:quality(80)/p7i.vogel.de/wcms/00/e3/00e3ae363dd2aa942ae616a4f639bf38/0112154635.jpeg "Es wurden bereits Papiere, Druckverfahren und verschiedene Funktionsmaterialien identifiziert, die sich für die Herstellung von gedruckter Sensorik auf Papiersubstraten auch in größerer Menge eignen. (Bild: K. Selsam - Fraunhofer ISC)")
:quality(80)/p7i.vogel.de/wcms/96/44/9644ea6272d0a6db45faaa88df8181f0/0112106534.jpeg "„Wenn wir Sprachmodelle für Anwendungen in und aus Europa nutzen wollen, brauchen wir europäische Sprachmodelle, die die hiesigen Sprachen beherrschen, die Bedürfnisse unserer Unternehmen und ethischen Anforderungen unserer Gesellschaft berücksichtigen“, sagt Volker Tresp, Professor für Maschinelles Lernen an der Ludwig-Maximilians-Universität München und Leiter der Arbeitsgruppe Technologische Wegbereiter und Data Science der Plattform Lernende Systeme. (Bild: Plattform Lernende Systeme)")
:quality(80)/p7i.vogel.de/wcms/e4/eb/e4eb57a1c46d5239503ffe7d9de39a8d/0112008391.jpeg "Die „Automatisierungs-Potenzialanalyse“ (APA) ist für Montageprozesse und nun auch für Schweißprozesse verfügbar. (Bild: Fraunhofer IPA/Rainer Bez)")
:quality(80)/p7i.vogel.de/wcms/c6/2e/c62e54d60fe6624ade3bedd880731458/0112194635.jpeg "Die australische Biologin Dr. Taryn Foster hat das Unternehmen Coral Maker gegründet, mit dem Ziel , eine neue Methode zur großflächigen Korallenriffrestauration zu entwickeln. Dabei sollen 3D-Design und robotergestützte Automatisierung in Verbindung mit industriellen Verfahren eingesetzt werden. (Bild: Tim Campbell Photo 2022)")
:quality(80)/p7i.vogel.de/wcms/e3/99/e399fc6f894da2114c9e28d9a7f27fc1/0112108319.jpeg "(Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/fd/c7/fdc7f74985c1b9715ec991638a9bf4e6/0112002813.jpeg "KI-gestützte visuelle Inspektion mit Vuforia Step Check von PTC. (Bild: PTC)")
:quality(80)/p7i.vogel.de/wcms/eb/f1/ebf103ebe8114943d08d06395c7fe753/0112203193.jpeg "Die Partner des Projekts „Enlarge“ wollen die Digitalisierung der Prozesskette in der Batterieproduktion voranbringen. (Bild: Schuler)")
:quality(80)/p7i.vogel.de/wcms/08/44/084488427ce2e313b97b262e48116134/0112178956.jpeg "Die Elektromobilität treibt die Umsätze in der Batteriebranche kräftig an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/76/a8/76a82632774f0585e674cb54075ec292/0112195030.jpeg "Mit der Drag Gan Methode können komplexe Bildbearbeitungen durchgeführt werden. Die KI generiert dabei eine Vorhersage für ein neues Bild, die wiederum von einem anderen Modell kontrolliert wird. (Bild: MPI-INF)")
:quality(80)/p7i.vogel.de/wcms/9d/ad/9dade1ca33a4189a73f1eee3b1a985b3/0111761406.jpeg "Kapazitive Sensoren messen zuverlässig und mit Submikrometergenauigkeit Wege, Abstände und Positionen. Eingesetzt werden sie sowohl in industriellen Messaufgaben als auch in Hochpräzisionsbereichen wie der Batterie- und Halbleiterproduktion. (Bild: Micro-Epsilon Messtechnik)")
:quality(80)/p7i.vogel.de/wcms/af/e3/afe3b42b8215d127ef662180c781a2a8/0111298077.jpeg "Dagmar Dübbelde ist bei Deprag Produktmanagerin für den Bereich Druckluftmotoren. (Bild: Deprag)")
:quality(80)/p7i.vogel.de/wcms/f2/33/f233dd288e8ad25ace06ce18c57becac/0111375640.jpeg "Das Roboloon-Team vor dem Luftschiff-Prototypen. Das Tüftler-Team wird unter anderem beraten und unterstützt von Prof. Dr. Walter Fichter (dritter von links) vom Institut für Flugmechanik und Flugregelung (IFR) der Universität Stuttgart. (Bild: Roboloon / DPS Software)")
:quality(80)/p7i.vogel.de/wcms/e2/cf/e2cf17c96ab404e24583a4123449b258/0109808022.jpeg "Als industrieller Cobot schließt Swifti CRB 1300 von ABB die Lücke zwischen kollaborativen und Industrierobotern. (Bild: ABB)")
:quality(80)/p7i.vogel.de/wcms/bd/97/bd971bb04b858b27a557e47d8b00144d/95584822.jpeg "Die Expertenempfehlung VDI-EE 4020 ermöglicht den Einstieg in das Thema „funktionale Sicherheit“ auf der Grundlage der internationalen Sicherheitsnormenreihe IEC 61508. (Bild: Kuka Group)")
:quality(80)/p7i.vogel.de/wcms/02/e9/02e9504cadb3b89071280c788ffb44fb/0109482363.jpeg "Beim Sortieren von Produkten muss der Roboter nicht nur die Ware erkennen, sondern auch greifen können. (Bild: Ocado Group)")
:quality(80)/p7i.vogel.de/wcms/06/6c/066c502a9d35630376e9baab4fbe2c20/0109264317.jpeg "Der Ernteroboter Berry kann bis zu 20 Kilo Erdbeeren zwischenlagern, während er sich autonom durch das Gewächshaus bewegt. (Bild: Organifarms)")
:quality(80)/p7i.vogel.de/wcms/77/d2/77d2d739d013f065416bbedb035affa7/0111999281.jpeg "Im Labor "Industrielle Sicherheit" des Instituts für innovative Sicherheit (HSA_innos) können Studierende des Zertifikatsstudiengangs Safety und Security in verschiedenen realistischen Szenarien erproben und einüben. (Bild: HSA_innos)")
:quality(80)/p7i.vogel.de/wcms/ca/af/caaf4dd4f794f91062d2ff9edb7d461b/0111538660.jpeg "Weil eine digitale Transformation ein langwieriger Prozess ist, sollten Entscheider bei der Umsetzung flexibel bleiben. Eventuell müssen sie bereits festgelegte Schritte an Veränderungen, die sich während des Prozesses ergeben, anpassen. (Bild: © festfotodesign – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/0f/500fd0405dc40ae536d12126bc008284/0111565792.jpeg "Die Vizepräsidentin der Bremischen Bürgerschaft Antje Grotheer (links), die Senatorin für Kinder und Bildung der Freien Hansestadt Bremen und Vertreterin der Kultusministerkonferenz Sascha Karolin Aulepp, die Bundesministerin für Bildung und Forschung Bettina Stark-Watzinger, Bundessiegerin im Fachgebiet Physik Anne Marie Bobes (16) aus Sachsen-Anhalt, der Bürgermeister und Präsident des Senats der Freien Hansestadt Bremen Andreas Bovenschulte sowie der Präsident der Unternehmensverbände im Lande Bremen e. V. Lutz Oelsner. (Bild: Stiftung Jugend forscht e. V. / Max Lautenschläger)")
:quality(80)/p7i.vogel.de/wcms/1a/d4/1ad402996064c6ab4ab19ac7f8a77c09/0111465446.jpeg "Nur wenige Arbeitnehmer wollen auf das Homeoffice verzichten und wieder ins Büro zurückkehren. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1651700/1651739/original.jpg "Apps helfen nicht nur im Alltag – auch auf der Arbeit können sie vieles erleichtern. (©mast3r/stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1649900/1649964/original.jpg "Der Automation App Award geht jedes Jahr an die besten Apps für die Automatisierung. (K.Juschkat/elektrotechnik)")
:quality(80)/images.vogel.de/vogelonline/bdb/1633100/1633135/original.jpg "Für die Inbetriebnahme von Geräten auf einem hohen Tank muss der Mitarbeiter auf den Tank klettern. Mit der App kann er das Gerät vom Boden aus initialisieren. (Endress+Hauser)")
IT-Security-Management Gegen alle Risiken gewappnet – Bedrohungsanalyse in Produktionsnetzwerken
Soll ein IT-Security-Management in der Produktion aufgebaut werden, gilt es die Bedrohungen und Risiken zu bewerten sowie wirtschaftliche Gegenmaßnahmen zu ergreifen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/05/6205371fbd768/pflitsch-logo-rgb.png "pflitsch-logo-rgb (PFLITSCH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/72/5e7235b0f1b63/compmall-logo-2020-300x300px-150dpi.png "compmall-Logo-2020-300x300px-150dpi.png (www.compmall.de)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/85/5e85fa8f0f18b/smc-pantone-285.jpg "SMC_pantone_285.jpg (SMC Deutschland)")
Als Basis zur Umsetzung des IT-Security-Managements müssen die zu schützenden Werte identifiziert werden. Sie reichen von der Verfügbarkeit der Produktionseinrichtungen über das spezifische Know-how bis zu den Sachwerten von Maschinen und Anlagen. Nachdem die relevanten Bedrohungen ermittelt worden sind, lassen sich die Risiken beurteilen sowie angemessene Gegenmaßnahmen planen. In diesem Zusammenhang ist zwischen den Blickwinkeln eines Betreibers und eines Produkt- oder Lösungsanbieters zu unterscheiden.
Gemäß Glossar des IT-Grundschutzes [1] handelt es sich bei einer Bedrohung um einen „Umstand oder Ereignis, durch den oder das ein Schaden entstehen kann“. Die Erfassung der Bedrohungen fällt unter Umständen sehr umfangreich aus. Eine gute Unterstützung bieten verfügbare Kataloge, wie der Gefährdungskatalog aus dem IT-Grundschutz [1]. Für bestimmte Szenarien existieren spezielle Kataloge, beispielsweise aus dem Open Web Application Security Project [2] für Web-Anwendungen. Zum Einstieg in die Bedrohungsanalyse sollte der Fokus auf den größten Schadenspotenzialen liegen. In einer Fertigungsanlage könnte dies ein Produktionsausfall sein.
:quality(80)/images.vogel.de/vogelonline/bdb/1565600/1565646/original.jpg "Vorgehensmodell nach VDI/VDE 2182")
:quality(80)/images.vogel.de/vogelonline/bdb/1565600/1565647/original.jpg "Matrix zur Risikobewertung für einen Betreiber: Risiken werden nach wirtschaftlichen Auswirkungen bewertet.")
:quality(80)/images.vogel.de/vogelonline/bdb/1565600/1565648/original.jpg "Matrix zur Risikobewertung für einen Anbieter: Risiken werden nach technischen Auswirkungen bewertet.")
:quality(80)/images.vogel.de/vogelonline/bdb/1565600/1565649/original.jpg "Dr.-Ing. Lutz Jänicke, Product & Solution Security Officer im Bereich Corporate Technology & Value Chain, Phoenix Contact: „Ein Spannungsfeld in der Bedrohungs- und Risikoanalyse stellt das Zusammenwirken von Einzelaspekten im System dar.“")
Unterschiedlicher Blickwinkel von Betreiber und Anbieter
Der Betreiber kennt seine Anwendungsbedingungen und kann daher die mögliche Schadenshöhe angeben sowie für die Risikobewertung eine wirtschaftliche Abwägung hinsichtlich der Angemessenheit von Gegenmaßnahmen treffen. Als Risk Owner hat er die Möglichkeit, auf für ihn unrentable Aktivitäten zu verzichten und stattdessen ein Risiko zu akzeptieren. Wichtig ist in diesem Kontext, dass die Bedrohungen und Risiken als Entscheidungsgrundlage transparent und vollständig vorliegen.
Der Anbieter eines Produkts oder einer Lösung muss seine Bedrohungs- und Risikoanalyse hingegen auf Annahmen stützen. Diese Vermutungen sollten die künftigen Einsatzbedingungen, die sich an den Kenntnissen des Anbieters über den Markt orientieren, möglichst gut widerspiegeln. Für den Anbieter erweisen sich nur die Bedrohungen als relevant, die sein Angebot im Rahmen der Anwendungsszenarien direkt betreffen. Er beschreibt dann in seiner Security-Dokumentation den bestimmungsgemäßen Gebrauch, sodass der Käufer, der Betreiber selbst oder ein anderer Beteiligter in der Wertschöpfung die Eignung des Produkts/der Lösung für seine Zwecke einschätzen kann. Der Anbieter führt nun ebenfalls seine Risikobewertung durch und setzt die Aktivitäten um, welche die Security-Risiken adressieren. Er ist dabei an seine zugesagten Security-Eigenschaften gebunden und kann Risiken nicht stillschweigend billigen, weil ihm etwa die für Gegenmaßnahmen anfallenden Kosten nicht angemessen erscheinen. In einem solchen Fall müsste der Anbieter entweder den bestimmungsgemäßen Gebrauch einschränken oder die verbleibende Bedrohung direkt dokumentieren und gegebenenfalls externe kompensierende Maßnahmen vorschlagen. Auf der Grundlage dieser Informationen kann der Käufer wiederum eine Entscheidung fällen.
Genaue Betrachtung des Zusammenwirkens von Einzelaspekten im System
Möchte der Anbieter eine technische Risikobewertung vornehmen, muss er das Schadensausmaß technisch verstehen. Das Common Vulnerability Scoring System (CVSSv3) empfiehlt eine Aufteilung, deren höchste Stufe als „kritisch“ bezeichnet wird. Im Fall eines Datenverlusts könnten sich die Auswirkungen beispielsweise von „unwichtige Daten verloren“ bis „wichtige Daten verloren und nicht wieder herstellbar“ erstrecken. Zur Beurteilung der Wahrscheinlichkeit des Auftretens von Risiken werden häufig die Faktoren erforderliches Know-how und Ressourcen sowie der Angriffsweg und notwendige Voraussetzungen zugrunde gelegt. Letztlich basieren sowohl das Schadensausmaß als auch die Eintrittswahrscheinlichkeit auf einer Experteneinschätzung, die von den vorgesehenen Einsatzbedingungen abhängt.
Ein Spannungsfeld in der Bedrohungs- und Risikoanalyse stellt das Zusammenwirken von Einzelaspekten im System dar. Um ein sicheres System aufzubauen, werden sichere Komponenten benötigt. Das erzielbare Security-Niveau hängt aber nur sehr indirekt von den Security-Eigenschaften der Geräte ab. So lassen sich beispielsweise unsichere Komponenten in einem sicheren System betreiben, sofern sie durch vorgeschaltete Maßnahmen – wie eine Firewall – isoliert und lediglich von anderen sicheren Systemen ansprechbar sind. Umgekehrt können Geräte mit einem hohen Security-Niveau falsch verwendet und konfiguriert werden, was zu einem unsicheren Gesamtsystem führt.
Sofortige Einleitung von Gegenmaßnahmen bei Schwachstellen
Die Risikobewertung für eine Komponente oder ein System kann sich schnell verändern, wenn eine Schwachstelle gefunden wird. Die Ursache liegt oftmals in einem Implementierungsfehler. Es sind jedoch auch schon Fehler in öffentlich empfohlenen Algorithmen und Protokollen entdeckt worden. Zur Einschätzung des Schweregrads einer Schwachstelle hat sich das bereits erwähnte Common Vulnerability Scoring System (CVSS) durchgesetzt, das aktuell in der Version 3.0 vorliegt [3]. Ähnlich wie bei der normalen technischen Risikoanalyse wird die Ausnutzbarkeit des Fehlers auf der Grundlage des Angriffsvektors und der Angriffswege beurteilt. Außerdem erfolgt eine Bewertung der Auswirkungen im Hinblick auf die Vertraulichkeit, Integrität und Verfügbarkeit („Base Score“). Im Ergebnis erhält der Anwender nur eine Zahl zwischen 0 und 10 zur Einschätzung.
In diesem Fall gilt ebenso, dass eine Schwachstelle in einer Komponente nicht zwingend in der gleichen Beurteilung auf der Systemebene resultieren muss. Ein kritischer Fehler in einer Komponentenfunktion kann keinerlei Auswirkungen auf die Systemebene haben, sofern die Funktion selbst nicht relevant oder zugänglich ist. Aus Betreibersicht ist es durchaus möglich, dass die Bewertung der Schwachstelle zu anderen Ergebnissen führt, weil der Anbieter von einem angenommenen Einsatzszenario ausgeht, der Betreiber aber davon abweichende Schutzziele hat. Das CVSS umfasst daher auch eine Einschätzung über die realen Anwendungsbedingungen („Environmental Score“). Grundsätzlich sollten Schwachstellen jedoch über die Zulieferkette verfolgt, die entstehenden Risiken bewertet und Gegenmaßnahmen eingeleitet werden. Im Automatisierungsumfeld ist dabei immer das Risiko einer Fehlfunktion nach einem Patch mit zu betrachten.
:quality(80)/images.vogel.de/vogelonline/bdb/1450500/1450500/original.jpg "Das real existierende Gefährdungspotenzial wird von vielen Unternehmen nach wie vor unterschätzt, obwohl es einen erheblichen Schaden nach sich ziehen kann. Phoenix Contact bietet mit seinen Dienstleistungen, Produkten und Lösungen einen ganzheitlichen Ansatz. (Phoenix Contact)")
Sicherheit
Warum IT-Security einen ganzheitlichen Ansatz erfordert
Umfassende Unterstützung über die gesamte Prozesskette
Phoenix Contact steht seinen Kunden über die gesamte Prozesskette mit standardisierter Security zur Seite. Bei der Bestandsaufnahme und Bedrohungsanalyse bestehender oder geplanter Anlagen bilden individuelle Dienstleistungsangebote die Basis für die Umsetzung von Security-Konzepten. Darüber hinaus werden für verschiedene Branchen sichere Automatisierungslösungen zur Verfügung gestellt. Zum Aufbau sicherer Netzwerke tragen nicht zuletzt die entsprechenden Security-Komponenten wie Firewalls und sichere Steuerungen des Unternehmens bei, die in Kombination mit den Sicherheitsfunktionen anderer Komponenten wirken.
Vom sicheren Entwicklungsprozess bis zum kontinuierlichen Schwachstellenmanagement des Phoenix Contact PSIRT (Product Security Incident Response Team) ist Security dazu im kompletten Lebenszyklus der Produkte und Lösungen verankert. Erfahrung und Wertschöpfungstiefe unterstützen die Anwender ferner bei der Erreichung ihrer Security-Qualitätsziele.
Zertifizierte Entwicklung von sicheren Produkten und Lösungen
Phoenix Contact wurde als eines der ersten Unternehmen in Deutschland vom TÜV Süd nach der Normreihe für IT-Sicherheit IEC 62443-4-1 und -2-4 zertifiziert. Dies bestätigt, dass das Unternehmen
- die Entwicklung von Secure-by-Design-Produkten entsprechend dem Prozess IEC 62443-4-1 sowie
- das Design von sicheren Automatisierungslösungen gemäß dem Prozess IEC 62443-2-4
durchführt. Die Zertifizierungen unterstreichen die Strategie von Phoenix Contact, standardisierte Security in Produkten, Industrielösungen und Beratungsdienstleistungen anzubieten, um einen zukunftssicheren Betrieb von Maschinen, Anlagen und Infrastrukturen zu ermöglichen.
Als zentrale Elemente in der IEC 62443-4-1 und -2-4 fungieren eine Bedrohungsanalyse auf Basis des Anwendungsszenarios und ein Produkt- oder Lösungsentwicklungsprozess, mit dem sicher nachvollzogen werden kann, dass alle identifizierten Security-Anforderungen implementiert, verifiziert und dokumentiert werden. Zusätzlich müssen Gerätehersteller auf Security-Schwachstellen angemessen reagieren und verlässlich Security-Updates veröffentlichen. Diese Anforderung wird bei Phoenix Contact durch das etablierte Product Security Incident Response Team (PSIRT) übernommen.
:quality(80)/images.vogel.de/vogelonline/bdb/1368800/1368867/original.jpg "Cyber Security ist und bleibt der neuralgische Faktor für eine erfolgreiche digitale Transformation. (©bluebay2014 - stock.adobe.com)")
Cyber Security
Proaktive Sicherheit ist jetzt das Gebot der Stunde
Literaturverzeichnis:
[1] IT-Grundschutz-Kataloge. Bundesamt für Sicherheit in der Inforamationstechnik
[2] OWASP: Open Web Application Security Project. https://www.owasp.org/
[3] FIRST. Common Vulnerability Scoring System v3.0: Specification Document
* Dr.-Ing. Lutz Jänicke, Product & Solution Security Officer im Bereich Corporate Technology & Value Chain, Phoenix Contact GmbH & Co. KG, Blomberg
(ID:45874212)
:quality(80)/images.vogel.de/vogelonline/bdb/1922900/1922901/original.jpg "Durch die Verknüpfung der beiden Lösungen Endian Secure Digital Platform und Atvise lassen sich ein sicherer Fernzugriff und Datenvisualisierung im Nu kombinieren. (Endian/Bachmann Visutec)")
:quality(80)/images.vogel.de/vogelonline/bdb/1932200/1932237/original.jpg "Der VDW arbeiten an einem weiteren Leitfaden zur IT-Sicherheit an Werkzeugmaschinen, der sich diesmal an Produzierende von Werkzeugmaschinen und Fertigungsanlagen richten soll. (PARILOV EVGENIY)")