Einstieg in die industrielle Cybersicherheit: die ersten Schritte

Einige Ingenieure für industrielle Netzwerke müssen nur das Wort „Cybersicherheit“ hören, um sich umzudrehen und wegzulaufen. Allerdings muss diese Aufgabe gar nicht so schwer sein, wie es zunächst aussieht.

Wenn es um Cybersicherheit geht, muss man einfach irgendwo anfangen - wie bei vielem anderen auch. Unserer Meinung nach ist im heutigen Umfeld der erste Schritt sich der Lage bewusst zu werden. (Die Lektüre dieses Blogs ist ein guter Anfang!) Viele Industriebetriebe wissen nicht, was passieren könnte (oder was bereits passiert), wenn ihre OT-Netzwerke und -Geräte nicht sicher sind. Häufig wird über Cybersicherheit nachträglich oder erst dann nachgedacht, wenn ein möglicher Katastrophenfall eintritt. 

Nach einer Befragung von 567 Mitarbeitern in der Fertigungsindustrie hat das Sicherheitsunternehmen Morphisec festgestellt, dass jeder fünfte Produktionsbetrieb im vergangenen Jahr von Cyberangriffen betroffen war (vermutlich ist dies eine vorsichtige Schätzung, da nicht alle Mitarbeiter erkennen, wenn ihr Unternehmen von einem Cyberangriff betroffen ist). Laut einem Bericht von NTT ist die Zahl der weltweiten Angriffe auf Fertigungsumgebungen in 2020 um 300 % gestiegen. 

Mit anderen Worten: Für industrielle Umgebungen gab es nie einen besseren Zeitpunkt, um ganz genau aufzupassen. Dabei sollte auch unbedingt beachtet werden, dass Cybersicherheitsprobleme nicht immer auf eine böswillige Sicherheitsverletzung oder Malware zurückzuführen sind. Sie können auch durch menschliche Fehler entstehen. Zum Beispiel: Ein(e) Mitarbeiter(in) bringt seinen (ihren) privaten Laptop zur Arbeit mit und schließt ihn an einen Netzwerk-Port an und gefährdet dadurch unabsichtlich Geräte und verursacht Ausfallzeiten.

Wenn Sie das Konzept für ein neues industrielles Netzwerk entwerfen, können Sie proaktiv vorgehen und das Thema Cybersicherheit in jede Entscheidung einbeziehen. Sie können für einen tiefengestaffelten Schutz (Defense in Depth-Schutz; mehr dazu später) sorgen, IIoT im Voraus planen, usw.

Wenn Ihr industrielles Netzwerk aber bereits vorhanden ist, geht es darum, die vorhandenen Netzwerkkomponenten zu schützen. In vielen Fällen wurden industrielle Netzwerke vor mehreren Jahrzehnten entwickelt und aufgebaut – also lange, bevor Cybersicherheit eine Rolle spielte. Wie können Sie an einem Netzwerk, für das ursprünglich kein Schutz vor Angriffen vorgesehen war, Änderungen vornehmen, um dieses zu schützen?

Transparenter Überblick durch Netzwerkanalyse

Sobald Sie erkannt haben, dass es sich lohnt, auf Cybersicherheit zu achten, ist eine einfache Netzwerkanalyse ein guter Anfang. Dadurch verschaffen Sie sich einen ganzheitlichen Überblick über Ihr OT-Netzwerk und können die daran angeschlossenen Geräte genau identifizieren: Maschinen, Sensoren, Steuerungen, Antriebe, Kameras, Switches usw. Bevor Sie handeln können, müssen Sie Ihre Betriebsausstattung kennen. Wenn Sie ein Gerät nicht erkennen, können Sie es auch nicht schützen.

Nachdem sich Industriebetriebe einen transparenten Überblick durch diesen Analyseprozess verschafft haben, sind die meisten überrascht, in ihrem Netzwerk Geräte und Zugriffspunkte zu entdecken, von denen sie nichts wussten – selbst wenn sie dachten, ihr Netzwerk genau zu kennen. 

Sobald Sie all dies im Griff haben, können Sie bestimmen, wie die Geräte verwendet werden. Auf dieser Grundlage können Sie dann festlegen, wie Sie die einzelnen Geräte in Zukunft überwachen und messen wollen, um schrittweise Änderungen, einschließlich potenzieller Schwachstellen, zu verfolgen.

3 der wichtigsten Best Practices für industrielle Cybersicherheit

Neben der Durchführung einer Netzwerkanalyse können Sie noch einige andere Methoden anwenden, um die richtige Richtung einzuschlagen: eine passive Erkennung umsetzen, eine Defense-in-Depth-Strategie entwickeln und Ihr Netzwerk segmentieren.

1. Passive Erkennung

Die passive Erkennung kann Ihnen dabei helfen, neue unbekannte Geräte in Ihrem Netzwerk zu erkennen, indem Sie kontinuierlich nach IP-Adressen suchen, ohne dass zusätzlicher Datenverkehr oder Latenzzeiten entstehen. Dadurch lassen sich nicht autorisierte oder manipulierte Geräte erkennen, die während des Erkennungszeitraums Daten übertragen oder empfangen. 

Anschließend können herausfinden, um welche Geräte es sich handelt und ob sie Probleme verursachen könnten.

2. Defense-in-Depth-Strategie

Auch wenn der Schutz Ihres industriellen Netzwerks ebenso wichtig ist wie der Schutz Ihres IT-Netzwerks, können Sie nicht erwarten, dass Ihre IT-Abteilung die Feinheiten industrieller Protokolle und des Netzwerkdesigns verstehen. Möglicherweise verwalten die IT-Mitarbeiter den digitalen Datenfluss, kennen aber wahrscheinlich nicht die industriellen Prozesse und die dafür verwendeten Maschinen. 

Wenn IT-Teams OT-Netzwerke verwalten müssen, stellen wir oft fest, dass sie eine Anwendung am Rande des Netzwerks installieren, um die Steuerungen des Anlagennetzwerks vom Unternehmensnetzwerk zu trennen. Damit ist ihre Arbeit getan. Dadurch erhält das industrielle Netzwerk allerdings keine Defense-in-Depth-Strategie.

Eine Defense-in-Depth-Strategie ist ein mehrstufiger Cybersicherheit-Ansatz, der wertvolle Daten schützen und verhindern soll, dass nachgelagerte Geräte und Prozesse bei einer Bedrohung gefährdet sind. Zum Beispiel: Nachdem Sie mit den für SCADA-Netzwerke verantwortlichen Werksleitern gesprochen haben, um genau zu verstehen, welche Daten von einer Roboterzelle über eine SPS bis hin zu HMIs zu verschiedenen Industrieanlagen fließen müssen, können Sie ermitteln, was für den Datentransport von Punkt A nach Punkt B mindestens erforderlich ist. Wenn etwas diese Kriterien nicht erfüllt, dann ist kein Transport möglich. (Sie können sich das so vorstellen: Sie lassen alles durch, was Ihres Wissens nach „gut“ ist und blockieren alles andere.) 

3. Netzwerksegmentierung

Da in industriellen Umgebungen vieles (OT-Geräte, Steuerungssysteme, andere Netzwerkgeräte usw.) geschützt werden muss, kann eine Netzwerksegmentierung für mehr Sicherheit sorgen. 

Wenn Sie ein Netzwerk in verschiedene Segmente oder Komponenten aufteilen, können der Zugriff und die Datenflüsse auf die erforderliche Kommunikation und die Benutzer beschränkt werden. Dies schützt vor Seitwärtsbewegung böswilliger Akteure, die versuchen könnten, einen Angriff auf Ihr gesamtes Netzwerk zu planen. Wenn nur ein Segment des Netzwerks angegriffen wird, dann sind die anderen Segmente davon nicht betroffen.

Beispielsweise könnte die Netzwerksegmentierung OT-Netzwerke physisch/logisch von anderen Netzwerken intern und extern trennen. Die Schaffung dieser Barriere zwischen Unternehmens- und Industrie-"Zonen" bedeutet, dass Daten sicher ausgetauscht werden können, ohne diese Barriere zu überwinden.
 

Beginn Sie Ihre Reise zur Cybersicherheit

Sie werden schnell feststellen, dass Cybersicherheit kein Ziel, sondern eine Reise ist. Die Verbesserung der „Cyberhygiene“ ist ein kontinuierlicher Prozess. Da sich die Bedrohungen für Ihren Betrieb ändern, müssen sich auch Ihre Sicherheitsstrategien ändern. Laut Experten gehören Ransomware und Angriffe auf die Lieferkette in Zukunft zu den größten Cyberbedrohungen für die Industrie. Vor ein oder zwei Jahren handelte es sich bei den größten Bedrohungen vielleicht um etwas ganz anderes.

Das Center for Internet Security (CIS) ist auch eine hilfreiche Ressource für Industriebetriebe, die einen Ansatzpunkt für Cybersicherheit brauchen. Es bietet 18 empfohlene, schrittweise Maßnahmen zur Verhinderung von Cyberangriffen – angefangen mit einer Bestandsaufnahme und Kontrolle der Ressourcen (hier kommt die oben erwähnte Netzwerkanalyse wieder ins Spiel) bis hin zu Penetrationstests für einen Sicherheitscheck.  
 

Das Spezialistenteam von Belden weiß, wie Fertigungsanlagen und industrielle Netzwerke verbunden und geschützt werden können, und bietet eine der branchenweit umfassendsten Paletten an Netzwerk-Komplettlösungen, die Sie bei der Neugestaltung und Nachrüstung Ihrer Netzwerke unterstützen. Mit unseren vertrauenswürdigen Beratern erzielen Sie durch die gleichzeitige Steigerung der Effizienz, Agilität, Nachhaltigkeit und Sicherheit bessere Geschäftsergebnisse. 

In unserem Customer Innovation Center (Kundeninnovationszentrum) können Sie gemeinsam mit unseren kompetenten Beratern – Vertriebsspezialisten, Ingenieuren, Anwendungsexperten und Produktingenieuren – innovative Lösungen entwickeln, testen, dokumentieren und bereitstellen, um Ihre Effizienz-, Sicherheits- und Innovationsziele zu erreichen. Sie können sehen, wie die von uns konzipierten Lösungen in Ihrer Umgebung funktionieren, bevor sie in Betrieb genommen werden.

Möchten Sie mehr über industrielle Cybersicherheit erfahren oder darüber, wie Belden Sie bei der Vorbereitung auf eine intelligentere Fertigung unterstützen kann? Weitere Informationen finden Sie auf unsere Smart Manufacturing Seite.

Sylvia Feng, Senior Solution Consultant Manager für Svc und Support bei Belden, hat mir beim Schreiben dieses Blogs geholfen. Sie ist eine ausgezeichnete Expertin, die alle Ihre Fragen zur digitalen Transformation beantworten kann. Wenn Sie mehr zu diesem Thema wissen möchten, senden Sie mir (scott.kornblue@belden.com) oder Sylvia (Sylvia.Feng@belden.com) eine E-Mail.