automatisch und dynamisch so angepasst werden, dass für sämtliche Arbeitsschritte ausschließlich die geringstmöglichen Berechtigungen angewendet werden – selbst wenn die Applikation aus einem Administrator-Kontext heraus gestartet wird.

Ebenso werden die Zugangsdaten zu den Produktionsmitteln dynamisch für die jeweilige Sitzung aus einem sicheren Passwort-Tresor angefordert und sind auf dem OT-Gateway zu keiner Zeit mehr einsehbar.

Insofern hinaus müssen sich die Unternehmen darüber klarwerden, dass ein ganzheitlicher Ansatz, das Privileged Access Management sowohl für Administratoren als auch für externe Partner, Lieferanten und Dienstleiter sowie Anwendungen notwendig ist, um in dynamischen, vernetzten Welten der Industrie 4.0 für signifikante Verbesserung der Sicherheit zu sorgen. PAM hilft den Unternehmen die Prozesse und Datenzugriffe nicht nur zu verwalten, sondern auch zu auditieren. Dies ist ein wichtiger Aspekt, um eben nicht nur die Sicherheit zu erhöhen, sondern auch, um rechtlichen Anforderungen zu entsprechen oder diese gar zu übertreffen.

Falls IT-Entscheider ihre Sicherheitsmaßnahmen automatisieren und diese auf alle Prozesse ausdehnen, steht einer Einführung von sicherer und vertrauensvoller Industrie 4.0 nichts mehr im Wege.

www.wallix.com/de/

Stefan Rabben erläutert im Interview, warum privilegierte Konten ein lohnendes Ziel für Cyberkriminelle darstellt.
Lesen Sie mehr: https://www.trendreport.de/privilegierte-konten-ein-lohnendes-ziel-fuer-cyberkriminelle/

Aufmacherbild / Quelle / Lizenz
Bild von Pete Linforth auf Pixabay
Beitragsbild:
Bild von Gerd Altmann auf Pixabay