Herzlich Willkommen beim beam-Verlag in Marburg, dem Fachverlag für anspruchsvolle Elektronik-Literatur.


Wir freuen uns, Sie auf unserem ePaper-Kiosk begrüßen zu können.

Aufrufe
vor 2 Jahren

8-2022

  • Text
  • Elektromechanik
  • Antriebe
  • Stromversorgung
  • Hmi
  • Industrielle kommunikation
  • Robotik
  • Qualitaetssicherung
  • Bildverarbeitung
  • Automatisierung
  • Sensorik
  • Messtechnik
  • Bedienen und visualisieren
  • Messen steuern regeln
  • Bauelemente
  • Iot
  • Embedded systeme
  • Sbc boards module
  • Industrie pc
  • Software
  • Sensoren
Fachzeitschrift für Industrielle Automation, Mess-, Steuer- und Regeltechnik

Cybersecurity Praktische

Cybersecurity Praktische Ratschläge für den Defense-in-Depth- Ansatz und die Zero-Trust-Architektur Artikel von Moxa Inc, übersetzt von systerra computer GmbH systerra computer GmbH www.systerra.de Da der Trend zur Konvergenz der Operation Technology (OT) und Information Technology (IT) weiter zunimmt, hat fast jedes Industrieunternehmen damit begonnen, seine Netzwerksicherheit zu verstärken und Cybersecurity-Vorkehrungen zu treffen, um seinen Betrieb zu schützen. Einer der Hauptgründe dafür ist die Tatsache, dass kritische Infrastrukturen und Produktionsanlagen mit zunehmender Wahrscheinlichkeit Ziel von Cyberangriffen werden. Die sich häufenden Berichte über Firmen, die ihre Produktionsanlagen aufgrund eines Cyberangriffs für mehr als einen Tag stilllegen mussten, zeigen, dass Vorsichtsmaßnahmen durchaus begründet sind. Wenn ein Unternehmen von einem Cyberangriff betroffen ist, entstehen ihm nicht nur finanzielle Verluste, sondern es erleidet oft auch einen Imageschaden, wenn der Angriff auch medial aufgegriffen wird. Immer mehr Organisationen werden Ziel von Ransomware-Angriffen. Selbst einige der größten Unternehmen der Branche mit bereits etablierten Vorsichtsmaßnahmen werden zur Zielscheibe. Diese Angriffe zeigen, wie hoch das Risiko in einer vernetzten Welt ist und dass keine Organisation vor Cyberangriffen gefeit ist. Wirkungsvoller Schutz Es ist daher kaum verwunderlich, dass IT-Sicherheitsbeauftragte und Konzernverantwortliche für den Bereich Sicherheit unbedingt mehr über Anwendungs-Umgebungen erfahren wollen. Dabei im Speziellen, wie man Cybersicherheitsmaßnahmen effektiv umsetzen kann, ohne den industriellen Betrieb zu stören. Einer Entscheidungsfindung in diesem komplexen Umfeld muss die sorgfältige Prüfung einer Vielzahl an Ansätzen und Architekturen vorausgehen. In diesem Artikel werden wir zwei der heutzutage am häufigsten verwendeten Sicherheitsarchitekturen untersuchen und einige Tipps geben, die bei der Implementation in Anwendungs-Umgebungen von Unternehmen helfen können. Die Ansätze Defense-in-Depth und Zero Trust Der ursprüngliche Schwerpunkt der Zero-Trust-Architektur besteht darin, den Benutzern, die für den Betrieb des Netzwerks erforderlich sind, nur ein Minimum an Zugriffsrechten zu gewähren (NIST-Sonderveröffentlichung 800-207). Das übergeordnete Ziel hierbei ist es, uneingeschränkte Zugriffsrechte zu vermeiden und jeden Nutzer mit definierten Rechten auszustatten um die Wahrscheinlichkeit der Verletzung der Cybersicherheit zu minimieren (Bsp.: vertrauens würdige Person). Der Defense-in-Depth-Ansatz umfasst mehrere Ebenen des Netzwerkschutzes, um die Netzwerksicherheit für industrielle Abläufe zu verstärken. Dahinter steht der Gedanke, eine zweite Möglichkeit zum Schutz von Netzwerken und IT-Infrastruktur einzuführen, für den Fall, dass die erste Schutz ebene versagt. Gemäß der Cybersicherheitsnorm IEC 62443 muss dieser Prozess mit der Partitionierung von Bereichen auf der Grundlage der erforderlichen Schutzniveaus beginnen. Jede Partition wird als Zone bezeichnet (Beispiel Standorte), und alle darin befindlichen Kommunikationsgeräte haben dieselbe Sicherheitsstufe, d. h. sie haben alle dasselbe Schutzniveau. Wenn die Sicherheit noch weiter erhöht werden soll, kann eine Zone innerhalb einer anderen Zone mit zusätzlichen Sicherheitsmaßnahmen eingerichtet werden (Beispiel Produktionsanlagen, Bild 1). Durch die Kombination der beiden Ansätze können Industriebetriebe ein Grundgerüst an Schutzmaßnahmen errichten und dieses flexibel mit zusätzlichen Maßnahmen erweitern. Nach der Betrachtung dieser beiden Ansätze ist klar, dass es kein Patentrezept für die Cybersicherheit gibt und dass mehrere Aspekte berücksichtigt werden müssen, um die Sicherheit eines Netzwerks zu gewährleisten. Beispiele für die Implementierung von Zero-Trust- und Defense-in- Depth-Netzwerken Stärkung des Cybersecurity- Bewusstseins Zusätzlich zu den genannten Möglichkeiten Zero-Trust und Defensein-Depth, ist es sehr wichtig, das Bewusstsein für Cybersicherheit in verschiedenen Abteilungen zu stärken und sicherzustellen, dass alle Teammitglieder ein einheitliches Basiswissen zum Thema Cybersicherheit haben. Die gezielte Schulung erhöht hierbei die Chance für die Einhaltung der Richtlinien und schärft das Verständnis für technische Sicherheitsanforderungen. Dies erfordert: • Koordinierte Sicherheitsmaßnahmen sowie Netzüberwachung und -verwaltung 34 PC & Industrie 8/2022

Cybersecurity • Sensibilisierung dafür, dass alle Geräte und Netzwerke kompromittiert werden können • Sicherstellung von zuverlässigen Wiederherstellungs- und Reaktionsprozessen Einsatz von strenger Authentifizierung für Benutzer und Netzwerkgeräte Ein unglückliches Szenario, das in Industrienetzwerken häufig auftritt, ist die Kompromittierung von Benutzeranmeldedaten. Bei Netzwerken, die nicht auf dem Prinzip des „Zero Trust“ beruhen, reichen einem Hacker möglicherweise die Anmelde daten eines einzigen Benutzers um Zugang zum gesamten Netzwerk zu erhalten. In einem Netzwerk, das eine Zero-Trust-Architektur verwendet, benötigt ein Hacker jedoch nicht nur eine Gerätezugriffskontrolle, sondern auch eine Benutzer authentifizierung und -autorisierung. Darüber hinaus wird empfohlen, Vertrauenslisten für die granulare Kontrolle des Netzwerks zu verwenden. Gerätezugriffskontrolle Durch die Verwendung von Vertrauenslisten, Rate-Control und Failure Logout erlauben Netzwerk geräte nur den Zugriff von vertrauenswürdigen Geräten, die mit der Secure Boot-Funktion ausgestattet sind, und verhindern über mäßige Zugriffsversuche wie Brute-Force- Angriffe. Benutzerauthentifizierung und -autorisierung Durch die Überprüfung der Anmelde informationen des Benutzers bei der Anmeldung an Geräten protokollieren die Netzwerkgeräte alle Zugriffsversuche des Benutzers und stellen die niedrigste Stufe von Privilegien auf der Grundlage der Rolle des Benutzers bereit. Vertrauenslisten Wenn Unternehmen die Sicherheit erhöhen wollen, können Vertrauenslisten eine gute Möglichkeit zur Kontrolle des Netzwerkverkehrs sein. Eine gängige Praxis besteht darin, eine Vertrauensliste für IP-Adressen und Service-Ports zu erstellen und die Deep Packet Inspection-Technologie zu nutzen, um das Netzwerk mit Funktionen wie Lese- oder Schreibberechtigungen granular zu kontrollieren. Netzwerksegmentierung bietet umfassende Defense-in-Depth Sicherheit Remote-Verbindungen sind ein wesentlicher Bestandteil von industriellen Steuerungssystemen, die effektiv verwaltet werden müssen. Gleichzeitig stellen Bedrohungen durch Insider immer noch ein Risiko Bild 1: Produktionsanlage für das Netzwerk dar. Eine geeignete mehrstufige Netzwerksegmentierung kann den Zugriff auf das restliche Netzwerk unterbinden, wenn die Remote-Verbindungen kompromittiert wurde oder eine Insider-Bedrohung besteht. Netzwerksegmentierung und Segmentierung auf Detail-Ebene Segmentierte Netzwerke können Hacker daran hindern, sich horizontal durch Netzwerke zu bewegen. Häufig setzen Unternehmen Firewalls zwischen dem IT- und dem OT-Netzwerk ein, um eine hochgradige Netzwerksegmentierung zu erreichen. Wenn das Netzwerk nicht entsprechend segmentiert ist, kann ein böswilliger Akteur, sobald er die Anmeldedaten eines Benutzers kompromittiert hat, auf Geräte und Netzwerke im OT-Netzwerk zugreifen. Es gibt verschiedene Ansätze eine Netzwerksegmentierung zu erreichen, darunter auch der Einsatz von Firewalls. Einer der Vorteile des Einsatzes einer Firewall besteht darin, dass sie den Administratoren hilft, Zonen im Netzwerk einzurichten um nur den erlaubten Datenverkehr von einer Zone in eine andere zu übertragen. Darüber hinaus helfen Sicherheitsrichtlinien und -regeln, wie z. B. die nur auf genutzte Ports und IP-Adressen beschränkte Freigabe, bei der Segmentierung des Netzwerks in kleinere, leichter zu verwaltende Abschnitte, sicherzustellen, dass nur der notwendige Datenverkehr im Netzwerk zugelassen wird. Micro-Segmentierung Bild 2 Eine der vielen kritischen Anlagen in industriellen Steuerungssystemen sind Bewegungssteuerungen. Wenn solche kritischen Anlagen kompromittiert werden, kann dies die Produktion zum Stillstand bringen oder sogar Schäden verursachen, die die Sicherheit von Menschen gefährden kann. Daher sollte man gerade dort industrielle Intrusion-Prevention- Systeme einsetzen, um Cyberangriffe innerhalb bestimmter Zonen einzudämmen und kritische Anlagen zu schützen (Bild 2). Darüber hinaus kann eine kontinuierliche Überwachung auf anomale Aktivitäten von Benutzern und Geräten in Netzwerken dazu beitragen, die Ausbreitung des Angriffs einzudämmen und dem Personal eine schnellere Wiederherstellung des Netzwerks zu ermöglichen. ◄ PC & Industrie 8/2022 35

hf-praxis

PC & Industrie

© beam-Verlag Dipl.-Ing. Reinhard Birchel