Herzlich Willkommen beim beam-Verlag in Marburg, dem Fachverlag für anspruchsvolle Elektronik-Literatur.


Wir freuen uns, Sie auf unserem ePaper-Kiosk begrüßen zu können.

Aufrufe
vor 4 Jahren

EF 2020

  • Text
  • Positioniersysteme
  • Antriebe
  • Robotik
  • Qualitaetssicherung
  • Bildverarbeitung
  • Automatisierungstechnik
  • Visualisieren
  • Regeln
  • Msr
  • Pc
  • Automation
  • Software
  • Messtechnik
  • Produktionsautomatisierung
Einkaufsführer Produktionsautomatisierung

Sicherheit Best Practice

Sicherheit Best Practice I: Sichere Netzwerkinfrastruktur • Segmentieren Sie Ihr ICS in mehrere Subsysteme und definieren Sie die Datenkommunikationsanforderungen zwischen den Subsystemen • Installieren Sie industrielle Firewalls zwischen den einzelnen Segmenten und konfigurieren Sie die Datenkommunikationsrichtlinie ordnungsgemäß (blockieren Sie beispielsweise unnötige Datenkommunikation mit geschützten Subsystemen). • Installieren Sie ein Intrusion Prevention System (IPS) oder Intrusion Detection System (IDS), um böswillige Aktivitäten in Ihrem industriellen Netzwerk zu überwachen • Richten Sie VPN-Verbindungen für den Fernüberwachungs- oder Fernwartungszugriff ein Best Practice II: Gehärtete Gerätesicherheit • Vergewissern Sie sich, dass Sie keine Standardkennwörter für Ihre Geräte verwenden, insbesondere für Netzwerkgeräte wie Industrial Ethernet Switches, Router, Wireless Access Points oder Mobilfunk-Router. • Wählen Sie ein sicheres Passwort mit mindestens acht Zeichen, das schwer zu erraten ist. Weitere Informationen unter: NIST Special Publication 800-63-3B: https://pages.nist.gov/800-63-3/sp800- 63b.html#reqauthtype • Aktivieren Sie die Zugriffsperrfunktionen. • Zugriffssteuerungslisten aktivieren: Mit dieser Funktion können Geräte-IP- oder MAC-Adressen auf dem industriellen Netzwerkgerät vorregistriert werden und nur Geräte, die den Zugriffssteuerungsregeln entsprechen, können das Netzwerk verwenden. • Verwenden Sie eine VPN- oder HTTPS-Sitzung, um die Kommunikation für den dezentralen Remote-Zugriff auf industrielle Geräte über eine Webkonsole zu verschlüsseln. Auf diese Weise wird verhindert, dass vertrauliche Daten wie Anmeldekonto-IDs und Kennwörter gestohlen werden. • Erkundigen Sie sich bei Ihrem Gerätehersteller, wie Sie innerhalb kürzester Zeit nach Verfügbarkeit Geräte-Sicherheitspatches und -updates erhalten. jeder Stillstand erhebliche Produktionsverluste verursachen kann. Zu den gängigen Best Practices für IT- Netzwerke gehören jedoch ständige Sicherheits-Patches und Systemaktualisierungen, um das Risiko von Sicherheitsverletzungen und Datenverlusten zu verringern. Das ständige Aktualisieren von Sicherheits- Patches kann für industrielle Steuerungssysteme jedoch unerwünscht sein, da jedes Update den Systembetrieb in Echtzeit unterbricht und einige Ausfallzeit erfordert. In der Vergangenheit waren ICS- Netzwerke physisch isoliert und nahezu immun gegen Cyberangriffe, sodass die meisten älteren industriellen Geräte nicht über umfassende Sicherheitsfunktionen verfügten. Beispielsweise wurden die Standardkennwörter einer SPS oder eines HMI möglicherweise nicht geändert, was bedeutet, dass sie anfällig für Cyberangriffe waren. IT-Netzwerke hingegen verfügen bereits über sehr ausgereifte Sicherheitsfunktionen wie Kontoverwaltung und Autorisierungsmechanismen. Es ist jedoch schwierig, IT-Sicherheitsfunktionen auf ältere OT-Geräte anzuwenden, da die OT-Geräte ursprünglich nicht für die Verarbeitung von IT-Funktionen ausgelegt waren. Zu guter Letzt arbeiten industrielle Geräte oft nicht in klimatisierten Umgebungen. Manchmal arbeiten sie sogar in rauen Umgebungen mit extremen Temperaturen, starken Stößen, Vibrationen und starken elektrischen Störungen. IT-Geräte von Unternehmen sind nicht für den Betrieb unter diesen Umgebungsbedingungen über einen längeren Zeitraum (mehrere Jahre rund um die Uhr) ausgelegt. Dies kann die Systemzuverlässigkeit beeinträchtigen und die Gesamtbetriebs kosten erhöhen. Best Practices zur Verbesserung der industriellen Netzwerksicherheit Trotz der großen Unterschiede in den Prioritäten und Techniken zum Schutz industrieller Steuerungssysteme im Vergleich zu Unternehmens-IT-Systemen haben mehrere Industrieverbände Standards und Sicherheitsrichtlinien für die Verbindung oder Konvergenz von ICS mit IT-Systemen entwickelt. Insbesondere konzentrieren sich das Industrial Internet Consortium (IIC), das National Institute of Standards and Technology (NIST) und die International Electrotechnical Commission (IEC) auf drei Hauptbereiche zur Verbesserung der Cybersicherheit von IKS. Diese drei Säulen zur Sicherung industrieller Netzwerke umfassen: • Umfassenden Schutz für industrielle Netzwerke bereitstellen • Sicherheitseinstellungen in den industriellen Netzwerken aktivieren • Die Sicherheit durch Schulung, Richtlinien und Überwachung verwalten Basierend auf diesen drei Säulen empfehlen wir die folgenden Best Practices als ersten Schritt, um Ihre ICS-Cybersicherheit abzusichern. Säule 1: Sichere Netzwerkinfrastruktur Die Sicherheit von Netzwerken wird schon beim Netzwerkdesign entschieden. Leider wurden die meisten Automatisierungsnetzwerke über mehrere Jahre oder sogar Jahrzehnte bereitgestellt, erweitert und langsam verändert. Viele SPS-Netzwerke und -Geräte wurden nie für die Verbindung mit einem Anlagennetzwerk oder dem Internet entwickelt und bieten häufig keine oder nur geringe Sicherheitsfunktionen. Da es früher vorrangig darum ging, die Anlage in Betrieb zu halten, wurden die Netzwerke eher auf Einfachheit als auf Sicherheit ausgelegt. Um ein sicheres industrielles Netzwerk bereitzustellen, muss der Nutzer als Erstes ein detailliertes Netzwerkdesign in Betracht ziehen. Ein detaillierter Netzwerkentwurf zur Verteidigung gegen Sicherheitsherausforderungen beginnt mit der Segmentierung des Netzwerks in logische Zonen, von denen jede durch industrielle Firewalls isoliert und geschützt ist. Zwischen den einzelnen Zonen kann man dann so genannte Conduits einrichten. Hierbei handelt es sich um Firewall-Regeln, die die Datenkommunikation zwischen den Zonen in dem Netzwerk filtern oder verwalten. Kurz gesagt, mit einem umfassenden Verteidigungskonzept sollte das Netzwerk von innen nach außen geschützt werden. 46 Einkaufsführer Produktionsautomatisierung 2020

Sicherheit Bild 3: Unterschiedliche Prioritäten für IT- und OT-Netzwerke. Best Practice III: Sicherheitsmanagement und -schulung • Entwickeln Sie Sicherheitsrichtlinien für die Bediener, die das System entwerfen, betreiben und warten. Die Richtlinien sollten auch Fremdfirmen und Gerätehersteller berücksichtigen. • Schulen Sie Systemingenieure und bilden Sie sie weiter, damit sie die Bedeutung der Cybersicherheit verstehen und sich mit neuen Richtlinien vertraut machen können. • Entwickeln Sie Sicherheitsrichtlinien für Netzwerk-Endpunkte, Geräte und Netzwerkgeräte. • Investieren Sie in Sicherheitsüberwachungstools, um Sicherheitseinstellungen auf Ihren Geräten und Netzwerkgeräten zu überwachen und zu sichern. • Sichern Sie Ereignisprotokolle für industrielle Steuerungssysteme und industrielle Netzwerkgeräte und zeichnen Sie diese auf. • Verwenden Sie ein ICS, das die Integration in vorhandene IT- SIEM-Systeme unterstützt (z. B. Systeme, die RESTful APIs oder SNMP unterstützen). Smart Factory Betrachten wir das Beispiel einer Smart Factory. Es ist zwar wichtig, eine Firewall zwischen dem IT-Netzwerk und dem OT-Netzwerk bereitzustellen, dies reicht jedoch nicht aus. Innerhalb des OT-Netzwerks sollten auch zusätzliche Firewalls für wichtige Assets installiert werden, z. B. ein Controller für ein verteiltes Steuerungssystem (DCS). Denn je kritischer das Gerät ist, desto mehr Sicherheitsschutz ist erforderlich. Dies ist der Grundgedanke eines gründlichen Verteidigungsentwurfs. Indem man nicht autorisierten Mitarbeitern den Zugriff auf ein kritisches System erschwert, werden die potenziellen Auswirkungen einer Sicherheitsverletzung minimiert, indem der Zugriff auf eine einzelne Zone beschränkt wird und nicht den vollständigen Zugriff auf das gesamte Netzwerk gewährt. IPS/ IDS Ein Intrusion Prevention System (IPS) oder Intrusion Detection System (IDS) ist ein fortschrittliches System, das für ein industrielles Netzwerksystem in Betracht gezogen werden kann. Das IPS/ IDS überwacht die Netzwerkdaten auf böswillige Aktivitäten. Es wird häufig in IT-/ Büronetzwerken verwendet. Es kann aber auch für Netzwerke von industriellen Steuerungssystemen verwendet werden, da immer mehr Anwendungen auf Windowsbasierten Industriecomputern ausgeführt werden. Sicherer Remotezugriff Ein weiterer wichtiger Faktor für ein sicheres Netzwerkdesign ist der sichere Remotezugriff. Ähnlich wie die VPN-Software auf dem Laptop verwendet wird, um von zu Hause aus auf ein Unternehmensnetzwerk zuzugreifen, kann auch eine verschlüsselte VPN-Verbindung für die Fernüberwachung oder Fernwartung bereitgestellt werden. Säule II: Gehärtete Gerätesicherheit Eine weitere bewährte Methode zur Sicherung der industriellen Netzwerksicherheit ist die Gerätesicherheit, die häufig als Gerätehärtung bezeichnet wird. Dies bezieht sich auf die Sicherung der Netzwerk-Switches, Router und anderen Geräte, die an das industrielle Steuerungssystem angeschlossen sind. Einige der Methoden umfassen die Benutzer-Authentifizierung, die Wahrung der Integrität und Vertraulichkeit von Daten sowie die Verwendung der Authentifizierung zur Steuerung des Netzwerkzugriffs. Dies sind alles Dinge, die man wahrscheinlich im täglichen Leben mit seinen eigenen persönlichen Geräten erlebt. Beispiele Für den Online-Zugriff auf ein Bank- oder Kreditkartenkonto ist beispielsweise ein sicheres Kennwort erforderlich. Und wenn man sich nach einer bestimmten Anzahl fehlgeschlagener Versuche nicht anmelden kann, wird der Zugriff wahrscheinlich gesperrt, und man muss sich an den Support wenden, um seine Identität zu beweisen. Dies ist das Grundkonzept für die Benutzerauthentifizierung. Ein weiteres Beispiel ist eine Webbrowser-Nachricht, die informiert, wenn die Verbindung nicht sicher ist. Dies liegt daran, dass für die Site, auf der Anwender zugreifen möchten, eine verschlüsselte Websitzung mit HTTPS erforderlich ist oder empfohlen wird. Dies ist die Grundidee hinter Datenintegrität und Vertraulichkeit. Um die Analogie zu vervollständigen: Wenn man versucht, sich von einem neuen Gerät aus anzumelden, muss man das Gerät über eine registrierte E-Mail-Adresse oder eine SMS-Nachricht an ein registriertes Mobiltelefon validieren. Dies ist das Konzept der Authentifizierung und Zugriffskontrolle. Einkaufsführer Produktionsautomatisierung 2020 47

hf-praxis

PC & Industrie

© beam-Verlag Dipl.-Ing. Reinhard Birchel