Die Art und Weise wie Fertigungs- und Industrieanlagen heutzutage arbeiten, hätte sich vor einigen Jahrzehnten noch niemand vorstellen können. Mehr und mehr Konnektivität und gemeinsame Datennutzung führen zu einem deutlichen Wandel von Unternehmen und ihrer Betriebsabläufe. IT- und Produktions-Systeme werden zusehends integriert und es kommen neue Technologien zum Einsatz, beispielsweise Mobilfunk, Data Analytics, Cloud und Virtualisierung.
Mehr Konnektivität bedeutet auch mehr Angriffsfläche
Mit der Art der Fertigung und den industriellen Betriebsabläufen haben sich jedoch auch die Sicherheitsrisiken geändert. Eine größere Anzahl verbundener Betriebsabläufe schafft mehr potenzielle Zugangspunkte, die ein Sicherheitsrisiko darstellen können. Diese Risiken können unterschiedlicher Natur sein: physikalisch oder digital, intern oder extern, böswillig oder versehentlich.
Die Industriesicherheit muss daher ganzheitlich betrachtet werden. Sie sollte sich von der Betriebsebene über die Fertigungsebene bis hin zu den Endgeräten erstrecken und Risiken auf Personen-, Prozess- und Technologieebene adressieren. Außerdem muss die Zusammenarbeit zwischen den IT- und Produktions-Teams mit einbezogen werden. Beide Seiten spielen eine wichtige Rolle.
Die drei Säulen der Sicherheit
Zu den Kernpunkten eines ganzheitlichen Sicherheitsansatzes gehören:
Sicherheitsbeurteilung: Führen Sie eine unternehmensweite Beurteilung durch, um die Risikobereiche und potenziellen Bedrohungen zu erkennen.
Defense-in-Depth-Ansatz: Implementieren Sie einen mehrschichtigen Sicherheitsansatz, der mehrere Fronten und Verteidigungslinien aufbaut.
Vertrauenswürdige Lieferanten: Stellen Sie sicher, dass Ihre Automatisierungszulieferer bei der Konzeption der Produkte zentrale Sicherheitsprinzipien erfüllen.
1. Sicherheitsbeurteilung
Für die Entwicklung und Umsetzung eines effektiven industriellen Sicherheitsprogramms ist es zunächst erforderlich, die Risiken und gefährdeten Bereiche innerhalb einer Organisation auszumachen. Mithilfe einer Sicherheitsbeurteilung sind Unternehmen in der Lage, den aktuellen Sicherheitsstatus hinsichtlich Software, Netzwerke, Steuerungssysteme, Richtlinien und Verfahren und sogar Mitarbeiterverhalten zu erfassen. Dies sollte der Ausgangspunkt für jegliche Sicherheitsstrategie sein.
Eine Sicherheitsbeurteilung sollte zumindest folgende Punkte umfassen:
Bestandsaufnahme der autorisierten und nicht autorisierten Geräte und Software.
Detaillierte Überwachung und Dokumentation der Systemleistung.
Identifikation der Toleranzschwellen und Risiken/Schwachstellen
Priorisierung jeder Schwachstelle basierend auf den möglichen Auswirkungen und dem Nutzungspotenzial.
Das Endergebnis jeder Sicherheitsbeurteilung sollte eine dokumentierte und umsetzbare Liste mit Maßnahmen zur Risikominderung umfassen, die notwendig sind, um einen Betriebsablauf auf ein akzeptables Sicherheitsniveau zu bringen.
2. Defense-in-Depth-Ansatz
Industriesicherheit lässt sich am besten als Komplettsystem über alle Betriebsabläufe hinweg umsetzen, wobei ein DiD-Sicherheitsrahmen (Defense-in-Depth) diesen Ansatz unterstützt. Ausgehend davon, dass jede geschützte Stelle überwunden oder durchbrochen werden kann, baut der DiD-Ansatz dank einer Kombination physikalischer, elektronischer und verfahrenstechnischer Sicherheitsvorkehrungen mehrere Schutzebenen auf.
Ein Defense-in-Depth-Sicherheitsansatz besteht aus sechs Hauptkomponenten. Dazu gehören:
festgelegte Richtlinien und Verfahren,
physikalische Sicherheit,
Netzwerkinfrastruktur,
Computer/Software,
Anwendung,
Authentifizierung und Identifikation von Geräten.
3. Vertrauenswürdige Lieferanten
Auch die Lieferanten der Automatisierungstechnik sind integraler Bestandteil der Schutzmaßnahmen im Hinblick auf die Produktions-, Qualitäts- und Sicherheitsanforderungen. Bei der Auswahl des richtigen Anbieters sind Sicherheitsrichtlinien und -verfahren abzuklären, bevor eine Entscheidung getroffen werden sollte. Es ist zu prüfen, ob der Anbieter die fünf grundlegenden Sicherheitsprinzipien zur Konfiguration von Produkten in einem Steuerungssystem erfüllt. Zu diesen Prinzipien gehören:
Sichere Netzwerkinfrastruktur: Der Anbieter kann Daten auf der Automatisierungsebene sicher und vertraulich aufbewahren. Eine integrierte Technologie beispielsweise validiert und authentifiziert Geräte, bevor diese auf das Netzwerk zugreifen dürfen.
Authentifizierungs- und Richtlinenverwaltung: Die Richtlinien eines Unternehmens bestimmen die Datenzugriffsebene der Mitarbeiter. Mithilfe von Zugriffskontrolllisten können Automatisierungsprodukte diese Richtlinien unterstützen, um den Zugriff der Anwender auf Geräte und Anwendungen zu verwalten.
Content-Schutz: Das geistige Eigentum von Unternehmen ist die Basis aller betrieblichen Abläufe. Automatisierungslösungen können es schützen, indem sie Routinen und Add-On-Befehlen Passwörter zuweisen und die Zugriffsmöglichkeiten der Benutzer zur Ansicht und Bearbeitung von Daten über eine digitale Rechteverwaltung einschränken.
Manipulationserkennung: Eine integrierte Manipulationserkennung kann unbefugte Systemaktivitäten erkennen und die richtigen Mitarbeiter alarmieren. Mit dieser Funktion lassen sich auch die wesentlichen Details protokollieren, beispielsweise das Wo und Wie eines versuchten Eindringens und, ob möglicherweise etwas geändert wurde.
Zuverlässigkeit: Zu einem zuverlässigen Sicherheitsansatz des Lieferanten gehören mögliche Sicherheitsschulungen für Mitarbeiter, eine sicherheitsorientierte Entwicklung sowie Produkttests gemäß globaler Sicherheitsstandards. Dazu gehört auch die Durchführung einer abschließenden Sicherheitsprüfung vor der Produktfreigabe, die Überprüfung, dass Prozesse die neuesten Standards erfüllen und auf aktuellen Technologien basieren, sowie ein Plan für die Bereinigung von Schwachstellen.
Fortschritt schützt
Sicherheitsrisiken werden auch in Zukunft nicht weniger. Sie entwickeln sich weiter im selben Maß, wie die Industrie ihre Sicherheitsmethoden ändert oder neue Abwehrmechanismen implementiert. Die Risikomanagementstrategie von Unternehmen muss daher kontinuierlich auf dem neuesten Stand gehalten werden und sich mit der sich ändernden Bedrohungslage weiterentwickeln oder dieser sogar einen Schritt voraus sein.
Mit der stetigen Weiterentwicklung der Betriebsabläufe hin zu stärkerer Vernetzung mag der Umfang der Sicherheitsfragen gewaltig erscheinen. Mit den hier aufgeführten Konzepten können Unternehmen sich jedoch nach den besten Industriestandards ausrichten, um geistiges Eigentum, Anlagen, Ressourcen, Mitarbeiter und Wettbewerbsvorteile zu schützen.