Mehr Cybersicherheit im OT-Umfeld trotz Fernzugriff

Rundum sicher

Neben Cyberattacken auf die IT leiden immer mehr Unternehmen unter Angriffen auf die Fertigungstechnik (OT). Hierbei werden gezielt Maschinen und Anlagen in der Produktion angegriffen und nicht selten zum Stillstand gebracht. Die Folgen für die betroffenen Unternehmen können verheerend sein. Deswegen richtet sich die Firma ADS-Tec Industrial IT mit einem Rundum-Sorglos-Paket an den Maschinenbau inklusive Fernwartungslösung und industriellen Firewalls.
Die IIoT-Plattform Big-LinX ist als vielseitiges Service- und Maintenance-Tool für den sicheren Fernzugriff auf Maschinen konzipiert. – Bild: ADS-tec Industrial IT GmbH

Im Zuge von Industrie 4.0 werden Produktionen aus dem Inselbetrieb, also ohne Zugang zum Internet herausgenommen und zunehmend vernetzt und Fertigungsprozesse digitalisiert. Der Hintergrund ist, dass Unternehmen die Möglichkeit erlangen auf entfernte Maschinen oder Anlagen ‚remote‘ zuzugreifen. Mit Hilfe des Fernzugriffs werden Wartung, Zustandsüberwachung oder auch der Datenaustausch von überall auf der Welt möglich. Die Sorge der Unternehmen, die Maschinen müssen hierfür einen Zugang zum Internet haben und das ruft viele Cyberkriminelle auf den Plan: Diese verschaffen sich über das Internet Zugang zu den angeschlossenen Maschinen und Anlagen und richten dort unter Umständen enormen Schaden an.

Die IIoT-Plattform Big-LinX ist als vielseitiges Service- und Maintenance-Tool für den sicheren Fernzugriff auf Maschinen und Anlagen konzipiert. Bevor z.B. ein Servicetechniker entsendet wird, um eine Anlage im Schadensfall vor Ort zu untersuchen, kann mit dem Tool remote geprüft werden, welcher Fehler an der Anlage aufgetreten ist und ob Mitarbeiter vor Ort das Problem selbst lösen können. Dadurch können Produktionsstillstände vermindert oder schneller behoben und Kosten für Servicereisen deutlich reduziert werden. Eine Besonderheit ist das von ADS-Tec entwickelte Kommunikationsprotokoll WWH (World Wide Heartbeat). Es ermöglicht, die IIoT-Daten angeschlossener Anlagen und Maschinen an den Big-LinX-Server zu senden und dort in der jeweiligen Datenbank zu speichern – ganz ohne VPN-Verbindung und dadurch ohne Gefahr, von Cyberkriminellen über VPN angegriffen zu werden. Die Fernzugriffslösung gestattet sowohl Maschinenbetreibern, als auch -herstellern einen in sich geschlossenen und somit sicheren Zugang mittels VPN Rendezvous Server.

Schutz durch Firewalls

Die Industrial Firewalls der 1000er- und 3000er-Generation vereinen mehrere Produkte in einem Gehäuse und sind als All-in-One-Security-Lösung zur Vernetzung, Steuerung und Absicherung von verketteten Maschinen und Anlagen positioniert. Als Firewalls schotten sie durch die verbaute Smartcard-Technik das Maschinennetz des Unternehmens zuverlässig ab. Als Router tragen sie dazu bei, dass mehrere Industrie 4.0-Anwendungen zeitgleich umgesetzt werden können. Zudem leiten sie als IIoT-Gateways Daten aus angeschlossenen Maschinen, Geräten und Sensoren schnell und sicher in eine Cloud weiter. So soll Big-LinX vor allem Systemintegratoren Mehrwerte liefern, da ohne großen Aufwand der Fernzugriff ermöglicht wird und die Firewalls mit der vom Kunden bereitgestellten Konfiguration Plug&Play-fähig ausgeliefert werden.

Der Trend zu Angriffen auf die OT ist leider ganz klar erkennbar.
Marc Schmierer, ADS-Tec
Der Trend zu Angriffen auf die OT ist leider ganz klar erkennbar. Marc Schmierer, ADS-TecBild: ads-tec Industrial IT GmbH

Während Cyberattacken bisher vor allem auf klassische IT-Schnittstellen abzielen, sollen künftig auch OT-Anlagen stärker in den Fokus von Hackern und Malware geraten? Woran machen Sie diesen Trend fest, Herr Schmierer?

Cyberangriffe auf IT-Schnittstellen waren in der Vergangenheit häufigeres Ziel, denn die OT wurde früher gar nicht mit externen Netzwerken verbunden. Produktionsanlagen haben im sogenannten Inselbetrieb operiert. Das ändert sich, denn im Zuge von Industrie 4.0 nimmt die Vernetzung der Produktion zu. Angriffe auf die OT erscheinen für Hacker attraktiver, da der Schaden dabei noch größer sein kann, als bei einem Angriff auf die IT. Maschinen können zum Ausfall gebracht werden, so dass es zum Produktionsstillstand kommt. Zudem können Maschinen manipuliert werden, sodass diese zur Gefahr für Menschen werden. Das Ausmaß eines Angriffes sollte nicht unterschätzt werden, denn Produktionsausfälle für Tage oder sogar Wochen bedeuten nicht nur monetäre Schäden, sondern können auch zu einem großen Imageschaden führen. Daher ist es unumgänglich eine lückenlose und durchgängige Cybersecurity-Strategie zu implementieren. Der Trend zu Angriffen auf die OT ist leider ganz klar erkennbar. Gerade im vergangenen Jahr sind unterschiedliche Branchen ins Visier der Hacker geraten. Aber auch in den Jahren zuvor waren OT-Angriffe keine Seltenheit. Nicht ohne Grund sehen Unternehmen Cybervorfälle und Betriebsunterbrechungen laut dem Allianz Risk Barometer im zweiten Jahr in Folge als das größte Geschäftsrisiko weltweit an.

Mit welchen Arten von Angriffen muss sich die OT heute schon auseinandersetzen? Haben aus Sicht der Cyberkriminellen gezielte Attacken oder breit gestreute Malware-Angriffe mehr Potenzial?

Im Mittelstand haben meiner Meinung nach breitgestreute Phishing-Attacken deutlich mehr Potenzial, da in der OT sehr lange ungepflegte Systeme eingesetzt werden. Es ist nicht unüblich auch heute noch HMIs mit längst abgekündigtem Windows XP oder Windows 7 vorzufinden. Hier herrschte jahrelang das Motto: Never change a running system! Das hat sich auch im Patch-Zustand der einzelnen Systeme bemerkbar macht. Folglich ist es nicht zwingend besser, neue Maschinen zu kaufen, solange das Patch-Management nicht eindeutig geklärt ist. Das wird sich auch in Zukunft technisch nicht unbedingt besser lösen lassen, außer weiterhin eine industrielle Firewall vorzuschalten. Sie sollte eine Netzwerksegmentierung ermöglichen, um veraltete Segmente der Anlage zu kapseln und den Netzwerkverkehr entsprechend zu reglementieren.

Welche Knotenpunkte bzw. Anlagen in der Produktion gilt es am dringendsten bzw. ehesten abzusichern?

Wie erwähnt, sollten das OT-Netz und die einzelnen Maschinen soweit wie möglich segmentiert und abgeschottet werden. Der Netzwerkverkehr sollte ganz klar eingeschränkt werden – ohne, sofern möglich, den eigentlichen Verkehr innerhalb der Maschine zu reglementieren. Das sind gängige Praktiken, die seit Jahren bekannt und bewährt sind. Wichtig ist jedoch vor allem zu wissen, was überhaupt innerhalb einer Maschine verbaut ist und welche Komponenten miteinander kommunizieren müssen. Umso mehr Unbekannte es gibt, umso weiter muss man gegebenenfalls das Sicherheits-Tor aufmachen, um die Funktion der Maschine weiterhin zu gewährleisten. Aus meiner Sicht ist eine offene Kommunikation zwischen Maschinenbauer und Betreiber essenziell wichtig. Im besten Fall bringt die Maschine sogar schon eine entsprechende Absicherung mit und der Betreiber muss sich darum im Nachgang nicht mehr zwingend kümmern.

Das könnte Sie auch Interessieren

Weitere Beiträge

Sicher auf der x-Achse

Mit steigendem Automatisierungsgrad in Produktion und Logistik wächst die Zahl der Anwendungen, in denen eine sichere Absolutposition benötigt wird. Die dafür vorgeschriebene Redundanz mündet oft in hochkomplexer Technik, deren Integration und Betrieb großen Aufwand erfordern. Die Sensoren SafePXV und WCS von Pepperl+Fuchs bieten hier in der Kombination mit der neuen Auswerteeinheit PUS einfachere Lösungen. Mit diesen Geräten lassen sich SIL3 und PLe mit geringem Integrationsaufwand erreichen.

mehr lesen
Bild: Pilz GmbH & Co. KG
Bild: Pilz GmbH & Co. KG
Effiziente Feldkommunikation mit IO-Link Safety

Effiziente Feldkommunikation mit IO-Link Safety

Auf dem Weg zu einer intelligenten und flexiblen Produktion spielt die industrielle Kommunikation eine zentrale Rolle. So muss etwa eine sichere Datenübertragung bis zu jedem Sensor gegeben sein. Mit IO-Link Safety lassen sich nicht nur die Installation und die Inbetriebnahme beschleunigen, sondern auch die Anlagenverfügbarkeit erhöhen. Erste Lösungen sind jetzt auf dem Markt verfügbar.

mehr lesen
Bild: WIBU-Systems AG
Bild: WIBU-Systems AG
Wibu-Systems und Flecs Technologies bringen Schwung in die Zukunft industrieller Apps

Wibu-Systems und Flecs Technologies bringen Schwung in die Zukunft industrieller Apps

Eine Frage, die sich Entscheider in den Unternehmen täglich stellen, ist: Make Or Buy? Das trifft sowohl auf Softwareschutz und Lizenzierung als auch auf die Umsetzung eines App-Stores oder Marktplatzes zu. DieFirmen Wibu-Systems und Flecs sind eine Partnerschaft eingegangen, um die Entscheidung für KMUs einfacher zu machen. Das Ergebnis: Eine Kombination aus Marktplatz-Technologie sowie Softwareschutz- und Lizenzierungssystem.

mehr lesen