Fachverlag x-technik
search
 

Schließen

PDF


Keine Chance den Cyber-Attacken!

: B&R


Die Prozessindustrie befasst sich immer stärker mit dem Thema Cyber-Security. Zum Schutz vor Hacker-Angriffen reichen Virenscanner, Firewalls und Passwörter nicht mehr aus. Vielmehr sind individuell angepasste Sicherheitskonzepte notwendig, um ausreichenden Schutz zu ermöglichen.

/xtredimg/2017/Automation/Ausgabe190/13331/web/BnR_TR_16106_APROL_Security_01.jpg
Maximale Sicherheit durch doppelte Firewalls: Daten aus dem Prozessleitsystem werden in die Perimeterzone übertragen und stehen erst dort für den Zugriff von außen zur Verfügung.

Maximale Sicherheit durch doppelte Firewalls: Daten aus dem Prozessleitsystem...

In der Prozessindustrie nimmt die Vernetzung der Produktions- und Automatisierungsebenen untereinander und mit dem Internet beständig zu. Das macht die Anlagen anfällig für Sabotage und Manipulationen durch Schadsoftware wie Viren, Würmer und Trojaner. Davor müssen Unternehmen ihre Systeme schützen, denn die Gefahr von Hacker-Angriffen soll weiter zunehmen.

Wie hoch die Gefahren bereits sind, hat der Digitalverband Bitkom auf der Hannover Messe 2016 dargelegt. So hat eine Umfrage des Verbands unter 504 Unternehmen des produzierenden Gewerbes ergeben, dass 69 % in den vergangenen zwei Jahren Opfer von Datendiebstahl, Wirtschaftsspionage oder Sabotage wurden. Als häufigstes Delikt, über ein Drittel, gilt zwar der Diebstahl von Smartphones, Computern und Tablets. Aber auch von Sabotageakten mit dem Ziel, die betrieblichen Abläufe zu stören oder lahmzulegen berichteten etwa 18 % der Unternehmen.

Risikobewertung bei der Planung

Virenscanner, Firewalls und Passwörter als Schutz der technischen IT-Sicherheit gehören heute zum Standard. „Um aber ein Prozessleitsystem vor Cyber-Attacken zu schützen, reichen diese Maßnahmen alleine nicht aus“, sagt Martin Reichinger, Business Manager Process Automation bei B&R. Vielmehr plädiert der Experte dafür, schon bei der Planung der verfahrenstechnischen Anlage eine Risikobewertung durchzuführen und daran orientiert ein umfassendes Sicherheitskonzept zu erstellen. Schließlich hängt die Security-Strategie von den Prozessen, der Infrastruktur, den örtlichen Gegebenheiten und
/xtredimg/2017/Automation/Ausgabe190/13331/web/BnR_TR_16106_APROL_Security_03.jpg
Besonders hohe Sicherheitsrisiken bergen unsichere Passwörter, nicht durchgeführte Software-Updates und USB-Sticks.

Besonders hohe Sicherheitsrisiken bergen unsichere Passwörter, nicht durchgeführte...

mehr ab. „Eine Security-Patentlösung gibt es nicht“, betont Reichinger.

Sicherheitszellen für höchste Verfügbarkeit

Eine Komponente im Sicherheitskonzept kann z. B. sein, Prozess-Schritte in aufgabenorientierte Sicherheitszellen einzuteilen. Das erhöht die Verfügbarkeit des gesamten Systems, wie Reichinger hervorhebt: „Sind Teile der Infrastruktur von einem Angriff betroffen, ist der Betrieb der anderen Sicherheitszellen dennoch sichergestellt. Und eine Bedrohung innerhalb einer Sicherheitszelle bleibt auf diese beschränkt.“

Lässt der Prozess keine Einteilung in Zellen zu, da es keine Pufferbehälter oder Ähnliches gibt, kann das System auch mit aufgabenbezogenen Bedienungs- und Zugriffsrechten geschützt werden. „Wichtig ist, die Verantwortungsbereiche in Absprache mit allen Produktionsebenen abzugrenzen“, erklärt Reichinger. Als Grundprinzip sollte eine Zugriffsberechtigung nur dort eingerichtet werden, wo es unbedingt notwendig ist.

Doppelte Firewalls, doppelte Sicherheit

„Es gibt zahlreiche Methoden, mit denen Prozessleitsysteme vor Angriffen geschützt werden können“, sagt Reichinger. Ein wichtiger Aspekt ist stets die Manipulationssicherheit von Daten. Die Architektur des Sicherheitskonzepts muss so beschaffen sein, dass eine Manipulation von außen weitestgehend verhindert wird.

Als oberste Regel bei Prozessleitsystemen gilt, dass sie von
/xtredimg/2017/Automation/Ausgabe190/13331/web/BnR_TR_16106_APROL_Security_04.jpg
Wenn einzelne Prozessschritte in Sicherheitszellen aufgeteilt sind, ist im Falle eines erfolgreichen Angriffs nur ein Teil einer Anlage betroffen.

Wenn einzelne Prozessschritte in Sicherheitszellen aufgeteilt sind, ist im Falle...

übergeordneten Systemen durch eine gesicherte Perimeter- oder auch Pufferzone getrennt sind. Daten werden aus dem Prozessleitsystem in die Perimeterzone übertragen und stehen erst dort für den Zugriff von außen zur Verfügung. Geschützt wird die Perimeter-Zone entweder mit einer Three-Homed-Firewall, die eine getrennte Anbindung der Perimeterzone ermöglicht, oder mit zwei Firewalls von unterschiedlichen Herstellern. „Bei dieser Lösung bleibt in den meisten Fällen noch ausreichend Zeit, um einen Angriff zu erkennen und abzuwehren, falls die erste Firewall durchbrochen wurde“, sagt Reichinger. Zudem werden mit Deep-Packet-Inspection-Technologien unzulässige Operationen in Echtzeit erkannt.

SQL-Datenbanken besonders gesichert

Als besonderen Vorteil von APROL streicht Reichinger heraus, dass die SQL-Server des B&R-Prozessleitsystems nach außen ausschließlich lesenden Zugriff gewähren. So werden Manipulationen der Daten auf den Servern von vornherein massiv erschwert. Zudem sind alle APROL-Server mit einer integrierten Firewall ausgestattet. „Diese wird beim ersten Start automatisch installiert und konfiguriert“, versichert Reichinger. Um größtmögliche Sicherheit zu bieten, arbeitet APROL mit SUSE Linux Enterprise Server 12 Service Pack 4 als Basis-Betriebssystem.

Angriffspunkte minimieren

Der Forderung des Bundesamts für Sicherheit in der Informationstechnik (BSI), dass System-Software gehärtet sein muss, erfüllt B&R mit APROL 4.0 und höher. Das heißt, diese Versionen enthalten nur Softwarebestandteile und Funktionen, die zum Erfüllen einer vorgesehenen Aufgabe durch das Programm auch
wirklich notwendig sind. Oftmals gelingt einem Angreifer der Einbruch in einen Server durch den Missbrauch eines Programms, das auf dem Server gar nicht installiert sein müsste. „In diesem Zusammenhang ist es ebenso wichtig, dass auch ungenutzte Ports und Hardware-Schnittstellen verschlossen werden. Denn jeder könnte einen USB-Stick anstecken und Schadsoftware einspeisen“, hebt Reichinger auch diesen wichtigen Punkt zum Schutz des Systems vor.

Zum Schluss gibt Reichinger zu bedenken: „Das beste Sicherheitskonzept hilft nichts, wenn in der Praxis nicht sauber gearbeitet wird.“ Besonders hohe Sicherheitsrisiken bergen unsichere Passwörter, eine unzureichende Pflege des Nutzer-/Rollen-/Rechte-Systems und nicht durchgeführte Software-Updates. "Die Sicherheit muss stets im Fokus des Anlagenbetreibers sein – über die gesamte Lebensdauer einer Anlage hinweg."

Maximale Sicherheit durch doppelte Firewalls: Daten aus dem Prozessleitsystem werden in die Perimeterzone übertragen und stehen erst dort für den Zugriff von außen zur Verfügung.
Besonders hohe Sicherheitsrisiken bergen unsichere Passwörter, nicht durchgeführte Software-Updates und USB-Sticks.
Wenn einzelne Prozessschritte in Sicherheitszellen aufgeteilt sind, ist im Falle eines erfolgreichen Angriffs nur ein Teil einer Anlage betroffen.



Zum Firmenprofil >>


Bericht in folgenden Kategorien:
Prozessleittechnik, Prozesstechnik

QR code

Special Automation aus der Cloud

cloud.JPG Immer mehr Teile der industriellen Automatisierung sollen in die Cloud verlegt werden. Nicht nur die in rapide steigenden Mengen generierten Daten, sondern neben Auswerte-, Überwachungs- und Kontrollmechanismen auch Steuerungs-, Regelungs- und sogar Safety-Algorithmen. Wozu eigentlich? Was lässt sich vernünftig in die Cloud verlegen? Was sollte man dabei beachten? Und was ist das überhaupt, die Cloud?
mehr lesen >>

Im Gespräch

/xtredimg/2018/Automation/Ausgabe220/15098/web/Prof_Dr._Markus_Glueck.jpgGreifer reagiert situationsabhängig
Dank intelligenter Sensorik handelt der Co-act Greifer JL1 von Schunk umsichtig und wohlüberlegt: Die aktuell vorherrschenden Situations-, Umgebungs- und Einsatzbedingungen werden über mehrere „Sinne“ aufgenommen, bewertet und kommuniziert. Wie dies im Detail funktioniert und was Schunk mit dem JL1 sonst noch so alles in naher Zukunft vor hat, erfragte x-technik AUTOMATION bei Prof. Dr.-Ing. Markus Glück, Geschäftsführer Forschung & Entwicklung bei der Schunk GmbH & Co. KG. Das Gespräch führte Sandra Winter, x-technik
Interview lesen >>

Newsletter abonnieren