Warum die IT Security eine Schlüsselrolle bei der Digitalisierung von Produktionen spielt
Oft ist IT Security immer noch negativ behaftet – ein Kostenpunkt, der auf den ersten Blick nicht direkt zur Steigerung von Produktivität beisteuert. Wenn man genauer hinsieht, stellt man jedoch fest, dass IT-Sicherheit sogar ein Enabler für digitale Transformationen ist und sie umgekehrt, wenn nicht umgesetzt, zur Hauptblockade für die Durchführung erfolgreicher Industrie 4.0 Projekte wird. Was wir also brauchen ist ein Paradigmenwechsel und damit verbunden ein besseres Image für die IT-Sicherheit. Denn das wichtigste Ziel der OT – die Verfügbarkeit sicherzustellen – ist nur durch eine Erhöhung des Security-Niveaus möglich.
Warum wir IT Security brauchen
IT-Sicherheit lässt sich am besten mit einer Versicherung vergleichen: Im besten Fall braucht man sie nicht, sollte es aber doch mal zu einem Schaden kommen, kann ihr Vorhandensein Existenzen retten.
Warum brauchen wir also IT Security?
Wenn wir uns für die digitale Transformation entscheiden und unsere Anlagen in der Produktion vernetzen, um dadurch Prozesse zu automatisieren und optimieren, bedeutet das zunächst einmal ein flächendeckender Einsatz von IT-Komponenten und Technologien. Diese Komponenten müssen wir schützen, denn hier geht es dann im Falle eines Vorfalls nicht mehr „nur“ um den Ausfall von Systemen im Office-Bereich, sondern um Leerläufe in der Produktion, die wiederum hohe Kosten verursachen. Deshalb kommen wir um das Thema Cybersecurity nicht herum. Sie muss zur Triebfeder werden und als Schlüsselelement – als „Muss“ angesehen werden.
„Als zentraler Enabler einer nachhaltig erfolgreichen digitalen Transformation gilt neben angemessenen technischen Sicherheitsvorkehrungen, unternehmensinterner Cyberhygiene und dem Verständnis von Cybersicherheit als Wettbewerbsvorteil zuletzt auch ein Netzwerk der Köpfe. Denn nur durch gemeinsames Handeln, regen Austausch und Know-how-Transfer kann Cybersicherheit nachhaltig verbessert werden.“
(Hans-Wilhelm Dünn, Präsident – Cyber-Sicherheitsrat Deutschland e.V.)
Die Herausforderung: IT Security einführen
Dieses Bewusstsein in Industrieunternehmen zu schaffen, stellt viele vor Herausforderungen. Dafür ist es unerlässlich, dass die verschiedenen Bereiche der IT und OT zusammenarbeiten. Auch wenn diese oft unterschiedliche Ziele verfolgen und ein abweichendes Prozessverständnis herrscht, führt nur die Harmonisierung dieser zwei Welten zum Ziel. Auch die zunehmende Komplexität der vernetzen IT-Systeme stellt viele Unternehmen vor Probleme. Es fehlt oft das Know-how, um die IT-Sicherheit umzusetzen.
Die Lösung: Wie IT Security zum Enabler wird
Um sich besser zu positionieren und die Möglichkeiten von Industrie 4.0 zu nutzen, benötigen Unternehmen ein ganzheitliches Sicherheitskonzept. Dabei kommt es auf den koordinierten Einsatz mehrerer Sicherheitsmaßnahmen mit mehreren unabhängigen Sicherheitsschichten an (Defense in Depth). Durch die Vielzahl an Maßnahmen ist es für den Angreifer wesentlich schwerer in das System einzudringen. Dem Angreifer muss es gelingen, nicht nur eine einzige Sicherheitslücke zu finden, sondern jede Verteidigungsebene zum Schutz von Assets zu überwinden.
Metaphorisch betrachtet, lassen sich Maßnahmen, die gegen das Ausbreiten von Viren unter Menschen helfen, wie z.B, Abstand halten, Hände waschen, etc. mit den Sicherheitsmaßnahmen im Netzwerk vergleichen. Nur im Zusammenschluss aller Maßnahmen können wir eine Ansteckung mit Viren oder einen Angriff auf das Netzwerk weitestgehend verhindern.
Bestandteile eines ganzheitlichen Sicherheitskonzepts:
Ein ganzheitliches Sicherheitskonzept besteht aus mehreren Maßnahmen. Wir sehen diese vier Säulen als Hauptbestandteile:
Problem: Betreiber wissen häufig nicht, welche Geräte in ihrem OT-Netz vorhanden sind.
Lösung: Transparenz herstellen durch ein Assessment des Netzwerks: Inventar der Assets, zugrundeliegender Automationsprozess, Netzwerkteilnehmer und deren Kommunikation untereinander.
Problem: Unzureichende Trennung und Kontrolle von IT und OT Netzen.
Lösung: Aufteilung des Netzwerks in kleine Teilbereiche: Segmentierung der Produktionsanlagen in „Zellen“ und Absicherung durch Firewalls, sodass ein Störfall auf eine Anlage begrenzt werden kann.
Problem: Cyber-Security ist kein abgeschlossenes Projekt, sondern muss kontinuierlich betrieben werden.
Lösung: Die Sicherheitsmaßnahmen müssen kontinuierlich überprüft und angepasst werden nach dem PDCA-Zyklus.
Sichtbarkeit
Sichtbarkeit im Netzwerk herzustellen, sollte der erste Schritt auf dem Weg zu einem ganzheitlichen Sicherheitskonzept sein. Denn man kann nur schützen, was man kennt. Volle Transparenz ist deshalb entscheidend. Vor allem im industriellen Umfeld wissen Betreiber häufig nicht, welche Geräte in ihrem OT-Netz vorhanden sind. Ein Assessment des Netzwerks hilft hier weiter. Im ersten Schritt sollte ein Inventar aller Assets durchgeführt werden. Aber auch die zugrundeliegenden Automationsprozesse, die Netzwerkteilnehmer und ihre Kommunikation untereinander sowie eine Definition, was geschützt werden muss, ist empfehlenswert. Denn wenn wir nicht genau wissen, welche Netzwerkteilnehmer im Netzwerk existieren, sind unsere ergriffenen Maßnahmen nicht effizient oder schlagen sogar fehl. Deshalb sind Informationen von elementarer Bedeutung.
Als Grundlage dafür eignet sich ein Anlagenerfassungsblatt und eine Kommunikationsmatrix. Als Faustregel gilt: Umso besser und aussagekräftiger das Assessment ist, desto reibungsloser läuft die Netzwerksegmentierung, unsere zweite Säule.
Netzwerksegmentierung
Durch die Vernetzung entsteht für Betreiber oft das Gefühl, dass IT und OT Netzwerke nicht ausreichend voneinander getrennt und kontrollierbar sind. Die Segmentierung des Netzwerks löst dieses Problem. Die Netzwerksegmentierung gehört zu den ältesten und bewährtesten Strategien, um Systeme sicherer zu gestalten. Sie verhindert, dass Schadsoftware sich im Netzwerk von einem System auf ein anderes ungehindert ausbreiten kann. Nach dem Assessment des Netzwerks müssen die Netzwerkbereiche mit gleichem Schutzbedarf definiert werden, die dann über geeignete technische Maßnahmen voneinander abgetrennt werden. Die Schnittstellen zwischen den einzelnen Segmenten sollten für eine reibungslose Kommunikation klar definiert und abgesichert werden. Durch den Einsatz von Firewalls kann der Traffic überwacht und ggf. blockiert werden. Bestenfalls handelt es sich um Firewalls, die den Inhalt der Pakete analysieren und bewerten können. Im Falle einer Infektion mit Schadsoftware kann diese sich dann lediglich in einem Netzwerksegment ausbreiten, sodass der potenzielle Schaden minimiert wird.
Der Fokus der Netzwerksegmentierung sollte zunehmend auf den OT-Bereich gerichtet werden. Denn die Maschinen sind untereinander hoch vernetzt, es genügt also nicht mehr nur die Office-IT von der Produktions-IT zu trennen. Je kleiner die Segmente, desto höher die Sicherheit.
Endpoint Security
Ransomware kann vor allem in OT-Umgebungen zum Problem werden, da Betreiber veraltete Systeme verwenden. Umso wichtiger ist es, die Endgeräte mit „Endpoint-Security Maßnahmen“ gut abzusichern.
Vorteilhaft ist die Verwendung einer fortschrittlichen Endpoint-Security Plattform, die Endgeräte sowohl vor als auch nach der Infektion schützt und Angriffe und Ransomware-Verschlüsselung in Echtzeit und automatisch stoppt. Maschinell lernende Antivirus-Lösungen verhindern Malware Infektionen indem Sie potenzielle Bedrohungen in Echtzeit erkennen und entschärfen, sowie automatisiert reagieren.
Außerdem sorgen folgende Maßnahmen für zusätzliche Prävention:
Whitelisting-Application-Control: Der Endpunkt hat keine Berechtigungen, um neue Anwendungen zu installieren oder zu starten, die nicht auf der „Whitelist“ stehen und durch die Application Control Lösung freigegeben sind.
Berechtigungsmanagement: Lokale Admin Rechte sollten vermieden werden, so können z.B. nicht einfach neue Programme installiert werden.
Benutzer-Sensibilisierung: Der User ist immer noch die größte Gefahr. Deshalb ist es wichtig, Mitarbeiter regelmäßig zu schulen und über neue Cyberrisiken und den Umgang damit zu informieren.
Netzwerkoptimierung
Durch die Umsetzung von IT-Sicherheitsmaßnahmen sichern wir uns gegen Bedrohungen für das Produktionsumfeld ab und gewährleisten die Schutzziele der Produktion:
Verfügbarkeit der Produktionsdaten
Datenintegrität
Vertraulichkeit von Informationen
Sicherheit ist aber kein statischer Zustand, der anhält, wenn er einmal erreicht wurde, sondern ein Prozess, der kontinuierlich angepasst werden muss. Durch die Weiterentwicklung von Geschäftsprozessen, Infrastrukturen, rechtlichen Rahmenbedingungen, neuen Techniken und das Auftreten von neuen Schwachstellen ist es zwingend notwendig, IT-Sicherheit dauerhaft aufrechtzuerhalten und kontinuierlich zu verbessern. Der gesamte Sicherheitsprozess unterliegt daher einem Lebenszyklus. Eine mögliche Vorgehensweise, die auch die IEC 62 443 vorschreibt, ist der „Plan-Do-Check-Act“ (PDCA)-Zyklus. Innerhalb dieses Zyklus sollten Bedrohungen und Auswirkungen eines potenziellen Angriffs fortlaufend bewertet werden und dann mit entsprechenden Maßnahmen darauf reagiert werden.
Plan – Planung von Sicherheitsmaßnahmen
Do – Umsetzung der Maßnahmen
Check – Erfolgskontrolle, Überwachung der Zielerreichung
Act – Beseitigung von Defiziten, Verbesserung
Durch die Anwendung des PDCA-Zyklus nach William Edwards Deming erhält das Netzwerk immer den bestmöglichen Schutz. Insbesondere die Erfolgskontrolle und die kontinuierliche Verbesserung spielen eine übergeordnete Rolle im Sicherheitsprozess. Denn nur durch regelmäßige Überprüfung kann die Wirksamkeit der organisatorischen und technischen Schutzmaßnahmen auf Dauer sichergestellt werden.
Der wahre Nutzen: Echte wirtschaftliche Chancen durch den Einsatz von Security
„Funktionieren die IT-Systeme eines Unternehmens, so funktionieren auch die wirtschaftlichen Prozesse, wie bspw. die Produktion von Wirtschaftsgütern.“
Einfach aber wahr: Ohne funktionierende IT-Systeme steht auch die Produktion still. Dieser Zusammenhang verdeutlich deshalb den wahren wirtschaftlichen Nutzen von IT-Sicherheit: DieVerfügbarkeit der Produktion. Denn nur durch die stabile Produktion der Güter, kann Umsatz generiert werden.
Diese Gründe für Industrial Security stellen echte wirtschaftliche Chancen dar, anstatt nur Geld zu kosten:
Fehlerinformation:
Die vereinfachte Fehlersuche bei Netzwerkproblemen erhöht die Anlagenverfügbarkeit und senkt Ihre Personalkosten.
Versicherung:
Das Entgegenwirken von Sicherheitsvorfällen ermöglicht Ihnen bessere Versicherungskonditionen.
Externe Wartungskosten:
Standardisierte Lieferantenzugänge machen effizientere Wartungen möglich und senken die externen Betriebskosten Ihrer Anlagen.
Digitale Transformation:
Durch Investitionen in moderne Infrastrukturen als Grundlage für Industrie 4.0, Innovationen und IIoT Services erreichen Sie eine bessere Markt- und Wettbewerbsposition.
Faktor Mensch:
Reduktion von menschlichen Fehlern durch den Einsatz von Technologie.
Netzwerkperformance
Durch eine verbesserte Netzwerkstruktur können Sie die Grundperformance des Produktionsnetzeserhöhen. Das führt dann wiederum zu geringeren Produktionskosten.
Informationsverarbeitung
Eine verbesserte Informationslage und optimierte Prozesse führen zur Reduzierung von Leerläufen.
Gesetzes- und Normkonformität
Bei umgesetzter IT-Sicherheit werden gesetzliche Vorgaben, wie z.B. BSI Grundschutz, IEC 62443 oder ISO 27001 eingehalten.
Netzwerkstruktur:
Ein strukturiertes Netzwerk und Sicherheitsprozesse verbessern die Verfügbarkeit der Linien und Anlagen.
Know-how Schutz:
Der Schutz und Ausbau Ihres Know-hows wird maßgeblich erhöht.