SPS-Systeme vor Sicherheitsrisiken schützen
Sinnvolle Maßnahmen-Kombi
Die steigende Konnektivität bietet Herstellern zwar erhebliche Vorteile, erhöht jedoch auch die Netzsicherheitsrisiken in den Steuerungssystemen, wie Steve Ward, Director of Application Engineering EMEA bei Emerson erklärt. Der Artikel zeigt Wege auf, wie SPSen wirksam vor Cyberangriffen geschützt werden können.
 SPS-Systeme werden immer häufiger das Ziel 
von Cyberattacken.
SPS-Systeme werden immer häufiger das Ziel von Cyberattacken.Bild: Emerson Automation Solutions

Es ereignen sich immer mehr Cyberangriffe, die immer schwieriger zu ermitteln und zu bewältigen sind. Deshalb sollte es für jedes Unternehmen oberste Priorität sein, derartige Angriffe zeitgemäß in den Griff zu bekommen. Mit einem risikobasierten Ansatz für die Netzsicherheit können potenzielle Schwachstellen ermittelt und je nach Wahrscheinlichkeit und Auswirkungen der einzelnen Schwachstellen strategische Entscheidungen getroffen werden. Nachfolgend werden die häufigsten Fragen behandelt, wie sich Anwender für solche Risiken wappnen und ihre digitale Belegschaft schulen können, um bei aufkommenden Bedrohungen stets einen Schritt voraus zu sein

 Durch eine sinnvolle Kombination an Maßnahmen lassen sich Steuerungssysteme wirkungsvoll schützen, erläutert Steve Ward, Director of Application Engineering EMEA bei Emerson.
Durch eine sinnvolle Kombination an Maßnahmen lassen sich Steuerungssysteme wirkungsvoll schützen, erläutert Steve Ward, Director of Application Engineering EMEA bei Emerson.Bild: Emerson Automation Solutions

Netzwerk überwachen und Risiken aufdecken

Je einfacher die Überwachung der Netzwerkaktivität ist, desto schneller kann eine Einrichtung auf einen ermittelten Angriff reagieren. Dadurch werden auch die Auswirkungen des Angriffs verringert. Die wichtigsten Schritte zum Schutz von speicherprogrammierbaren Steuerungen (SPS) und der PAC-Steuerungssysteme (Programmable Automation Controllers) vor Sicherheitsrisiken müssen bereits unternommen sein, bevor der Angriff entdeckt wird. Durch die Überwachung der Netzwerkkommunikations-Schnittstellen lassen sich auch einfacher unerwartete Netzwerkprotokolle, Verbindungen und Kommunikation ermitteln. Unerwartete Aktivitäten in einem Netzwerk müssen zwar nicht immer gleich ein Risiko darstellen, sind aber auf jeden Fall ein Warnhinweis, den es zu untersuchen lohnt.

Die meisten Unternehmen sind sich bewusst, dass sie Anti-Malware-Software auf ihren HMI und SCADA-Servern einrichten sollten. Ebenso entscheidend ist es aber, auch auf allen Geräten, die sich mit diesen Steuerungssystemen verbinden, Anti-Malware-Software zu installieren. Dazu gehören beispielsweise Laptops, Tablets, Smartphones und alle anderen Geräte, die sich im gleichen Netzwerk wie das Steuerungssystem befinden, denn auch solche zusätzlichen Geräte können Hackern ungehinderten Zugriff auf die Daten eines Systems erlauben. Wenn eine Anti-Malware-Software im gesamten Unternehmen implementiert wird, kann schädliche Software verhindert, ermittelt oder entfernt werden. So wird der Überwachungsprozess immer effektiver.

Begrenzung von Schäden eines Sicherheitsverstoßes

Auch wenn Anwender noch so gut vorbereitet sind: Sicherheitsangriffe und -verstöße können trotzdem passieren. Deshalb ist es nicht nur wichtig, ihnen vorzubeugen, sondern auch sicherzustellen, dass im Falle eines Falles der Schaden so gering wie möglich gehalten wird. Eine Möglichkeit, den Netzwerkschaden zu begrenzen besteht darin, mehrere Sicherheitskontrollen auf verschiedenen unabhängigen Ebenen durchzuführen, die ein Angreifer durchdringen muss, um wirklich das gesamte System zu gefährden. Eine richtige und gut durchdachte Strategie für Netzwerksicherheit unterstützt dabei, Sicherheitsrisiken und Werksschließungen zu verhindern.

Durch die Segmentierung von Netzwerken in logische Zonen können interne Bedrohungen verhindert werden. Diese treten zwar seltener auf, verursachen aber oft die größten Schäden. Separate Zonen, die oft als ‚optimierte Netzwerksegmentierung‘ bezeichnet werden, sind schwieriger zu implementieren und beizubehalten als eine herkömmliche Netzwerksegmentierung. Trotzdem gilt sie als eine der besten Optionen zum Schutz von Steuerungssystemen. Im Werk sollte auch mindestens eine sichere Bereitstellung mit Firewalls und Segmentierung vorhanden sein, damit unerwünschter Datenverkehr blockiert und Netzwerke isoliert werden und der Datentransfer auf die vorgesehenen Standorte beschränkt wird. Fortschrittliche Firewalls oder Firewalls auf Anwendungsebene eignen sich dazu besonders gut.

Die Auswirkungen eines Verstoßes können auch durch die Nutzung von Redundanz und die Einbindung von Backup-Komponenten in das System begrenzt werden. So funktioniert das System auch dann noch, wenn eine Komponente ausfällt oder sich ein Sicherheitsverstoß ereignet. Eine der wichtigsten Möglichkeiten, die Auswirkungen eines Sicherheitsverstoßes zu begrenzen besteht darin, für eine effektive und sichere Geschäftskontinuität und Wiederherstellungsprozesse zu sorgen. Auch entsprechende Richtlinien müssen befolgt werden, damit angemessen auf Verstöße reagiert werden kann, bevor die Auswirkungen sich verbreiten und um künftigen Verstößen vorzubeugen.

Angriffsfläche reduzieren

Einfache Schritte zur Verringerung einer möglichen Angriffsfläche wären die Sperrung aller ungenutzten Kommunikationsschnittstellen und die Deaktivierung von unbenutzten Diensten. Die Werke sollten mit Anbietern zusammenarbeiten, die Zertifizierungen wie Achilles für SPS- und PAC-Systeme nachweisen können, die den gesamten Aufbau und die ingenieurtechnischen Sicherheitsanforderungen an ein Steuerungssystem abdecken. Mithilfe von Zertifizierungen können Anbieter von Steuerungssystemen offiziell belegen, dass ihre Steuerungssysteme sämtliche Anforderungen zur Cybersicherheit erfüllen.

Seiten: 1 2Auf einer Seite lesen

Emerson Automation Solutions

Das könnte Sie auch Interessieren

Weitere Beiträge

Bild: Stump-Franki Spezialtiefbau GmbH
Bild: Stump-Franki Spezialtiefbau GmbH
Im freien Fall

Im freien Fall

Schwere Maschinen im Spezialtiefbau benötigen präzise und zuverlässige Komponenten, um die jeweiligen Funktionen prozesssicher ausführen zu können. Bei den Rammgeräten der Firma Stump-Franki Spezialtiefbau gehören die absoluten Drehgeber WV58MR von Siko zum Sicherheitskonzept dazu. Sie sind an drei Seilwinden angebracht, um die Positionen der jeweilig daran befestigten Elemente zu detektieren.

mehr lesen
Bild: Posital-Fraba GmbH
Bild: Posital-Fraba GmbH
Safety First

Safety First

In sicherheitskritischen Motion-Control-Einsätzen sind aufwendig und teuer zertifizierte SIL Safety Encoder schon länger eine feste Größe. Eine Alternative sind divers-redundant ausgelegte Drehgeber aus Standard-Komponenten. Auch sie ermöglichen im Rahmen der vorgegebenen Normen ein hohes Sicherheitsniveau – und sollen gleichzeitig flexibel und preisgünstiger sein.

mehr lesen
Bild: Bosch Rexroth
Bild: Bosch Rexroth
Steuerungstechnik, 
IT und IoT sicher verbinden

Steuerungstechnik, IT und IoT sicher verbinden

Die Vernetzung in der Industrie und das damit verbundene Industrial Internet of Things (IIoT) definieren die Anforderungen an die Sicherheit neu – und damit auch an die eingesetzten Automatisierungslösungen. Da bei bestehenden Produkten Security-Features oft einzeln und teils nachträglich integriert werden müssen, damit sie in der vernetzten Welt standhalten, ist ein durchgängiges Sicherheitskonzept meist nicht möglich. Mit der Automatisierungsplattform ctrlX Automation hat Bosch Rexroth eine ganzheitliche Security-Lösung entwickelt.

mehr lesen

Anzeige

Anzeige

Anzeige