:quality(80)/p7i.vogel.de/wcms/f6/90/f69017a8b9a61cca8517c6be04411e41/0110510459.jpeg "System- und Technologiepartnerschaft per Handschlag besiegelt: Johannes Pfeffer (li.), Johannes Pfeffer, Vice President der Business Unit Automation bei Wago und Steffen Winkler, CSO der Business Unit Automation bei Bosch Rexroth. (Bild: Wago)")
:quality(80)/p7i.vogel.de/wcms/ce/6a/ce6a8be5fa0c3a1edc6f570f898a08a8/0110470317.jpeg "Mit Beginn des Jahres 2023 hat die Entwicklung der Ausfuhren der deutschen Elektro- und Digitalindustrie wieder an Dynamik gewonnen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/00/0d/000d34e48e09efae7a40667965b52f93/0110425109.jpeg "In einer von ABB in Auftrag gegebenen Umfrage sind mehr als die Hälfte der Befragten der Meinung, dass die Umstellung der Produktion rein auf Elektrofahrzeuge innerhalb der derzeitigen gesetzlichen Fristen nicht realisierbar sei. (Bild: ABB)")
:quality(80)/p7i.vogel.de/wcms/af/29/af29261793d08e564b981445a26f7cbe/0110311681.jpeg "Mit dem Projekt Devtosca wollen die Hochschule Bonn-Rhein-Sieg und ihre Projektpartner Software-Entwickler befähigen, die eigenen Software-Produkte automatisiert auf ihre Seitenkanalresistenz zu überprüfen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/7d/18/7d187be874df99341ff7818967a9e57f/0110167441.jpeg "Eine wichtige Rolle würden VR-Brillen in zukünftigen Flugzeugkonzepten ohne Kabinenfenster spielen. Dies wäre beispielsweise bei einem Nurflügler der Fall. Die VR-Brille bietet den Reisenden dann trotzdem eine Außensicht. (Bild: DLR)")
:quality(80)/p7i.vogel.de/wcms/8b/9d/8b9d655380507915c01d1b4b04eee5ae/0110365636.jpeg "Die zahlreichen Leitungen der Laserbearbeitungsoptik dienen zur Strom- und Datenübertragung und zur Verbindung mit Roboter und Schaltschrank. (Bild: Scansonic MI GmbH)")
:quality(80)/p7i.vogel.de/wcms/43/4e/434ecd62c8e98a57d469188874eb678f/0110230994.jpeg "Roboter im Schaltschrank? Bei BFSA entdeckt: eine außergewöhnliche Verwendung von Schaltschränken im Maschinenbau. (Bild: Rittal)")
:quality(80)/p7i.vogel.de/wcms/d5/1c/d51c2b29f5761dfaa9624672c3154548/0110397628.jpeg "Mit der Kombination aus Software zur Prognose von Energieverbrauch und -produktion sowie einem leistungsstarken Batteriespeicher kann nun auf der Azoreninsel Terceira mehr Strom aus erneuerbaren Energiequellen ins Stromnetz integriert werden. (Bild: Siemens)")
:quality(80)/p7i.vogel.de/wcms/6d/b6/6db6da5fdc37bbbb3b09e159e7924569/0110338642.jpeg "Das Lesefenster erfasst immer mehrere Codes, sodass selbst bei kompromittierten Bandabschnitten zuverlässige Positionsdaten ausgegeben werden. (Bild: Pepperl+Fuchs)")
:quality(80)/p7i.vogel.de/wcms/7c/ef/7cef5a7e06b3a4c9bcd1b9686b430902/0110499734.jpeg "Die Einlegesohlen werden mitsamt den integrierten Sensoren und Leiterbahnen in nur einem Arbeitsgang auf einem 3D-Drucker hergestellt. (Bild: Marco Binelli / ETH Zürich)")
:quality(80)/p7i.vogel.de/wcms/85/c5/85c5fbb5bfc51d2c23249a78912fa6c0/0110479310.jpeg "Erneuerbare Energien spielen für eine grüne Industrie eine entscheidende Rolle. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/d4/03/d4037415e841929c5d8c223a47d8ea17/0110345293.jpeg "Die Mitglieder des neuen Forschungsprojekts. (Bild: ZVEI)")
:quality(80)/p7i.vogel.de/wcms/0e/a7/0ea7241b66ea5288c80c98314ae71a75/0110011352.jpeg "Für Post&Parcel- und Airport-Anwendungen hat Nord eine Basic- (vorne) und zwei Advanced-Ausführungen des LogiDrive entwickelt. (Bild: Nord Drivesystems)")
:quality(80)/p7i.vogel.de/wcms/32/1e/321eb5ec3cc86885802e16072b8177dd/0109999570.jpeg "Der Sion von Sono Motors wird nicht gebaut. Der Hersteller stellte das Solarauto-Projekt ein. (Bild: Sono Motors)")
:quality(80)/p7i.vogel.de/wcms/e2/cf/e2cf17c96ab404e24583a4123449b258/0109808022.jpeg "Als industrieller Cobot schließt Swifti CRB 1300 von ABB die Lücke zwischen kollaborativen und Industrierobotern. (Bild: ABB)")
:quality(80)/p7i.vogel.de/wcms/02/e9/02e9504cadb3b89071280c788ffb44fb/0109482363.jpeg "Beim Sortieren von Produkten muss der Roboter nicht nur die Ware erkennen, sondern auch greifen können. (Bild: Ocado Group)")
:quality(80)/p7i.vogel.de/wcms/06/6c/066c502a9d35630376e9baab4fbe2c20/0109264317.jpeg "Der Ernteroboter Berry kann bis zu 20 Kilo Erdbeeren zwischenlagern, während er sich autonom durch das Gewächshaus bewegt. (Bild: Organifarms)")
:quality(80)/p7i.vogel.de/wcms/f6/1a/f61a3961860b4d5ac8c31425e938df9a/0109240888.jpeg "Luis Figueredo bringt einem Roboter bei, ein mit Wasser gefülltes Glas zu transportieren. (Bild: Wolfgang Maria Weber / TUM)")
:quality(80)/p7i.vogel.de/wcms/0e/c2/0ec2619c12f372bde704027d2bc940fe/0110511199.jpeg "Zwischen leichten und schweren Aufgaben an anstrengenden Arbeitstagen abzuwechseln, sorgt für überproportionale Erschöpfung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ef/f6/eff623cd26e692dd821269c9fcd8a3cd/0110057736.jpeg "In Deutschland würde das Bruttoinlandsprodukt (BIP) pro Kopf beispielsweise um 5,2 Prozent zurückgehen. Am meisten würden jedoch kleinere Volkswirtschaften verlieren. (Bild: weyo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/68/a0689730b711fbcfb38150fe88fd7caa/0109534733.jpeg "Von links oben: Christian Zeidlhack (Schaeffler), Sebastian Durst (Weidmüller), Manina Kettler (Minebea Intec). Von links unten: Siegfried Köhler und Paulo Cruz Pinto (Frimo Group), Achim Sties (BASF), Michael Frieß (Heitec AG). (Bild: Schaeffler, Weidmüller, Minebea Intec, Frimo Group, BASF, Heitec)")
:quality(80)/p7i.vogel.de/wcms/84/6d/846df2bf9ae86e60511d4f79ce7278ae/0109445491.jpeg "Die Digitalisierung bringt rasche Veränderung und sinkende Planbarkeit mit sich. Die Folge: Projekte werden nicht nur zahlreicher, sondern auch komplexer. Deshalb stellen immer mehr Unternehmen ihr klassisches Projektmanagement in Frage. (Bild: © Gorodenkoff – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1651700/1651739/original.jpg "Apps helfen nicht nur im Alltag – auch auf der Arbeit können sie vieles erleichtern. (©mast3r/stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1649900/1649964/original.jpg "Der Automation App Award geht jedes Jahr an die besten Apps für die Automatisierung. (K.Juschkat/elektrotechnik)")
:quality(80)/images.vogel.de/vogelonline/bdb/1633100/1633135/original.jpg "Für die Inbetriebnahme von Geräten auf einem hohen Tank muss der Mitarbeiter auf den Tank klettern. Mit der App kann er das Gerät vom Boden aus initialisieren. (Endress+Hauser)")
Security Fünf Anforderungen zur Absicherung industrieller Infrastrukturen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/72/5e7235b0f1b63/compmall-logo-2020-300x300px-150dpi.png "compmall-Logo-2020-300x300px-150dpi.png (www.compmall.de)"){kind=logo}
Um Industriekontroll-Systeme (ICS) abzusichern, ist es wichtig, eine ganzheitliche Sichtweise zu bewahren und jeden Teil des Netzwerks, sowohl den IT- als auch den OT-Teil, zu betrachten. Der Beitrag gibt Empfehlungen und formuliert fünf Anforderungen zur Absicherung von ICS.
Zur Bewertung der Schwachstellen in Industriekontroll-Systemen (ICS) kann das Purdue Modell verwendet werden. Dieses lässt sich aus dem Purdue Enterprise Reference Architecture (PERA) Modell von ISA-99 übernehmen und als Konzeptmodell für Computer Integrated Manufacturing (CIM) verwenden. Dabei handelt es sich um ein branchenübliches Referenzmodell, das die Zusammenhänge und Interdependenzen aller Hauptkomponenten eines typischen industriellen Steuerungssystems aufzeigt, die ICS-Architektur in drei Zonen und diese in sechs Ebenen unterteilt.
Die Anwendung von IT-Security auf das ICS sollte die sechs unterschiedlichen Purdue-Schichten analysieren und aufzeigen, wie sie auf verschiedene Bereiche im Netzwerk abgebildet werden. Die Idee ist, die Kommunikationsflüsse zwischen den verschiedenen Ebenen im Purdue Modell zu erklären und aufzuzeigen, wie sie abgesichert werden können.
Die Graphik zeigt die Darstellung einer typischen IT/OT-Umgebung. Die Verbindung zwischen den Ebenen 2 und 3 kann jedoch je nach Unternehmenstyp variieren:
- Produktionsstätte (typischerweise ein Standort, der sowohl OT als auch IT kombiniert)
- Versorgungs- und Energieversorgung wie Gas, Wasser und Strom (typischerweise verteilte Umgebungen mit vielen abgelegenen Standorten, die mit einer zentralen Einrichtung verbunden sind). Bandbreitenbeschränkungen können sich hier auf die vorgeschlagene Architektur auswirken.
Ebene 5 und 4: Das Unternehmensnetzwerk und Business-Logistiksysteme
Empfohlene Sicherheitskontrollen: Da dies das IT-Netzwerk ist, in dem sich die Benutzer und der Internet-Ausgangspunkt befinden, wird empfohlen, die vollständige Funktionalität der Threat Extraction auf der Netzwerkebene zu aktivieren:
- Firewall
- IPS
- Antivirus
- Antibot
- SandBlast (Sandboxen)
- Anwendungskontrolle
- URL-Filterung
- SSL-Inspektion
Es empfiehlt sich, die vollständige Endpoint-Suite auf den Computern der Benutzer zu installieren. Nicht zuletzt ist es auch sehr wichtig, (öffentliche) Cloud-Dienste zu sichern, da diese in der Regel auch mit Unternehmensressourcen und damit ebenfalls mit einem potenziellen Angriffsvektor verbunden sind.
Die Aktivierung der Netzwerk- und Endgerätesicherheit kann die Angriffe verhindern und beseitigen, bevor die ICS-Geräte beschädigt werden. Das Smart Center dient als Verwaltungsstation für alle in diesem Plan genannten Sicherheitsgateways.
Ebene 3.5: Die industrielle DMZ
Empfohlene Sicherheitskontrollen: Um eine maximale Verfügbarkeit des Remote Access Gateways zu gewährleisten – dass es Dritten ermöglicht, die OT-Geräte aus der Ferne zu verwalten und zu überwachen – ist es wichtig, das Gateway mit einer Anti-DDoS-Lösung zu schützen (vorzugsweise vor Ort und Cloud-basiert). In dieser Blaupause befindet sich ein Jump-Server in der industriellen DMZ. Die VPN RAS-Sitzungen werden auf dem Perimeter-Gateway in Ebene 5 beendet. Das Gateway beendet den VPN-Verkehr, scannt ihn auf Malware und lässt nur RDP-Verkehr zum Jump-Host zu. Über den Sprunghost wird dann die Verbindung zu den Bedienplätzen der Ebene 2 für Fernwartungsarbeiten hergestellt.
Dieser Ansatz ist viel sicherer als die Zulassung eingehender L3-VPN-Verbindungen aus dem Internet direkt in die Ebene 2 und reduziert das Risiko einer Infektion des OT-Netzwerks aufgrund von unsicheren RAS-Verbindungen von Drittanbietern erheblich. Der Jump-Server selbst ist durch das Gateway geschützt, das nur eingehende RDPs zulässt und über die notwendigen Sicherheitskontrollen wie IPS, Anti-Bot und Anwendungskontrolle verfügt.
Ebene 3: Fertigungsbetriebssysteme
Empfohlene Sicherheitskontrollen: Zunächst geht es darum eine Anomalie- und Asset-Erkennung durchzuführen, um Sichtbarkeit zu gewinnen. Dann sollten Anti-Bot-Maßnahmen ergriffen werden. Als weiterer Schritt empfiehlt es sich IPS-Mechanismen darüber laufen zu lassen, typischerweise als virtueller Patch zum Schutz der Überwachungspunkte. Mit Sandboxing-Technologien lassen sich Zero-Day-Angriffe verhindern.
Außerdem sollte eine Sicherheitsrichtlinie für die Anwendungssteuerung implementiert werden, die es lediglich erlaubt, bestimmte autorisierte Befehle vom Bedienerarbeitsplatz an die SPS zu senden.
Die Verwendung von Identity Awareness kann der Richtlinie eine zusätzliche Sicherheitsebene hinzufügen, indem sie nur authentifizierten Benutzern (d.h. Operatoren) erlaubt, bestimmte Befehle an Geräte in Level 2 zu senden. Zusätzlich sollte der Kontrollverkehr zwischen Operatoren in L3 und SPSen in L2 unter Verwendung von IPsec verschlüsselt werden, um Abhör- und Wiederholungsangriffe zu verhindern. Außerdem muss ein Endgeräteschutz einschließlich Portschutz vorhanden sein.
:quality(80)/images.vogel.de/vogelonline/bdb/1569700/1569765/original.jpg "Ob mit oder ohne Menschen in der Nähe – Roboter müssen sicher konstruiert werden. (©TeraVector/stock.adobe.com)")
Safety
Industrieroboter sicher machen
Stufe 2 und 1: Sicherung der Kommunikation zwischen den Ebenen
Empfohlene Sicherheitskontrollen: Es empfiehlt sich Gateways mit IPS einzusetzen, um anfällige Systeme als virtuellen Patch zu schützen, anstatt die aktuellen Systeme zu patchen, was zu Ausfallzeiten führt. Die Kommunikation zwischen Level 2 und 3 kann mit IPsec verschlüsselt werden, um vor Schnüffel- und Replay-Angriffen zu schützen. Ein Sicherheitsgateway kann mit einem Mirror (SPAN)-Port auf einem Switch in dieser Ebene verbunden werden, der als Sensor fungiert und Informationen über die Anlagenerkennung und Anomalie-Erkennung an das AAD übermittelt.
Kunden, die bereit sind, Inline-Sicherheitsgateways der Stufe 1 in Betracht zu ziehen, könnten lokale Bedienerarbeitsplätze und HMI's von SPSen und RTU's trennen, so dass keine unbefugten Befehle an sie gesendet werden können. Wird ein Gateway verwendet, das mit einem Mirror-Port verbunden ist, kann dies ebenfalls erkannt, aber nicht verhindert werden.
Die Endgerätesicherheit kann auf Computern mit unterstützten Betriebssystemen berücksichtigt werden. Darüber hinaus sollte eine angemessene L2-Sicherheit an den Switches implementiert werden. Es bietet sich die Verwendung eines Out-of-Band-Netzwerks an, das ausschließlich für die Verwaltung des Datenverkehrs, Signatur-Updates und Firmware-Updates von Geräten in dieser Ebene verwendet wird.
In Level 1 sollten nur SCADA-Protokolle zu sehen sein. Wenn Techniker aus der Ferne nicht direkt mit dem Level-1-Netzwerk verbinden, sollte die Verwendung eines Jump-Hosts in der DMZ in Level 3.5 verwendet werden. Wenn sich nicht verwaltete Assets mit diesem Netzwerk verbinden, ist die Sicherheitslage unbekannt und kann daher nicht vertrauenswürdig sein.
Ebene 0: Physikalische Prozesse
Empfohlene Sicherheitskontrollen: Es wird empfohlen, Punkt zu Punkt Verbindungen zwischen den intelligenten Geräten der Ebene 1 und den Feldgeräten der Ebene 0 zu verwenden. Wenn die Kommunikation zwischen Level 1 und Level 0 über IP erfolgt, sind Punkt zu Punkt Verbindungen zu bevorzugen.
Wenn Punkt-zu-Punkt-Verbindungen nicht möglich sind und Ethernet-Switches in Level 0 verwendet werden, sollte man sicherstellen, dass die entsprechende L2-Sicherheit durchgesetzt wird: Verwaltung aller ungenutzten Switch-Ports, MAC-Authentifizierung an den verwendeten Switch-Ports, Überlegung zur Verwendung zusätzlicher Sicherheitsgateways zwischen Level 1 und Level 0. Die Verwendung einer vertrauenswürdigen Basisrichtlinie mit dem Application Control Blade kann einen Administrator warnen, wenn ein unbekannter Befehl an ein Feldgerät gesendet wird.
:quality(80)/images.vogel.de/vogelonline/bdb/1670900/1670960/original.jpg "Neben den Herausforderungen der IT-Security, müssen bei IIoT zusätzliche Security-Anforderungen erfüllt werden. Es müssen ganzheitliche Prozesse betrachtet werden. (gemeinfrei)")
Security
Warum Security by Design für IIoT-Architekturen so wichtig ist
:quality(80)/images.vogel.de/vogelonline/bdb/1565600/1565645/original.jpg "Bei der Bestandsaufnahme und Bedrohungsanalyse bestehender oder geplanter Anlagen bilden individuelle Dienstleistungsangebote die Basis für die Umsetzung von Security-Konzepten. (Phoenix Contact)")
IT-Security-Management
Gegen alle Risiken gewappnet – Bedrohungsanalyse in Produktionsnetzwerken
* Mati Epstein, Head of ICS Sales & Security Solution bei Check Point Software
(ID:46487283)
:quality(80)/images.vogel.de/vogelonline/bdb/1954100/1954162/original.jpg "Mit IO-Link-Wireless erweitert Balluff sein Portfolio um eine draht- und kabellose Lösung für die intelligente Fabrikautomation. (Balluff)")