Datenmanagement Daten(-Lecks) unter Kontrolle

Autor / Redakteur: Peter Lukesch* / Sebastian Human

Die vielzitierte Analogie „Data is the new oil“ braucht dringend ein Update. Insbesondere weil Daten mit vergleichsweise geringem Aufwand einmal um den Globus transportiert werden können. Auch beim Abfluss derselben ist eine Lösung alles andere als trivial.

Anbieter zum Thema

Datenlecks sind in vielen Organisationen keine Seltenheit, können aber zum Problem werden, bleiben sie unbehandelt.
Datenlecks sind in vielen Organisationen keine Seltenheit, können aber zum Problem werden, bleiben sie unbehandelt.
(Bild: gemeinfrei / Pexels )

Der Sicherheitszustand Ihrer Daten lässt sich am besten mit dem Experiment Schrödingers Katze vergleichen.

Ob Ihre Daten bereits gestohlen wurden, können Sie bei deren einfacher Betrachtung zunächst noch nicht feststellen, da diese ja nach wie vor in unverändertem Zustand vorliegen. Erst wenn diese Daten an einem anderen Ort wieder auftauchen oder verwendet wurden, werden Sie erfahren, dass die Daten nicht mehr „ausschließlich“ in Ihrem Besitz sind. Auch bei der Integrität der Daten verhält es sich ähnlich, da Sie eine Veränderung der Daten unter Umständen erst bei der Nutzung feststellen werden. Dieses Prinzip hat sich bereits Leonardo da Vinci als eine Art Kopierschutz zu Nutzen gemacht: Er baute in seine Niederschriften absichtlich Fehler ein, damit gestohlene Aufzeichnungen oder Abschriften nicht ohne detailliertes Wissen wiederverwendet werden konnten.

Grundsätzlich werden Sie sich auf unterschiedliche Probleme und Auswirkungen vorbereiten müssen, je nachdem, ob die Daten gar nicht mehr vorliegen, manipuliert wurden oder ein Duplikat derselben in fremde Hände geraten ist. Im letzten Fall haben Sie es zusätzlich auch sehr schnell mit rechtlichen Konsequenzen zu tun, wenn zum Beispiel geschützte Daten eines Vertragspartners oder gar personenbezogene Daten betroffen sind.

Wie kann man jedoch feststellen, welche Daten ein oder ausgebracht beziehungsweise verändert wurden? Und gibt es überhaupt Unterschiede bei der Behandlung von Informationen, die eingebracht, verarbeitet oder ausgeführt werden?

Bereichsübergreifendes Problem

OT-Komponenten sind kein reines IT-Thema. Zusätzliche Anforderungen an die Produktion erzwingen, dass unterschiedlichste Abteilungen von der Planung über die IT bis hin zur Instandhaltung eng zusammenarbeiten müssen, jedoch jeder Bereich die notwendigen Kompetenzen erhält, um die Verantwortung für seine Aufgaben übernehmen zu können.

Auch ohne entsprechendes IT-Know-how muss ein Instandhalter in der Lage sein, die richtigen Daten zur richtigen Zeit an die vorgesehene Maschine zu bringen. Ebenso muss er den Installationszeitpunkt selbständig festlegen können, wenn Wartungsarbeiten oder ein anderweitig verursachter Anlagenstillstand diese Tätigkeiten gerade zulassen.
Er muss neben dem Reinigen und Pflegen der mechanischen Teile auch die IT-Komponenten pflegen können, ohne detaillierte Abläufe und Techniken kennen zu müssen. Ebenso intuitiv sollten Daten in Anlagen ein- und ausgebracht, verarbeitet, geprüft und protokolliert werden.

Bereits bei der Planung neuer Anlagen müssen diese Abläufe und Möglichkeiten berücksichtigt werden, auch vor dem Hintergrund, dass in einer Anlage Maschinen unterschiedlichster Hersteller verbaut sein können. Je einheitlicher die Lösung umgesetzt werden kann, desto geringer der Schulungs- und Abstimmungsaufwand der Mitarbeiter. Und zudem ist es umso unwahrscheinlicher, dass Wege gesucht und etabliert werden um die definierten und freigegebenen Prozesse zu umgehen.

Konvergenz von IT und OT

Je größer der Wunsch des Kunden nach Individualisierung der Produkte, nach Losgröße-1-Produktion und anderen mit Industrie 4.0 verbundenen Themen aufkommt, desto wichtiger wird die prozesssichere Vernetzung der Maschinen und Anlagen. Das Management möchte mit digitalen Zwillingen Entwicklungskosten senken und Probleme bereits vor der Inbetriebnahme analysieren, erkennen und beheben. Es verfolgt eine Big-Data-Strategie, beispielsweise für Predictive Maintenance.

All diese Schlagwörter, die in den letzten fünf Jahren regelmäßig und scheinbar nahezu beliebig erweitert wurden, sind Teil einer Revolution der Industrie und Konvergenz mit den bis Dato rein officelastigen IT-Themen und damit einhergehenden Problemen.

Eine Malware – egal ob Trojaner, Virus oder Rootkit – unterscheidet nicht zwischen Büroumgebungen und Industrieanlagen. Auch Hacker, egal ob privat oder staatlich organisiert, werden bei ihren Angriffen nicht selbständig an Netzübergängen in die Produktion stoppen, sondern eher die Anstrengungen erhöhen um noch bessere Informationen gewinnen oder einen höheren Schaden generieren zu können. Generell sei an dieser Stelle erwähnt, dass wohl davon auszugehen ist, dass alle verbundenen Systeme ebenfalls eine gewisse Angriffsfläche bieten und hier wohl nur die „Air gap“ einen wirkungsvollen Schutz bieten würde. Diese wird aber zusehends geschlossen aufgrund der eingangs erwähnten Bestrebungen zur Interkonnektivität der eingesetzten Systeme und der daraus resultierenden Analysemöglichkeit.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Divergenz von IT und OT

Obwohl Einigkeit über die Problemstellungen in der Konvergenz herrscht, erfordern beide Umgebungen sehr differenzierte und situations- sowie bedarfsorientierte Lösungen. Während Schleusen-PCs und Email-Gateways in Office-Umgebungen gängige Praxis sind, bringt der Servicetechniker im Produktionsumfeld seine Daten über USB-Sticks, Programmiergeräte oder eine entsprechende Engineering Station ein. Denn ist schnelles Handeln gefragt, ist der umgehende Zugang über einfache, transparente Prozesse mit automatischer Protokollierung und unter Einhaltung aller Compliance Vorgaben unverzichtbar.

Das schwächste Glied in der Kette bleibt jedoch immer noch der Mensch. Das Thema IT-Sicherheit muss von den involvierten Personen zwar beachtet werden, trifft meistens jedoch nicht deren Kernkompetenz und sollte nach Möglichkeit deren tägliche Arbeitsweise nicht oder nur sehr geringfügig belasten – da sonst die Gefahr besteht, dass die angepeilten Maßnahmen aufgrund fehlender Praxistauglichkeit nicht umgesetzt oder alternative Wege gesucht werden.

Viele Verstöße erfolgen nicht mit Vorsatz, sondern aus Unwissenheit. Eine Engineering Station wird genutzt, um private Daten zweier Mitarbeiter auszutauschen; und da der dienstliche USB-Stick nicht über ausreichend Speicherplatz verfügt, wird ein privater Stick eingesetzt…
Im Fall von Produktionsdaten sind hier meist bereits vorgegebene Abläufe implementiert, sodass eine entsprechende Auswertung in sicherer Manier erfolgen kann. Wie sieht es jedoch mit nicht-prozessgebundenen Daten aus? Sie werden von externen Mitarbeitern oder Firmen eingebracht und in der Produktion eingesetzt, unter anderem in Form von Software-Updates, neuer Firmwarestände für Maschinen. Außerdem müssen bekannte Sicherheitslücken wie die im letzten Jahr bekannt gewordenen RDP-Schwachstellen BlueKeep und DejaBlue möglichst schnell geschlossen werden, um gegen potentielle Angriffe gewappnet zu sein. Es muss ein Mechanismus geschaffen werden, um zunächst schnell und gezielt die verwundbaren Systeme zu identifizieren und diese anschließend produktionsorientiert – sprich unter Berücksichtigung entsprechender Wartungsfenster – mit den nötigen Aktualisierungen zu versorgen.

Richtige Arbeitsweise unterstützen

Nicht jeder Instandhalter oder Servicetechniker hat tiefe IT-Kenntnisse, um komplexe Tools bedienen zu können, die Probleme unterschiedlichster Datei- und Daten-Formate sowie Protokolle zur Übertragung zu kennen oder gar zu analysieren. Deren Kernaufgaben liegen darin, Systeme und Anlagen in Betrieb zu nehmen, am Laufen zu halten und Hoch- oder Umrüstungen umzusetzen.

Je einfacher eine Lösung umzusetzen und zu nutzen ist, desto höher die Akzeptanz durch die Mitarbeiter.

Wenn das Installieren eines Patches in einer Produktionsstraße während dem Wartungsfenster mit nur wenigen Klicks funktioniert, können Mitarbeiter selbst ohne große Vorkenntnisse selbständig Schwachstellen beheben. Die vermeintlich komplexe Installation einer weiteren Software oder das Update bereits vorhandener Programme ist durch nahezu jeden Mitarbeiter möglich, wenn der Ablauf vorab durch einen Mitarbeiter mit IT-Kenntnissen und Prozess-Know-how vorbereitet wurde.
Der Arbeitsaufwand und die Komplexität hängen mit solch einer Lösung indes nicht von der Anzahl verwendeter Geräte ab, sondern von den Unterschieden der eingesetzten Technologien und können mit etwas Erfahrung und den richtigen Hilfsmitteln hersteller- und branchenunabhängig umgesetzt werden. Wurden neue Technologien hinzugefügt beziehungsweise betroffene Abläufe bei Notwendigkeit entsprechend angepasst, werden für die Verteilung von Daten, Installation von Updates oder der Erstellung von Backups nur noch die Ausführungszeitpunkte an die Betriebsverantwortlichen delegiert.

Auch das Ein- und Ausbringen von Daten muss standardisiert werden, um sowohl den eigenen als auch unternehmensfremden Mitarbeitern die Sicherheit über Verwendung und Integrität ihrer Daten zu geben.
Je nach Branche und Unternehmensgröße sind hier unterschiedlichste Szenarien denkbar. In der einfachsten Form muss ein Medium lediglich mit eigenen Scannern und Pattern geprüft und freigegeben werden.

Mehr Sicherheit erreicht man, indem Daten gescannt, verschlüsselt und nur zur Nutzung an bestimmten Geräten und/oder zu bestimmten Nutzungszeiten freigegeben werden. Die reine Freigabe der Medien auf Basis von Hardware-Identifizierungskennzeichen wie Hersteller- und Seriennummer kann schnell zu einem falschen Sicherheitsverständnis führen, da auch diese nicht zu 100 Prozent fälschungssicher sind. Auch der Rücktransport muss über diese Technologie überwacht und für retrospektive Scans abgelegt werden, damit nachvollzogen werden kann, welche Daten ein- beziehungsweise ausgebracht werden. Möglicherweise war die Schadsoftware zum eingebrachten Zeitpunkt den Herstellern von Virenscannern noch gar nicht bekannt. Mit Scans der retrospektiven Daten können ohne übertriebene Forensik die Verursacher ermittelt werden. Die Freigabe in beide Richtungen erfolgt durch Compliance Vorgaben oder Bewertung durch einen Mitarbeiter mit entsprechendem Wissen.
Der sicherste – und zugleich komfortabelste – Weg ist die vollständige Vermeidung des manuellen Datentransports. Anhand des zuvor definierten Prozesses wird unterschieden zwischen der Bereitstellung der Daten, der internen Freigabe und der automatisierten Lieferung an das Zielsystem. Sowohl das Hinterlegen der ein- und ausgeführten Informationen als auch die Verwendung, Zeiten, Freigabe und weitere Informationen können so automatisch protokolliert und nach einem Vorfall einfach ausgewertet werden. Gibt es sowohl vernetzte als selbständig und unabhängig laufende Anlagenteile empfiehlt sich eine Kombination der oben genannten Möglichkeiten.

Bei der Auswahl geeigneter Produkte ist es demnach unverzichtbar, dass unterschiedlichste Abteilungen des Unternehmens, zum Beispiel aus Instandhaltung und IT, an Lösungen zusammenarbeiten können. Jeder muss seine Verantwortungs- und Kompetenzbereiche abdecken, und Synergieeffekte wollen optimal genutzt werden.

Weiterhin ist es wichtig, dass vorhandene Infrastrukturen angebunden, aber nicht vorausgesetzt werden. Dies dient nicht nur dazu, die Komplexität möglichst gering zu halten, sondern auch Kosten zu senken. Nicht zuletzt steht aufgrund der hohen Verfügbarkeitsanforderungen immer die Produktion selbst im Vordergrund.

Lösungen müssen zeitnah umgesetzt, in Echtzeit ausgeführt, überwacht und protokolliert werden. Erst wenn all diese Voraussetzungen gegeben sind, können die theoretisch entwickelten Ansätze zur Absicherung von OT-Komponenten auch realistisch umgesetzt und gelebt werden.

Mehr zu Ondeso

Mehr von Ondeso gibt es bei Industrial Generation Network. In seiner Masterclass „Jetzt ist alles anders, aber was hat sich geändert?“ spricht CEO Rolf-Dieter Metka im Rahmen von The Future Code über das Thema agiles IT-Management in der Produktion.

Hier geht es zur Aufzeichnung.

* Peter Lukesch arbeitet als COO der Ondeso GmbH und verantwortet dort die Strukturierung, Organisation und die technisch ausgerichteten Servicebereiche.

(ID:46813278)