Die wichtigsten Sicherheitsprobleme in der Industrie und wie man sie angeht

The main security issues encountered in industry, and how to address them

Industrielle Steuerungssysteme (ICS – Industrial Control Systems) sind komplexe und kritische Elemente für den Betrieb der industriellen Infrastrukturen. Sie verbinden den digitalen mit dem physischen Teil und interpretieren die Befehle, die Ihre Installation steuern. Eine Schlüsselrolle mit starkem Bedarf an Risikomanagement. Dank unserer Kunden und unserer Erfahrung sehen Sie hier die Liste der 9 häufigsten Problematiken. Und vor allem wie wir darauf reagieren!

1. „Ich muss die Verfügbarkeit meiner Industrieanlage garantieren“

Für Industrieanlagen gilt eine einfache Regel: sie müssen immer betriebsbereit sein. Ein überlastetes Netzwerk, ein Verlust der Konnektivität oder ein Denial-of-Service (DDoS)-Angriff können zu einem Bruch in der Kontrollkette und damit zu einem kurzen oder längeren unbeabsichtigten Abbruch führen.

Ein Bruch, der die Anlage beeinträchtigt, die Produktivität reduziert oder größere Probleme (Umweltauswirkungen oder Risiken für die Menschen) verursacht. Beispielsweise kann man sich in einer Gießerei einen Tank voll geschmolzenem Metall vorstellen, der nicht mehr ausreichend erwärmt wird und seinen Behälter erstarren lässt; man müsste dann das gesamte System zerstören und die Anlage komplett ersetzen. Beim Transport kann man sich einen Zug vorstellen, der an eine defekte Weiche kommt, die ihn in die falsche Richtung schickt.

 

Netzwerkverfügbarkeit mit Stormshield Network Security sicherstellen
Um diesen Anforderungen gerecht zu werden, bietet die Stormshield Network Security-Serie eine Hochverfügbarkeitsfunktion, die im Störungsfall die Kontinuität der Dienste gewährleistet. Unsere industrielle Firewall, die Sni40, verfügt zudem über einen Fail-Safe-Modus, der die Konnektivität auch bei Geräteausfall garantiert.


2. „Ich muss die Integrität meiner Daten sicherstellen“

In der Industrie kann Datenmanipulation genauso schwerwiegend sein wie Datendiebstahl. Dies ist eine der wichtigsten Lehren aus dem Stuxnet-Computerwurm; die Industrie braucht eine echte Gewissheit, dass die von den verschiedenen Geräten gesendeten Aufträge und Informationen immer integer sind.

Im Jahr 2010 hatte der bekannteste Computerwurm der Industriewelt die Informationen, die an die Überwachungs- und Steuerungsmaschinen gesendet wurden, korrumpiert, so dass der Eindruck entstand, die Zentrifugen würden noch mit der richtigen Geschwindigkeit laufen. Mit dem bekannten Ergebnis.

 

Schutz der Industrieprotokolle mit Stormshield Network Security
Mit unseren Stormshield Network Security Produkten haben wir die Möglichkeit, verschiedene Arten von Industrieprotokollen (z. B.: Modbus, OPC usw.) durch einen echten DPI-Ansatz (Deep Packet Inspection), IPSec VPN- und SSL-VPN-Funktionen sowie ein fortschrittliches Ablauf- und Alarmmanagementsystem zu schützen und zu filtern.


3. „Ich brauche eine sichere ankommende Internetverbindung“

Bei einer ferngesteuerten oder fernüberwachten Industrieanlage ist eine eingehende Internetverbindung erforderlich – entweder im Überwachungsbereich oder im SPS-Bereich. Bei jeder externen Konnektivität ist darauf zu achten, dass die Maschine, die sich aus der Ferne mit der industriellen Infrastruktur verbindet, nicht korrumpiert wird – insbesondere um Rebound-Angriffe zu vermeiden.

Neben der Gewährleistung einer sicheren ankommenden Verbindung kann es in bestimmten Fällen notwendig sein, eine beliebige Verbindung trennen zu können. Stellen Sie sich einen Ausfall an einer Industriepresse vor, der bei der Fernwartung erkannt wird, aber einen menschlichen Eingriff vor Ort erfordert.  Die Trennung von der externen Verbindung vermeidet so das Risiko für den Menschen.

 

Informationsflüsse mit Stormshield Network Security und Stormshield Endpoint Security filtern
Unser Stormshield Network Security Spektrum ermöglicht es Ihnen, mehrere Ablaufregeln zu konfigurieren, die Verbindungen nach Tageszeit, Person (z. B. Identifizierung durch Captive Portal), aber auch DPI zur Analyse der Aufträge erlauben. Darüber hinaus beschränkt unser Stormshield Endpoint Security-Produkt die Kommunikation allein auf den zusammengesetzten Tunnel und verhindert so Bounce-Angriffe.


4. „Ich brauche eine kontrollierte Kommunikation zwischen meinem OT und meiner IT“

Zwischen dem industriellen Informationssystem (OT) und dem eher „klassischen“ Informationssystem (IT) muss die Kommunikation sicher und gesichert sein. Vor allem, wenn es um Informationen geht, die im ERP auf der IT-Seite erfasst werden sollen.

Ein adäquates und sicheres Gateway zwischen den beiden Welten ermöglicht es beispielsweise, Lagerungs- und Nichtverfügbarkeits-Kosten in der Produktionslinie zu reduzieren. Bei einem Abfüllbetrieb wird es dann möglich sein, einen Transport-Lkw zu bestellen, damit er zum richtigen Zeitpunkt ankommt, sobald die Produktion beendet ist.

 

Begrenzung des Informationsflusses mit Stormshield Network Security
Dank der Flow- und DPI-Regeln unserer Stormshield Network Security-Serie können Verbindungen allein auf den sicheren und gewünschten Austausch zwischen IT und OT beschränkt werden.


5.  „Ich möchte, dass meine IT- und OT-ISDs zusammenarbeiten.“

Cybersicherheit ist nicht nur für die IT- oder OT-Welt typisch. Daher ist es notwendig, die gleiche Sprache sprechen zu können, um sich gegenseitig zu verstehen und die Kohärenz der Regeln der beiden Bereiche zu gewährleisten.

Auf der IT-Seite ist die ISD in Bezug auf Cybersicherheitsrisiken und Best Practices im Allgemeinen ausgereifter. Sie muss daher in der Lage sein, sich mit der ISD der OT-Seite auszutauschen, um die Effizienz der Sicherheitslösungen zu maximieren. Aber wenn die Tools unterschiedlich sind, kann der Austausch schnell sehr komplex werden.

 

Die gleiche Sicherheitssprache mit Stormshield Management Center sprechen
Unsere Stormshield Management Center-Lösung ermöglicht es Ihnen, unsere Stormshield Network Security Firewalls sowohl im IT- als auch im OT-Bereich zu konfigurieren. Dieses Verwaltungstool bietet beiden Parteien die gleiche Informationsbasis und ermöglicht es ihnen, mit den gleichen Sprachelementen zu kommunizieren.


6. „Ich muss meine Produkte zum Schutz der Arbeitsplätze aktualisieren“

In der Industrie mehr als anderswo sind Arbeitsplätze sensible Stellen der Betriebssysteme. Die Überwachungsstellen sind vom Internet getrennt, und wenn sie mit Antivirensoftware ausgestattet sind, werden sie de facto nicht aktualisiert. Updates, die außerdem das Risiko bergen, Business-Anwendungen zu stören, was ihre Bereitstellung bremst.

 

Arbeitsplätze, die nicht mit Stormshield Endpoint Security verbunden sind, schützen
Ohne Signaturbasis und dank der Verhaltensanalyse-Engine bietet die Stormshield Endpoint Security optimale Sicherheitsbedingungen für die nicht verbundenen Umgebungen.


7. „Ich muss die Betriebssysteme aktualisieren“

Dasselbe Szenario wie oben mit vom Internet getrennten Workstations, die noch mit veralteten oder nicht aktualisierten Betriebssystemen arbeiten. Zusätzlich zu gewissen finanziellen Kosten für die Aktualisierung der Computerausrüstung kann dies zu Instabilität führen. Das Ganze muss daher neu zertifiziert zu werden.

So wurde beispielsweise Anfang 2018 bei einem Anbieter von Industrielösungen das interne Tool instabil nach einem Update ... zum Schutz der Meltdown-Malware!

 

Veraltete Betriebssysteme mit Stormshield Endpoint Security schützen
Angesichts veralteter Betriebssysteme bietet Stormshield Endpoint Security optimale Sicherheitsbedingungen. Da keine Aktualisierung oder Verbindung zu einem externen System nötig ist, eignet sich diese Lösung besonders für Systeme am Ende ihrer Lebensdauer (z. B. Windows XPTM).


8. „Ich möchte den Risiken des IIoT vorbeugen“

Das IIoT (Industrielles Internet der Dinge) und die Industrie der Zukunft haben in den letzten Jahren viele technologischen Entwicklungen vorgeschlagen und versprechen immer wieder neue. Aber wie können diese technologischen Innovationen integriert werden, ohne die bestehenden Anlagen zu gefährden?

Ob mit einem Zusatz von Sensoren zur Vorhersage von Ausfällen oder der Produktionsoptimierung mit der Rechenleistung der Cloud, neue Technologien implizieren die Verfolgung von Informationsflüssen zwischen der Installation und der Außenwelt. Informationsflüsse, die zu einem Gateway für Cyber-Angriffe werden können.

 

Informationsflüsse mit Stormshield Network Security und Stormshield Endpoint Security steuern
Wann immer es um den Austausch von Strömen von/zu Industrie-Infrastruktur geht, ermöglicht unser Stormshield Network Security-Programm die Begrenzung von Volumen und die Kontrolle der Nachrichten anhand von Flow- und IPR-Regeln.


9. „Ich will mir der Integrität meines digitalen Zwillings sicher sein“

Vorbeugende und vorausschauende Instandhaltung, Modifikationssimulation, Überwachung des Energieverbrauchs; die Möglichkeiten rund um den digitalen Zwilling sind bereits zahlreich. Aber die gesendeten und abgerufenen Daten sind nur dann wertvoll, wenn sie integer sind.

Die Projektion ist hier die gleiche wie bei Stuxnet; wenn der digitale Zwilling beschädigt ist und falsche Informationen meldet, können die Folgen beim Produktionsstart dramatisch sein.

 

Einen integrierten digitalen Zwilling mit Stormshield Network Security garantieren
Ziel ist es, die Sicherheit der Produktionsumgebung im digitalen Zwilling erfolgreich zu duplizieren. Um dies zu erreichen, ist unser Stormshield Network Security-Programm in virtuellen Maschinen verfügbar, mit der gleichen Effizienz wie echte Boxen.

Teilen auf

Haben Sie weitere Probleme in Ihrer industriellen Umgebung? Und suchen Sie einen vertrauenswürdigen Partner, um über Sicherheit zu sprechen? Kontaktieren Sie unser engagiertes Team, um Ihren Kontext und Ihre Bedürfnisse besser zu verstehen.

Über den Autor

mm
Robert Wakim
Offers Manager, Stormshield

With degrees in both econometrics and computer science, Robert has worked in cybersecurity for over 10 years. He joined Stormshield in 2011 as a developer. He then became head of the Research & Development team and helped develop the Industry Offering. He is now a Product Manager and in charge of all Stormshield offerings.