Gut abgeschirmt - Bild: Rockwell Automation

Gut abgeschirmt gegen Cyberattacken: IT-Experten helfen dabei, das geistige Eigentum zu schützen. Bild: Rockwell Automation

Sie haben es sich zum Ziel gesetzt, die Kommunikation zu vereinfachen und Schützenswertes zu schützen. Deshalb gilt: Wer sich an bewährte Verfahren und Empfehlungen hält, kann Sicherheitsrisiken aktiv eindämmen.

Die Konnektivität wächst ständig. Doch mit jedem neuen Anschluss vergrößern sich auch die Cyberrisiken. Deshalb ist Cybersicherheit ein wichtiger Grundpfeiler jedes vernetzten Systems. Der erste Schritt für eine sichere Zukunft betrifft die Zusammenarbeit. Wenn Richtlinien nicht umzusetzen oder zu restriktiv sind, neigen Bediener dazu, sie und die technischen Kontrollen zu umgehen. Wenn Mitarbeiter in die Entwicklung der Sicherheitsrichtlinien einer Organisation mit einbezogen werden, ist die Wahrscheinlichkeit höher, dass sie diese auch befolgen. Eine sichere Umgebung kann nur mithilfe vieler betrieblicher und technologischer Schritte entstehen. Ein gutes Sicherheitsprogramm besteht zu 20 Prozent aus Technologie und zu 80 Prozent aus Prozessen und Verfahrensvorschriften. Wenn Sie Ihr Sicherheitsbetriebsprotokoll überprüfen, können Sie Schwachstellen erkennen und Prioritäten festlegen, um eine umfassende Strategie zur Minimierung von Risiken zu entwickeln. Da Typ, Schweregrad und Auswirkungen der Schwachstellen variieren, sollten Anlagenbesitzer eine Defense-in-Depth-Strategie implementieren.

Mehrere Verteidigungsebenen

Sicherheitsrichtlinien, Bild: Rockwell Automation
Für eine sichere Umgebung sollten alle Mitarbeiter die Sicherheitsrichtlinien einer Organisation befolgen. Bild: Rockwell Automation

Der Schutz industrieller Anlagen erfordert ein DiD-Sicherheitskonzept, das interne und externe Sicherheitsbedrohungen gleichermaßen bekämpft. Eine DiD-Sicherheitsarchitektur basiert auf der Vorstellung, dass jeder geschützte Punkt überwunden werden kann und wahrscheinlich auch wird. Bei diesem Konzept werden mehrere Verteidigungsebenen – physisch, elektronisch und verfahrenstechnisch – für unterschiedliche Instanzen eingerichtet. Daraus ergibt sich Folgendes: Die Systemsicherheit ist in die Infrastruktur integriert und bildet mehrere Ebenen in der gesamten Netzwerksicherheit. Eine Schwachstelle oder ein Mangel auf einer Ebene lässt sich durch Verstärkung, Funktionen oder neue Variablen schützen oder ausgleichen, die über andere Sicherheitsebenen integriert werden.

Für Netzwerksicherheit sorgen

Die DiD-Sicherheit ist ein Konzept mit fünf Ebenen, das sich auf physische, Netzwerk-, Computer-, Anwendungs- und Gerätesicherheit konzentriert. Dabei umfassen physische Sicherheitssysteme Schutztüren, Schranken und andere mechanische Sicherheitsvorrichtungen. Die Netzwerksicherheit ist der Infrastrukturrahmen und muss mit verschiedenen Hardwareelementen wie Firewalls, Systemen zur Erkennung und Verhinderung von unbefugtem Zugriff (IDS/IPS) sowie allgemeinen Netzwerkeinrichtungen wie Managed Switches und Routern ausgestattet sein, deren Sicherheitsfunktionen über die Konfiguration aktiviert werden. Durch Zonen werden vertrauenswürdige Domains für den Sicherheitszugriff und kleinere lokale Netzwerke eingerichtet, um den Netzwerkverkehr zu gestalten und zu verwalten. Es gibt jedoch zwei grundlegende Aspekte zum Schutz Ihrer Abläufe: die Verwendung der Netzwerksegmentierung, also Zonen und Leitungen, und eines Konzepts mit DiD-Ebenen. Rockwell Automation empfiehlt, für eine Sicherheitsstrategie beide zu verwenden. Auf dieser Ebene müssen sich Anlageneigner an das Prinzip des kürzesten Wegs halten. Dieses Konzept rührt vom IT-Prinzip der geringsten Berechtigung her und unterstützt die Benutzerführung, indem es Informationen und Ressourcen nur für den jeweiligen Auftrag eines Bedieners freigibt. Eindringlinge machen sich meist bekannte – und veröffentlichte – Schwachstellen der Software zunutze. Die Sicherheit eines Computers lässt sich beispielsweise erhöhen durch: Antivirensoftware, Whitelists für Awendungen, HIDS-Systeme (Host Intrusion-Detection Systems) und andere Lösungen für Endpunktsicherheit, Entfernen nicht verwendeter Anwendungen, Protokolle und Dienste, das Schließen nicht erforderlicher Ports.

Bei der Auswahl der richtigen Produkte und Services fragen manche Anlageneigner ihren Automatisierungsanbieter, ob ein Produkt mit einer bestimmten Norm konform ist. Zwar sind Sicherheitsnormen wichtig, doch die meisten beziehen sich auf ein System und nicht auf Produkte. Produkte können mit einzelnen Anforderungen von Normen konform sein, entsprechen aber nur selten der gesamten Spezifikation. Sie müssen sich also auf das System konzentrieren und die DiD-Strategie auf die von Ihnen ausgewählten Produkte anwenden. Dabei werden zunächst die Funktionen aktiviert, die vor Eindringlingen schützen und häufig in die Produkte integriert sind. Außerdem muss über digitale Signaturen überprüft werden, ob eine gültige Firmware verwendet wird. Zusätzliche Kontrollen umfassen beispielsweise die Implementierung der Infrastruktur und die Anwendung von Sicherheitsfunktionen. aru