IT-Sicherheit in der Industrie
Sichere Vernetzung von Büro und Produktion
Verbindung von Automatisierungs- und IT-Sicherheitstechnik mit kontinuierlichem Monitoring
Industrieunternehmen stehen einer wachsenden Anzahl von Cyber-Bedrohungen gegenüber. Durch die weiter zunehmende Vernetzung industrieller Wertschöpfungsketten und den steigenden Vorschriften weltweit zur Meldung von Angriffen sowie zur Einhaltung von Mindestvoraussetzungen werden die Anforderungen an industrielle Sicherheitstechnik weiter wachsen. Diese Gegebenheiten sowie die sich wandelnde Bedrohungslandschaft machen ganzheitliche Lösungen sowie eine kontinuierliche Überwachung erforderlich.
Bild: Siemens AGDie horizontale und vertikale Vernetzung von Industrieanlagen nimmt weiterhin deutlich zu. Die Vorteile einer digitalen Integration liegen klar auf der Hand: Ein direkter Austausch von Daten und Informationen wird ebenso möglich wie deren Veredelung. Auch einer doppelten Erfassung von Daten in den vernetzten Systemen wird so vorgebeugt. Aus dieser zunehmenden Vernetzung und Digitalisierung von Industrieanlagen ergeben sich jedoch neue Herausforderungen an die IT-Sicherheit solcher Anlagen. Zu diesen gehört zum Beispiel eine längere Lebensdauer der zu schützenden Einrichtungen: Während in der Bürowelt Lebenszyklen von zwei bis vier Jahren die Regel sind, weisen Industrieanlagen eine Lebensdauer von bis zu 20 Jahren auf. Zudem sind vernetzte Systeme leichter von außen zu erreichen und oftmals wird bei der Vernetzung der Sicherheitsaspekt nicht beachtet. Das bedeutet, dass in der Automatisierung andere und weit reichende Konzepte zum Aufbau und Betrieb einer Sicherheitslösung für eine Industrieanlage notwendig sind. Diese werden mit Hilfe einer gestaffelten Verteidigungsstrategie erreicht, die sich den wandelnden Bedrohungen anpasst. Dabei ist sowohl Expertise in der Automatisierung als auch bei IT-Sicherheitstechniken gefragt.
Bild: Siemens AGCyber-Bedrohungen rechtzeitig erkennen
Mit den Managed Security Services (MSS) unterstützt Siemens Industriekunden dabei, ein umfassendes Sicherheitsprogramm über den ganzen Lebenszyklus von Maschinen und Anlagen einzurichten und zu betreiben. Für die spezifischen Aspekte der industriellen Sicherheit bietet MSS ein formales, dreistufiges Konzept. Zu Beginn erfolgt eine Risiko- und Schwachstellenbewertung der Anlage. Diese Analyse des Ist-Zustandes bezieht sowohl beteiligte Technologien, Menschen und Prozesse mit ein. Gemeinsam mit der Aufnahme der installierten Technologie (SW/HW), dem Ausbildungsstand des Personals sowie den bereits eingeführten und angewandten Prozessen und Richtlinien, bildet das die Grundlage für weitere Schritte. Nach der Ist-Aufnahme wird gemeinsam ein Bedrohungsmodell erarbeitet und so das Risikoniveau abgeleitet. Am Ende steht dem Kunden eine Risikobewertung der Anlage inklusive einer Roadmap zur Verfügung, die Maßnahmen aufzeigt, wie sich Sicherheitsrisiken auf ein akzeptables Niveau verringern lassen.
Bild: Siemens AGSicherheitsmaßnahmen gemäß IEC-62443-Standard
Die Implementierung der Maßnahmen aus der Roadmap bildet den nächsten Schritt von MSS. Hier beginnt der Aufbau einer gestaffelten Verteidigung nach IEC 62443, der sich ebenfalls in den drei Domänen Technologie, Menschen und Prozessen bewegt. Dabei spielt die Anlagenstruktur eine Schlüsselrolle, um industrielle Netzwerke vor Angriffen von außen zu schützen. Dazu werden Sicherheitszellen gebildet, die durch Firewalls geschützt werden. Jeder Datenverkehr aus einer Zelle heraus, oder in eine Zelle hinein, wird so kontrolliert. Zum Einsatz kommen hier Firewalls der nächsten Generation (Next Generation Firewalls - NGFW), da in Produktionsanlagen anders kommuniziert wird als in der Bürowelt. Klassische Firewalls verstehen industriespezifische Kommunikationsprotokolle oft nicht. Das bedeutet, dass diese den Datenverkehr nicht auf unerwünschte Inhalte analysieren können. Dazu bedarf es Firewalls mit entsprechenden Regeln und Filtern. Hierbei arbeitet Siemens mit McAfee, einer Division von Intel Security, zusammen. Durch Sicherheitslösungen wie NGFW, Intrusion Detection und Prevention Services sowie weiteren Technologien für Endgeräte werden diese Lösungen genau den Anforderungen von Automatisierungssystemen angepasst. Die Partnerschaft zwischen Siemens und McAfee besteht seit 2011 und wird kontinuierlich mit weiteren Komponenten ausgebaut. Neben dem Schutz der Zellen nach außen hin, sollte der Datenverkehr auch innerhalb der Zellen überwacht und kontrolliert werden. Dazu dienen unter anderem Intrusion Detection und Prevention Services, die alle Aktivitäten innerhalb eines Netzwerksegments des Automatisierungssystems untersuchen. Dieser Service identifiziert dabei verdächtige Muster und Verhaltensweisen, die auf eine Netzwerk- oder Systemattacke hinweisen, deren Ziel es ist, in das System einzudringen und Fehlfunktionen auszulösen. Eine weitere Maßnahme ist der Schutz der Endgeräte in der Industrieanlage. Dazu zählt neben Softwarekomponenten wie Whitelisting- oder Anti-Viren-Software auch die so genannte Härtung. Damit werden alle nicht benötigten Dienste, Ports und Services abgeschaltet und somit die Angriffsfläche der Systeme verringert.
Kontinuierliche Monitoring
Finales Element von MSS ist die kontinuierliche Überwachung der Industrieanlage und der implementierten Komponenten. Dabei wird die Anlage über sichere Kanäle an eines der CSOC (Cyber Security Operation Center) angeschlossen und kann so sicherheitsrelevante Daten teilen. Hier kommt ein so genanntes SIEM (Security Information and Event Management) zum Einsatz. Die SIEM-Technik liefert - beinahe in Echtzeit - Warnmeldungen von Netzwerk-Hardwarekomponenten (Firewalls, Routern, Switches, etc.) und Automatisierungsgeräten. Im Rahmen der kontinuierlichen Überwachung werden dabei alle Warnmeldungen aus der Netzwerkinfrastruktur sowie aus Scada- und DCS-Geräten in Beziehung zueinander gesetzt. Die dadurch entstehenden Informationen ermöglichen bei Sicherheitsvorfällen zielgerichtete Reaktionen. Zusätzlich kann ein Reporting aktuelle und umfassende Informationen liefern - etwa zur Erfüllung von staatlichen Auflagen, Industriestandards und branchenspezifischen Entwicklungen. Da sich die Bedrohungslandschaft kontinuierlich verändert und ständig neue Bedrohungen hinzukommen, ist eine immerwährende Beobachtung entscheidende Voraussetzung für den Erfolg eines Programms für die IT-Sicherheit in der Industrie. Dabei gilt es, relevante Informationen (etwa zu aktuellen Schadcodes) zu sammeln, zu analysieren und darüber zu informieren. Nur so können Unternehmen fundierte Entscheidungen in Sicherheitsfragen treffen. Bislang steht eine solche Bedrohungsaufklärung (Global Threat Intelligence) im Bereich der industriellen Steuerungssysteme nur eingeschränkt zur Verfügung. Durch die Zusammenarbeit mit McAfee bietet Siemens Unternehmen hierfür nun eine Lösung. Diese erhalten so frühzeitig Informationen zu aktuellen Bedrohungen und sind so im besten Fall in der Lage, vorbeugend zu handeln.
Industrielle Sicherheit für die Automatisierung
Industrieunternehmen müssen wachsenden und sich stetig ändernden Anforderungen in Sachen IT-Sicherheit begegnen. Siemens unterstützt sie hier beim Aufbau eines Industrial-Security-Programms, das Technik und Know-how aus beiden Welten - der Automatisierung und der IT-Security - verbindet. Diese Security Services helfen sowohl die Betriebssicherheit und Anlagenverfügbarkeit zu verbessern als auch gesetzliche Standards und Regulierungen einzuhalten.
Industrieunternehmen stehen einer wachsenden Anzahl von Cyber-Bedrohungen gegenüber. Durch die weiter zunehmende Vernetzung industrieller Wertschöpfungsketten und den steigenden Vorschriften weltweit zur Meldung von Angriffen sowie zur Einhaltung von Mindestvoraussetzungen werden die Anforderungen an industrielle Sicherheitstechnik weiter wachsen. Diese Gegebenheiten sowie die sich wandelnde Bedrohungslandschaft machen ganzheitliche Lösungen sowie eine kontinuierliche Überwachung erforderlich.
Bild: Siemens AGDie horizontale und vertikale Vernetzung von Industrieanlagen nimmt weiterhin deutlich zu. Die Vorteile einer digitalen Integration liegen klar auf der Hand: Ein direkter Austausch von Daten und Informationen wird ebenso möglich wie deren Veredelung. Auch einer doppelten Erfassung von Daten in den vernetzten Systemen wird so vorgebeugt. Aus dieser zunehmenden Vernetzung und Digitalisierung von Industrieanlagen ergeben sich jedoch neue Herausforderungen an die IT-Sicherheit solcher Anlagen. Zu diesen gehört zum Beispiel eine längere Lebensdauer der zu schützenden Einrichtungen: Während in der Bürowelt Lebenszyklen von zwei bis vier Jahren die Regel sind, weisen Industrieanlagen eine Lebensdauer von bis zu 20 Jahren auf. Zudem sind vernetzte Systeme leichter von außen zu erreichen und oftmals wird bei der Vernetzung der Sicherheitsaspekt nicht beachtet. Das bedeutet, dass in der Automatisierung andere und weit reichende Konzepte zum Aufbau und Betrieb einer Sicherheitslösung für eine Industrieanlage notwendig sind. Diese werden mit Hilfe einer gestaffelten Verteidigungsstrategie erreicht, die sich den wandelnden Bedrohungen anpasst. Dabei ist sowohl Expertise in der Automatisierung als auch bei IT-Sicherheitstechniken gefragt.
Bild: Siemens AGCyber-Bedrohungen rechtzeitig erkennen
Mit den Managed Security Services (MSS) unterstützt Siemens Industriekunden dabei, ein umfassendes Sicherheitsprogramm über den ganzen Lebenszyklus von Maschinen und Anlagen einzurichten und zu betreiben. Für die spezifischen Aspekte der industriellen Sicherheit bietet MSS ein formales, dreistufiges Konzept. Zu Beginn erfolgt eine Risiko- und Schwachstellenbewertung der Anlage. Diese Analyse des Ist-Zustandes bezieht sowohl beteiligte Technologien, Menschen und Prozesse mit ein. Gemeinsam mit der Aufnahme der installierten Technologie (SW/HW), dem Ausbildungsstand des Personals sowie den bereits eingeführten und angewandten Prozessen und Richtlinien, bildet das die Grundlage für weitere Schritte. Nach der Ist-Aufnahme wird gemeinsam ein Bedrohungsmodell erarbeitet und so das Risikoniveau abgeleitet. Am Ende steht dem Kunden eine Risikobewertung der Anlage inklusive einer Roadmap zur Verfügung, die Maßnahmen aufzeigt, wie sich Sicherheitsrisiken auf ein akzeptables Niveau verringern lassen.
Bild: Siemens AGSicherheitsmaßnahmen gemäß IEC-62443-Standard
Die Implementierung der Maßnahmen aus der Roadmap bildet den nächsten Schritt von MSS. Hier beginnt der Aufbau einer gestaffelten Verteidigung nach IEC 62443, der sich ebenfalls in den drei Domänen Technologie, Menschen und Prozessen bewegt. Dabei spielt die Anlagenstruktur eine Schlüsselrolle, um industrielle Netzwerke vor Angriffen von außen zu schützen. Dazu werden Sicherheitszellen gebildet, die durch Firewalls geschützt werden. Jeder Datenverkehr aus einer Zelle heraus, oder in eine Zelle hinein, wird so kontrolliert. Zum Einsatz kommen hier Firewalls der nächsten Generation (Next Generation Firewalls - NGFW), da in Produktionsanlagen anders kommuniziert wird als in der Bürowelt. Klassische Firewalls verstehen industriespezifische Kommunikationsprotokolle oft nicht. Das bedeutet, dass diese den Datenverkehr nicht auf unerwünschte Inhalte analysieren können. Dazu bedarf es Firewalls mit entsprechenden Regeln und Filtern. Hierbei arbeitet Siemens mit McAfee, einer Division von Intel Security, zusammen. Durch Sicherheitslösungen wie NGFW, Intrusion Detection und Prevention Services sowie weiteren Technologien für Endgeräte werden diese Lösungen genau den Anforderungen von Automatisierungssystemen angepasst. Die Partnerschaft zwischen Siemens und McAfee besteht seit 2011 und wird kontinuierlich mit weiteren Komponenten ausgebaut. Neben dem Schutz der Zellen nach außen hin, sollte der Datenverkehr auch innerhalb der Zellen überwacht und kontrolliert werden. Dazu dienen unter anderem Intrusion Detection und Prevention Services, die alle Aktivitäten innerhalb eines Netzwerksegments des Automatisierungssystems untersuchen. Dieser Service identifiziert dabei verdächtige Muster und Verhaltensweisen, die auf eine Netzwerk- oder Systemattacke hinweisen, deren Ziel es ist, in das System einzudringen und Fehlfunktionen auszulösen. Eine weitere Maßnahme ist der Schutz der Endgeräte in der Industrieanlage. Dazu zählt neben Softwarekomponenten wie Whitelisting- oder Anti-Viren-Software auch die so genannte Härtung. Damit werden alle nicht benötigten Dienste, Ports und Services abgeschaltet und somit die Angriffsfläche der Systeme verringert.
Kontinuierliche Monitoring
Finales Element von MSS ist die kontinuierliche Überwachung der Industrieanlage und der implementierten Komponenten. Dabei wird die Anlage über sichere Kanäle an eines der CSOC (Cyber Security Operation Center) angeschlossen und kann so sicherheitsrelevante Daten teilen. Hier kommt ein so genanntes SIEM (Security Information and Event Management) zum Einsatz. Die SIEM-Technik liefert - beinahe in Echtzeit - Warnmeldungen von Netzwerk-Hardwarekomponenten (Firewalls, Routern, Switches, etc.) und Automatisierungsgeräten. Im Rahmen der kontinuierlichen Überwachung werden dabei alle Warnmeldungen aus der Netzwerkinfrastruktur sowie aus Scada- und DCS-Geräten in Beziehung zueinander gesetzt. Die dadurch entstehenden Informationen ermöglichen bei Sicherheitsvorfällen zielgerichtete Reaktionen. Zusätzlich kann ein Reporting aktuelle und umfassende Informationen liefern - etwa zur Erfüllung von staatlichen Auflagen, Industriestandards und branchenspezifischen Entwicklungen. Da sich die Bedrohungslandschaft kontinuierlich verändert und ständig neue Bedrohungen hinzukommen, ist eine immerwährende Beobachtung entscheidende Voraussetzung für den Erfolg eines Programms für die IT-Sicherheit in der Industrie. Dabei gilt es, relevante Informationen (etwa zu aktuellen Schadcodes) zu sammeln, zu analysieren und darüber zu informieren. Nur so können Unternehmen fundierte Entscheidungen in Sicherheitsfragen treffen. Bislang steht eine solche Bedrohungsaufklärung (Global Threat Intelligence) im Bereich der industriellen Steuerungssysteme nur eingeschränkt zur Verfügung. Durch die Zusammenarbeit mit McAfee bietet Siemens Unternehmen hierfür nun eine Lösung. Diese erhalten so frühzeitig Informationen zu aktuellen Bedrohungen und sind so im besten Fall in der Lage, vorbeugend zu handeln.
Industrielle Sicherheit für die Automatisierung
Industrieunternehmen müssen wachsenden und sich stetig ändernden Anforderungen in Sachen IT-Sicherheit begegnen. Siemens unterstützt sie hier beim Aufbau eines Industrial-Security-Programms, das Technik und Know-how aus beiden Welten - der Automatisierung und der IT-Security - verbindet. Diese Security Services helfen sowohl die Betriebssicherheit und Anlagenverfügbarkeit zu verbessern als auch gesetzliche Standards und Regulierungen einzuhalten.
Siemens AG
Dieser Artikel erschien in SPS-MAGAZIN 1+2 2015 - 29.01.15.Für weitere Artikel besuchen Sie www.sps-magazin.de
