:quality(80)/p7i.vogel.de/wcms/e0/d8/e0d828bd342ced5f71550d4fe142b456/0113244575.jpeg "Die effizientere Technik der 5G-Netze kann die Klimabilanz des Mobilfunknetzes deutlich verbessern. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a8/bd/a8bd01c646fe95c96f8d9e96d01d3924/0113933557.jpeg "Die Ergebnisse des Projekts sollen anhand von Demonstratoren aus dem Bereich der Gebäudetechnik veranschaulicht werden. Blick in die mit intelligenten, vernetzten Technologien ausgestattete Wohnumgebung im Bremen Ambient Assisted Living Lab (BAALL) des DFKI-Forschungsbereichs Cyber-Physical Systems. (Bild: Annemarie Popp - DFKI)")
:quality(80)/p7i.vogel.de/wcms/c0/11/c011915ad5c1dae221ec054dbad531d4/0113030444.jpeg "VW und andere Unternehmen setzen beim Internet of Things auf AWS. Mit AWS IoT bündelt der Konzern eine Vielzahl verschiedener Komponenten für unterschiedliche Anwendungsfälle. (Bild: frei lizenziert)")
IIoT-Komponenten :quality(80)/p7i.vogel.de/wcms/54/b7/54b76a2a88b7b7c9add36e1446aa7cac/0112951845.jpeg "Das Management von Benutzeridentitäten (IAM) ist einer der Eckpfeiler von ausgeklügelten Zero-Trust-Modellen. (Bild: Sivis)")
:quality(80)/p7i.vogel.de/wcms/d0/dc/d0dc9d050d5fe2ee725aee4df021674b/0114310369.jpeg "Mit dem Elastomer EPU 46 werden besonders für Griffe und dünne Teile im Gitterdesign verschiedene taktile Funktionen möglich. (Bild: Carbon)")
:quality(80)/p7i.vogel.de/wcms/a8/50/a850ce627818ebe324f4bbb74b3c60e0/0114294340.jpeg "Die Zugfestigkeiten erreichen sowohl auf der XY-Achse als auch auf der XZ-Achse beim 3D-Pellet-Druck höhere Werte als beim Filament-3D-Druck. (Bild: AIM3D)")
:quality(80)/p7i.vogel.de/wcms/64/89/6489ed2aeda29a67335913ad39361a67/0114257198.jpeg "(Bild: Fraunhofer ILT)")
:quality(80)/p7i.vogel.de/wcms/9e/ba/9eba3bd4fa52f78ceba915a8f43dbd23/96827617.jpeg "(Bild: EtiAmmos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4e/6d/4e6d4d04f1ba3a223e83a40e6a58f7d2/0114027657.jpeg "PAC hat Siemens außerdem als „Best-in-Class“-Plattformanbieter in den Kategorien „Industrielle Cloud-Anwendungen“ und „Industrial-Edge-Management“ sowie als „Leading Edge“ für Nachhaltigkeitsplattformen ausgezeichnet. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/e0/6ce08f1da1be141d820b8561e540e286/0114018852.jpeg "Aktuell steckt hinter Verschlüsselung die Idee, dass es schwierig ist, eine große Zahl in ihre Faktoren zu zerlegen. Sobald Quantencomputer leistungsfähig genug sind, wird sich dies jedoch ändern. (Bild: Andrew Derr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/3a/a13ab5575739eb563d095e29c0a480db/0113215437.jpeg "Anhand der 3D-Simulation von Bosch Connected Industry lassen sich Maschinenabläufe testen, bevor die Anlage aufgebaut ist. (Bild: Bosch)")
:quality(80)/p7i.vogel.de/wcms/75/ee/75ee46d290dac4a7ca7ad6eccce0454e/0113992256.jpeg "Thomas Hegel Gunther, Vorsitzender des Verwaltungsrats und Werksleiter von Volkswagen Autoeuropa in Portugal freut sich, dass sein Unternehmen mit dem Lean Production Award 2023 ausgezeichnet wurde, was mithilfe der Siemens-Tochter Mendix geklappt hat. Lese Sie ... (Bild: Volkswagen Autoeuropa)")
:quality(80)/p7i.vogel.de/wcms/c2/3a/c23a7345c6857caa69a1375fee611a22/0114270932.jpeg "Johannes Robier ist Geschäftsführer der Youspi Consulting GmbH. Seit 2013 unterrichtet er in unterschiedlichen Studienrichtungen an der FH Johanneum, FH Technikum Wien und Campus02 Human-Centred-Design. (Bild: frei lizenziert/Tollkühn Fotografie)")
IoT-Security Transparenz und Automatisierung: Cyberrisiken in der Industrie besser managen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d1371cff23/logo.jpg "Logo.jpg (NetModule)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Konvergente Netze aus Informationstechnologie (IT) und Betriebstechnologie (OT) sind bereits vielerorts Realität. Zuvor isolierte Netzwerke für industrielle Steuerungssysteme (ICS) sind dadurch nicht nur komplexer geworden - sondern auch stärker gefährdet.
Diese Entwicklung und das explosionsartige Wachstum von IoT-Geräten haben dafür gesorgt, dass es um die Transparenz in solchen Netzen eher schlecht bestellt ist. Industrielle Netzwerke, die beispielsweise kritische Infrastruktursysteme versorgen, sind dadurch anfällig für Hackerangriffe und jedwede Art von Cyberbedrohungen.
Das Risiko von Cyberangriffen auf OT-Netzwerke ist verglichen mit anderen Bereichen beispiellos. Der Grund: Alternde, wenn nicht gar überalterte ICS-Systeme verschmelzen mit IoT-geprägten Unternehmens- und Industrienetzwerken aller Art. Eine brisante Mischung. Betreiber und Cybersicherheitsverantwortliche sehen sich mit einem Bündel von Risiken und Folgen konfrontiert. Dazu zählen Einnahmeverluste aufgrund ungeplanter Ausfallzeiten, die mangelnde Fähigkeit Datenschutzverletzungen rechtzeitig einzudämmen, die zunehmende Arbeitsbelastung im Bereich Security Operations und das Damokleschwert potenzieller Compliance-Verstöße, um nur einige zu nennen.
Diese Risiken steigen noch, weil in aller Regel eine umfassende Transparenz für die Systeme in OT- und ICS-Umgebungen fehlt. Betreiber in Branchen wie der Energieversorgung, aber auch Industrie- und Fertigungsbetriebe brauchen zwingend einen Technologie-Stack, der bestimmte Voraussetzungen erfüllt:
- Industrielle Netzwerksegmentierung und Kontrolle der Netzwerkzugriffe in Echtzeit
- Kontinuierliche, unterbrechungsfreie Transparenz für IT- und OT-Systeme und hinsichtlich von Bedrohungen
- Automatisierte Threat Response
- Durchsetzung von Compliance-Richtlinien, ohne die Verfügbarkeit zu gefährden
:quality(80)/p7i.vogel.de/wcms/68/81/68810f8c168f0908f0f4e7f2806a6e44/89984105.jpeg "Symbolisches Beispiel eines böswilligen reCaptcha. (Bild: Barracuda Networks)")
Security-Risiken
Kein Mensch, kein Bot – ein Hacker!
Industrielle Netzwerksegmentierung
In der kommenden Dekade werden industrielle Netzwerke sich weiterentwickeln, um zusätzliche Bandbreite auf Maschinenebene zu liefern. Die erlaubt es unterschiedlichen Anwendungen, dasselbe Netzwerk zu nutzen. Netzwerksegmentierung ist eine unerlässliche Voraussetzung, um die Verfügbarkeitsanforderungen solcher industrieller Netzwerke der nächsten Generation in Echtzeit zu erfüllen. Für Betreiber ist es wichtig schon jetzt und im Rahmen der bestehenden Infrastruktur mit der Netzwerksegmentierung zu beginnen. Nicht zuletzt, um die nötigen Voraussetzungen für zusätzliche Kontrolle zu schaffen, wenn Netzwerke der nächsten Generation sukzessive bereitgestellt werden. Integrierte Lösungen versprechen solche Sicherheitslücken zu schließen, weil sie die Netzwerksituation und den Systemstatus situativ und komplett erfassen.
Ansätze wie dieser machen die Netzwerksegmentierung sofort zu einer tragfähigen Maßnahme, um Cybervorfälle abzuwehren, statt auf zeitaufwendige und komplexe Bereitstellungsprozesse zu setzen.
Eine beschleunigte Implementierung in heterogenen, industriellen Automatisierungsnetzwerken beseitigt zudem einen weiteren kritischen Faktor: sie minimiert Unterbrechungen und Ausfallzeiten. Hinzu kommen Tools, mit denen Betriebe den kompletten Lebenszyklus von Segmentierungsrichtlinien in großem Maßstab entwerfen, weiterentwickeln und verwalten können. Dadurch verhindert man, wichtige betriebliche Prozesse zu unterbrechen. Wenn die verwendeten Switches dann noch Daten an den Netzwerkfluss dieser Tools liefern, gewinnt man zusätzlich Transparenz über den Nord/Süd- und Ost/West-Traffic. Dies gestattet in industriellen Netzwerken eine Mikro-Segementierung, die kritische Systeme vor Malware, Ransomware und anderen Bedrohungen der betrieblichen Zuverlässigkeit schützt.
Einblick in Bedrohungen
Industriebetriebe brauchen zwingend einen hohen Grad an Transparenz was Cyberbedrohungen, aber auch was betriebliche Probleme anbelangt. Probleme dieser Art haben die unangenehme Eigenschaft, oft unbemerkt zu bleiben. Doch sie beeinträchtigen im Laufe der Zeit Sicherheit, Produktivität und Qualität. Hier hilft nur, die Inventarisierung der Systeme zu rationalisieren und richtliniengesteuerte Netzwerk- oder Systemreaktionen zu automatisieren.
Eine gut integrierte Lösung ist in der Lage, alle Geräte während der Verbindung kontinuierlich zu überwachen, zu bewerten und zu klassifizieren, aber auch Veränderungen zu erkennen und darauf zu reagieren. Die verwendeten Methoden bewerten dazu die Geräteidentität, Ownership/Benutzer, die Compliance der Konfiguration, das Netzwerkverhalten und die Sicherheitslage, Firmware-Versionen und Rogue Assets – ohne den laufenden Betrieb zu stören. Die Integration in das Netzwerkmanagement liefert wichtige Informationen zu Netzwerkbetrieb, Leistung und Verfügbarkeit. Schwachstellen sollte man im Übrigen auch für industrielle Geräte (PLCs, RTUs und IEDs) sowie in IT-Umgebungen im Rechenzentrum oder in der Cloud bewerten, damit man einen möglichst umfassenden Überblick erhält.
Im Idealfall überwacht man das ICS-Netzwerk zentral und von einem einzigen Bildschirm aus. Moderne Lösungen lassen sich innerhalb weniger Stunden bereitstellen. Dazu werden passive Überwachungssensoren direkt an die SPAN-/Mirroring Ports der Netzwerk-Switches angeschlossen. Systeminformationen und Meldungen zu potenziellen Bedrohungen werden anschließend in Echtzeit an eine zentrale Verwaltungsplattform (das Command Center) übermittelt. Von dort aus werden sie innerhalb des Unternehmensökosystems entsprechend skaliert. Üblicherweise kann man diese Funktionen nativ mit SIEM-Lösungen, Firewalls, IT-Asset-Management, Sandboxen, Authentifizierungsservern und anderen Sicherheitssystemen verbinden.
:quality(80)/p7i.vogel.de/wcms/d4/29/d429834b0a21093b9c4bfe53a435ea18/89309571.jpeg "Roboter oder IoT-Geräte sollten zur Gewährleistung umfassender Sicherheit als homogene Einheit betrachtet werden. (Bild: Kaspersky)")
Cybersecurity
Industrie und Fertigung hinken beim sicheren Internet der Dinge hinterher
Auf Sicherheitsbedrohungen und Compliance-Risiken reagieren
Integrierte Plattformen basieren auf einer einheitlichen Policy-Engine, die unmittelbar reagiert, wenn sie eine Bedrohung erkennt. Zusätzlich werden weitere Quellen mit orchestrierten, kontextabhängigen Arbeitsabläufen berücksichtigt, um Bedrohungen zu beseitigen oder vorausschauend zu beheben. Die Reaktion auf einen Vorfall ist kontextabhäng, und vor allem läuft sie automatisiert ab. Das senkt die MTTR (Mean Time to Resolve), ohne kritische Abläufe zu beeinträchtigen.
Threat Intelligence erkennt zusätzlich bisher nicht bekannte IT- und OT-Bedrohungen, wozu in aller Regel verschiedene Methoden miteinander kombiniert werden. Dazu zählen etwa die Deep Packet Inspection und das Erkennen von Anomalien oder nicht autorisierten Konfigurationsänderungen. Zusätzlich fließen Informationen aus Richtlinienbibliotheken und Schwachstelleninformationen ein.
Die Vorfallsreaktion lässt sich so automatisieren, dass sie die Verfügbarkeit aktiv unterstützt. Dabei reichen die Maßnahmen von der einfachen Benachrichtigung über die Isolierung einer Bedrohung bis hin zur Blockierung nicht autorisierter Geräte. Vorausschauend agierende, automatisierte Reaktionsworkflows senken den üblichen Zeitaufwand eines Ingenieurs, der potentiell kritische Ereignisse erst anhand einer Vielzahl von Protokollen und anderer Quellen analysieren muss.
Plattform-Lösungen versprechen beides: Cybersicherheit und betriebliche Transparenz im industriellen Kontext - im Sinne der Verfügbarkeit und zu einem überschaubaren Investitionsvolumen.
* Maximillian Gilg arbeitet als Systems Engineer bei Tripwire.
(ID:46746254)
:quality(80)/p7i.vogel.de/wcms/ff/c7/ffc7a232eb3f53e644ae44ce5f0357c6/0103624598.jpeg "Im Zeitalter des IoT können OT und IT nicht mehr durch einen ‚Air Gap‘ voneinander getrennt werden. Wer von den Vorteilen einer Konvergenz beider Systeme profitieren will, muss seine Prozesse aber entsprechend absichern. (Bild: gemeinfrei // Unsplash)")
:quality(80)/p7i.vogel.de/wcms/52/87/5287e560eaf85dd32c022989a46b2434/0105370266.jpeg "5G ist ein Wegbereiter für viele neue Anwendungsfälle in der Industrie, doch auch hier gilt es Sicherheitsaspekte zu berücksichtigen. (Bild: gemeinfrei)")