Industrial Security

Cyber-Angriffe erfolgen auf den unterschiedlichsten Ebenen. Ein wirkungsvoller Anlagenschutz muss daher nicht nur „rundum“ wirken, sondern auch in die Tiefe. Siemens Industrial Security wird diesem Ansatz mit dem auf ISA 99 basierenden Defense-in-Depth-Konzept gerecht, das auf drei Ebenen ansetzt: Anlagensicherheit, Netzwerksicherheit und Zugriffsschutz.

Anlagensicherheit

Plant Security sichert den physischen Zugang von Personen zu kritischen Komponenten. Dies beginnt mit dem klassischen Gebäudezutritt beim Pförtner und reicht bis zur Sicherung sensibler Bereiche mittels Codekarten. Ziel ist es, nicht autorisierte Personen fernzuhalten und so das absichtliche Einspielen von Schadsoftware zu erschweren bzw. Industriespionage zu verhindern.

Netzwerksicherheit

Ein wichtiger Bereich ist der Schutz der Produktionsanwendungen vor unberechtigten Zugriffen aus gängigen Office-Umgebungen mittels Firewalls. Zusätzliche Sicherheit bietet die Segmentierung einzelner Teilnetze – z.B. mittels Zellenschutzkonzept oder über ein Perimeternetzwerk.

Beim Zellenschutzkonzept wird ein Anlagennetzwerk in einzelne Automatisierungszellen unterteilt, innerhalb der alle Geräte miteinander kommunizieren können. Die Zugriffskontrolle erfolgt am Zelleneingang mittels einer eigens konzipierten Security Appliance (Hardware). Die Kommunikation von der Zelle nach außen (z.B. zu anderen Automatisierungszellen oder in das Internet) findet auf der Basis eines sicheren, VPN-geschützten Kanals statt. Im Störungsfall kann der Schaden so auf kleine, abgeschottete Bereiche eingegrenzt werden.

Eine noch höhere Sicherheit bietet die Anbindung über ein Perimeternetzwerk – oft auch als DMZ (Demilitarized Zone) bezeichnet. Dabei wird die direkte Kommunikation zwischen der Produktion und den restlichen Unternehmensnetzen vollständig durch Firewalls blockiert. Ein Austausch ist nur indirekt über Server in der DMZ möglich. Auf diese Weise können interne Richtlinien für den Kommunikationsaustausch zuverlässig umgesetzt werden, während der nichtautorisierte Zugriff von außen unterbunden wird.

Enlarge

Zugriffsschutz

Hier geht es schließlich um die Authentifizierung von Benutzern und die Berechtigung, bestimmte Änderungen vornehmen zu dürfen. Eine zentrale Benutzerverwaltung erlaubt die Sicherung einer hinreichenden Passwortstärke sowie die Nachverfolgung ungültiger Logins.

Port Security lässt sich über das RADIUS-Protokoll oder über die Zuweisung von festen MAC-Adressen erzielen. Des Weiteren sollten die nicht benötigten Dienste (Web-Server, FTP, Fernzugriff, …), Schnittstellen (USB. Firewire, WLAN, …) und Ports (Ethernet, PROFINET) deaktiviert werden. Unnötige Schutzlücken werden so verhindert und die Anzahl der zu überwachenden Kommunikationen verringert. Maßnahmen zum Schutz des geistigen Eigentums oder des unberechtigten Zugangs lassen sich in unseren Projektierungsprogrammen einfach implementieren.

Die angebundenen PCs werden mittels Antivirus-Software geschützt. Whitelists beschränken die Ausführbarkeit von Programmen auf als sicher eingestufte Anwendungen. Nicht benötigte Dienste (Webserver, FTP, Fernzugriff, …), Schnittstellen (USB, Firewire, WLAN, …) und Ports (Ethernet, Profinet) sollten blockiert werden, um keine unnötigen und vor allem unbeobachteten Schwachstellen zu schaffen. Und schließlich sorgen regelmäßige Wartungen und Updates dafür, dass die Schutzmaßnahmen auf dem aktuellen Stand bleiben.