Security Grundlagen Industrial IT Security – Aufbau, Definitionen, Umsetzung

| Autor / Redakteur: Dipl.-Ing. Sebastian Rohr* / Katharina Juschkat

IT-Security in der Produktion wird immer noch vernachlässigt, obwohl die Gefahren für Unternehmen immens sind. Der vorliegende Beitrag liefert einen Überblick über die Grundlagen, wie Industrial IT Security im Unternehmen umgesetzt werden kann.

IT-Security in der Produktion wird zu oft noch vernachlässigt – eine Übersicht, wie das geändert werden kann.
IT-Security in der Produktion wird zu oft noch vernachlässigt – eine Übersicht, wie das geändert werden kann.
(Bild: ©Sikov - stock.adobe.com )

IT-Sicherheit muss in Zeiten der Digitalisierung strukturiert angegangen werden, doch es fehlt zu oft an einem Konzept und zuständigen Personen. Die etablierten Prozesse und Regelungen der Office IT lassen sich auch nicht problemlos auf die Industrial IT übertragen – sie müssen neu angepasst und definiert werden. Um IT-Sicherheitsprozesse für die komplexe Produktionsumgebung erfolgreich planen, umsetzen und aufrechterhalten zu können, muss eine geeignete Organisationsstruktur vorhanden sein. Das Informationssicherheits-Management (ISMS) für die Produktion unterscheidet sich dabei vom ISMS der Office-Welt.

Definition ISMS steht für Informationsssicherheits-Management-System. Es beschreibt die Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.

Office IT vs. Industrial IT

Die größten Abweichungen zwischen Office und Produktion ergeben sich durch die Rahmenbedingungen, wie beispielsweise:

  • Die hohen Verfügbarkeitsanforderungen der Produktion erschweren das in der Office IT übliche Einspielen von Updates, falls diese nicht durch Vorgaben der Lieferanten oder Hersteller zu Garantie und Gewährleistung ausgeschlossen sind;
  • Die lange Lebensdauer von Produktionsanlagen im Vergleich zur Office IT;
  • Mangelnde Berücksichtigung der IT Security und Informationssicherheit bei der Konzeption der eingesetzten Systeme, Protokolle und Technologien;
  • Mangelnde (Sicherheits-)Vorgaben für Genehmigungen und Betrieb der Anlagen oder Komponenten;
  • Zielkonflikte zwischen Safety und Security – „abgenommene Anlagen“ können bzw. sollen nicht durch Software Updates verändert werden.

Defintion IT, OT und CIA-Triade

Neben der eher übergeordneten Bezeichnung der Industrial IT haben sich Begriffe wie Shopfloor IT – für IT-Komponenten „in der Werkhalle“ oder auf Englisch „on the shopfloor“ – und „Operational Technology“ oder kurz OT etabliert. Die Abkürzung „OT“ wird als Abgrenzung zu „IT“ im Umfeld des Internet der Dinge (Internet of Things oder IoT) verwendet und bei einer Gegenüberstellung der Bereiche als „IT / OT“ genutzt.

Ein Kernpunkt der IT-Sicherheit bilden sogenannte Schutzziele. Aus dem Englischen abgeleitet spricht man von der sogenannten „CIA-Triade“, die aus Confidentiality (Vertraulichkeit), Availability (Verfügbarkeit) und Integrity (Integrität) gebildet wird.Im Office-Netz spielt die Vertraulichkeit eine viel größere Rolle als in Produktionsanlagen. Diese setzen das Augenmerk auf Verfügbarkeit der Anlagen und Systeme. Danach erst folgt die Integrität für die Korrektheit der übertragenen Daten und am Ende erst die Vertraulichkeit – nicht zuletzt, weil die Verschlüsselung oft zu Verzögerungen bei der Übermittlung der Daten führen würde.

CIA steht AIC gegenüber.
CIA steht AIC gegenüber.
(Bild: Sebastian Rohr )

Zudem sind einige technologische und organisatorische Bedingungen grundlegend unterschiedlich. Hierzu zählen unter anderem:

  • keine oder kaum Standardisierung der genutzten Hardware,
  • keine oder kaum Standardisierung der genutzten Software,
  • fehlende Standards und Technologien für Softwareverteilung und Asset Management,
  • keine definierten Meldewege und Verfahren zur geregelten Annahme von Incidents,
  • fehlende Zuordnung der Assets (Geräte, Peripherie, Programme) zu Verantwortlichen,
  • fehlende Vorgaben für die Einkaufsbedingungen und Integrationsvorgaben für/von IT-Anteilen in Steuerungen, Maschinen und Produktionsanlage.
Buchtipp Das Thema „Grundlagen Industrial IT Security – Aufbau, Definitionen, Umsetzung“ ist dem Buch „Industrial IT Security“ entnommen. Das Fachbuch zeigt passende Lösungswege zum Schutz der IT-Systeme auf.

Wie sich Office IT und Industrial IT unterscheiden

Im Folgenden wird gegenübergestellt, was die häufigsten Unterschiede zwischen Office IT und Industrial IT sind:

Signal-Laufzeiten und Antwortverhalten

Office IT: Keine garantierten Abarbeitungszeiten, hohe Latenz u.U. akzeptabel, Ethernet-typisch „best effort“

Industrial IT: Garantierte Abarbeitungszeiten, Latenz ist zum Teil hart begrenzt, Bus-Kommunikation teilweise deterministisch

Verfügbarkeit / Neustarts

Office IT: Reboot von produktiven Server-Client-Systemen nicht ungewöhnlich, Kurzfristig anberaumte Wartungsvorgänge möglich (z.B. kritischer Patch), Wartungsausfälle verursachen planbare Kosten

Industrial IT: Reboot im produktivem Umfeld nicht akzeptabel, Wartungszyklen nur mit langem Vorlauf und ausgerichtet an Anlagen-Instandhaltungsaufgaben, IT-Wartungsausfälle verursachen hohe Kosten

Priorisierung der Schutzziele

Office IT: Vertraulichkeit und Integrität von Daten stehen im Vordergrund, wesentliche Risiken betreffen die nachhaltige Störung von Geschäftsprozessen

Industrial IT: Schutz von Mensch und Umwelt stehen im Vordergrund, wesentliche Risiken betreffen den unzureichenden Schutz von Menschen und die Zerstörung von Produktionskapazitäten. Auswirkungen auf die Umwelt sind möglich

Systemressourcen / Dediziertheit

Office IT: Systemressourcen ausreichend, um Installation von IT-Security-Tools zu erlauben, Interdependenzen vorhanden, aber beherrschbar

Industrial IT: Installation fremder Softwarekomponenten auf Systemen erst nach Freigabe durch Lieferant oder nach Ablauf Gewährleistung (z.B. Virenschutz) oder Whitelisting nur unter Verlust der Herstellerwartung

Lebenszeit der Komponenten

Office IT: Wenige Jahre

Industrial IT: Bis zu 20 oder 25 Jahre

Wie eine Industrial IT Security aufgebaut wird

Erst in wenigen Organisationen hat sich die Erkenntnis durchgesetzt, dass die IT-Sicherheit in der Produktion eine eigene Disziplin ist und entsprechende Expertise benötigt. Sicherheitsfunktionen wie der CISO – Chief Information Security Officer – lehnen die Verantwortlichkeit für die IT-Komponente in der Produktion ab oder sehen sie nicht in ihrem Verantwortlichkeitsbereich. Diese Art der Abgrenzung führt zu einer ausbleibenden Governance über diese Systeme. Ohne eine verantwortliche Person für Informationssicherheit in der Produktion können die Prozesse der Sicherheit folglich nicht ausreichend strukturiert und kontrolliert werden.

Definition Governance (frz.: gouverner – verwalten, leiten, erziehen; Unternehmensführung) bezeichnet allgemein das Steuerungs- und Regelungssystem im Sinn von Strukturen (Aufbau- und Ablauforganisation).

Wesentliche Bausteine für eine funktionierende IT-Sicherheitsorganisation:

  • Die Aufbauorganisation des Unternehmens zeigt klare Governance-Strukturen und eine enge Zusammenarbeit zwischen OT und IT.
  • Es gibt (eine) dezidierte verantwortliche Person(en) für die OT / Industrial IT.
  • Es gibt eine dezidierte verantwortliche Person für die OT-/Industrial-IT-Sicherheit.
  • Die Struktur kooperiert nach Best Practices und Governance-Mechanismen, in Sonderfällen mit Ausnahmegenehmigung mit lokalen Prozessen und Sicherheitsvorgaben (etwa bei fehlendem Personal).
  • In größeren Organisationen hat sich eine Verantwortlichkeitshierarchie auf Matrix-Prinzip als geeignet gezeigt, bei der die OT / Industrial IT disziplinarisch an die Werksebene berichten und eine fachliche Führung und Unterstützung von der geografischen oder zentralen IT erhalten.
  • Eine analog dazu aufgebaute Unterstützung im Bereich der Informationssicherheit etabliert einen „Production / Automation Security Officer“ (PSO, ASO), der direkt an die Werkleitung berichtet und fachlich vom CISO der Gesamtorganisation unterstützt wird.
  • Die verantwortlichen Personen müssen mit notwendigen Schulungen und Know-how ausgestattet sein.

Die mögliche Organisation mit dedizierten Verantwortlichen für IT-Security.
Die mögliche Organisation mit dedizierten Verantwortlichen für IT-Security.
(Bild: Sebastian Rohr )

Gefährdung der Industrial IT Security und abgeleitete Anforderungen

Problemfeld „Fehlende Awareness der Mitarbeiter“

Die größte Herausforderung für die Sicherheit der Industrial IT ist das fehlende Bewusstsein, wie kritisch die aktuelle Sachlage ist. Zwar konnten Medienberichte ein gewisses Maß an Aufmerksamkeit generieren, das führte jedoch eher zu halbherzigen Aktionen, um offensichtliche Sicherheitslücken zu schließen, nicht jedoch zu nachhaltigem Umdenken bei der Entwicklung und der Inbetriebsetzung von vernetzen Steuerungskomponenten. Die derzeitigen Projekte rund um Industrie 4.0 ist zwar ein Schritt in die richtige Richtung. Jedoch werden die bereits vernetzten, aber schlecht gesicherten Bestandssysteme oft nicht berücksichtigt. Folglich ist eine der wichtigsten Maßnahmen für eine Verbesserung der Sicherheitslage in der Industrial IT die Schaffung von mehr Verständnis für das Vorhandensein von Informationstechnik in der Produktion bei den Entscheidern und die klare Darstellung der mit Vernetzung und fehlenden Schutzmaßnahmen verbundenen Risiken für die Wertschöpfungsprozesse im Unternehmen.

Unzureichende Dokumentation der Anwendungen und Systeme

Eine besondere Schwachstelle der Industrial IT ist die oft unzureichende Dokumentation der IT-Komponenten in Produktionsanlagen und komplexen Maschinen. Das erschwert die sinnvolle Verwaltung der vorhandenen Assets, da zunächst eine umfassende und detaillierte Erhebung erfolgen muss, um anschließend die fehlende oder unzureichende Dokumentation so zu ergänzen, dass eine Fehlerdiagnose und -behebung überhaupt möglich ist.

Durch fehlende Dokumentation kann auch ein trügerisches Gefühl der Sicherheit entstehen, das in kritischen Situationen zu Fehlentscheidungen und falschen Informationsständen führt. Eine gute Dokumentation zeichnet sich insbesondere durch eine klare Darstellung der verwendeten IT-Komponenten und Systeme, deren Versionsstände und Konfigurationsparameter aus. Wichtig sind zudem Informationen zu verwendeten Protokollen, IP-Adressen, Ports und allgemeinen Kommunikationspartnern. Im Idealfall erstellt der Errichter ein Kontextdiagramm, aus dem ersichtlich wird, welche Systeme mit welchen anderen Systemen über welche Sockets kommunizieren.

Definitionen Sockets ist die Bezeichnung für eine Kombination aus IP-Adresse (Schicht 3 des ISO/OSIModells) und (TCP/UDP-) Port (Schicht 4) zur Beschreibung der Kommunikation zwischen zwei Knoten, etwa Source 192.168.2.12:4677 – Destination 192.168.2.211:80 – der Aufruf einer Webseite auf dem Server.

Escrow-Verfahren: Eine Möglichkeit der Einsichtnahme in den Source-Code, wenn die Firma pleite geht oder sonst wie die Software „verliert“

Graue IT

Ein weiteres Problemfeld ist die sogenannte „Graue IT“. Darunter versteht man kleinere IT-Systeme, bei denen die Zuordnung eines Verantwortlichen bzw. eines Systemeigentümers fehlt. Diese oft durch interne Kräfte, Praktikanten oder Werkstudenten erstellten Systeme werden durchaus von mehreren Anwendern oder Anwendergruppen genutzt, eine richtige Zuständigkeit wurde jedoch nie definiert – von einem geregelten IT-Lebenszyklus mit einer ordentlichen Versorgung mit Updates und Support oder Weiterentwicklung ganz abgesehen.

Fehlende Überwachung der Infrastruktur und Anwendungen

Problematisch ist auch die oft fehlende Überwachung der IT-Infrastruktur. Denn die Analyse des Netzwerkverkehrs oder der Auslastungsparameter der IT-Komponenten kann Rückschlüsse auf möglicherweise bislang unentdeckte Angriffe oder Manipulationsversuche geben. Zu diesen Ereignissen zählen erfolglose und erfolgreiche Authentifizierungsversuche an IT-Komponenten, eine erhöhte Auslastung des Netzes an Knotenpunkten und fehlerhafte Zugriffsversuche auf Dateien oder Speicher. Eine mangelhafte, unübersichtliche Darstellung der Ereignisse kann dazu führen, dass Warnungen und Fehler verspätet erkannt werden. Experten raten darum dringend, zumindest grundlegende Überwachungsprozesse zu etablieren und die daraus resultierenden Log-Nachrichten und Meldungen an zentraler Stelle zu sammeln und – nach Möglichkeit – semi-automatisiert auszuwerten. Als Einstieg bieten sich als mögliche Werkzeuge Syslog-Server und Open-Source-Netzwerk-Monitoring-Lösungen wie etwa Nagios an. Darüber hinaus kann die Analyse von Daten über Werkzeuge wie Splunk (in der „Light“-Variante) erfolgen. Weitere kommerzielle Werkzeuge sind Whatsup Gold oder der Industrial Defender von Lockheed Martin.

Definition Syslog: Ein Standard zur Übermittlung von Log-Meldungen in einem IP-Rechnernetz.

Industrial IT Security im Unternehmen aufbauen

Planung

Grundsätzlich sollten die Anforderungen der Instandhaltung und der Vereinheitlichung der Hard- und Software bereits im Planungsprozess einer Produktionsanlage eingebunden sein. Konkret bedeutet dies: ein gemeinsam zwischen Planung und Instandhaltung vereinbarter Katalog an Mindestanforderungen. Wohlwissend, dass dies die Flexibilität der Anlage an sich begrenzt, ist eine gewisse Standardisierung auch aus Sicht der Total Cost of Ownership ein wichtiger Aspekt.

Beschaffung

Die von Planung und Instandhaltung definierten Standards, Richtlinien und Mindestanforderungen sind verständlich zu formulieren. Nur so lässt sich gewährleisten, dass der Einkauf entsprechende Ausschreibungsunterlagen erstellen kann.

Inventarisierung

Vor Aufbau und Inbetriebnahme der Anlage sollten sämtliche im Feld befindlichen Geräte und Komponenten inventarisiert und dokumentiert werden. Mithilfe eines Software-Clients werden Änderungen am System, der Konfiguration oder der Software-Ausstattung automatisch an die zentrale DB-Komponente gemeldet und der Datensatz aktualisiert. Jedoch kommt ein solcher Software-Client nur in den seltensten Fällen auf Steuergeräten und Komponenten zum Einsatz, da er entweder die Betriebssysteme nicht unterstützt oder der Komponentenhersteller den Einsatz von 3rd-Party-Software strikt untersagt. Folglich kommen zum jetzigen Zeitpunkt immer noch vornehmlich Excel-Sheets oder selbsterstellte Inventarsysteme zur Anwendung. Dies führt zu einem hohen manuellen Verwaltungs- und Anpassungsaufwand. Einige Systeme zur Überwachung des Netzwerkverkehrs in der Fertigung bringen deshalb rudimentäre Asset-Management-Funktionen mit, die es dem Instandhalter erlauben, auf Basis der im Netzwerk aktiven Komponenten einen aktuellen Stand zu dokumentieren. Nicht vernetzte Komponenten oder solche, die in abgeschirmten Netzsegmenten betrieben werden, bleiben für solche Lösungen jedoch unsichtbar und müssen manuell gepflegt werden.

Aufbau, Konfiguration und Integration

Sobald die Anlage vollständig im Inventar erfasst und die Eigenschaften in der Asset-Datenbank dokumentiert sind, müssen die Komponenten aufgebaut, konfiguriert und in die Anlage integriert werden. Obwohl diese Aufgaben oftmals durch einen Dienstleister (System-Integrator o.Ä.) durchgeführt werden, sollten sowohl Planer als auch Instandhalter diese kritische Phase eng begleiten. Auch ist es sinnvoll, die Instandhaltung vor der festen Installation komplexer oder störanfälliger Komponenten einzubeziehen, um mögliche Probleme beim Wartungszugang oder im Entstörungsprozess zu antizipieren.

Dokumentation, Datenfluss und Kontextdiagramm

Neben den technischen Parametern einer Komponente sind sämtliche absolvierten Schritte, Einstellungsparameter und Wertebereiche zu dokumentieren. Von zunehmender Bedeutung sind insbesondere die logischen Datenflüsse in der Anlage, über die Anlage hinaus oder in diese hinein.

Prüfung und Abnahme

Die Prüfung und Abnahme einer Produktionsanlage sowie hiermit verbundene Anforderungen sollten bereits im Planungsprozess aufgeführt sein. Unter anderem ist nur solche Software zu verwenden, die zum Zeitpunkt der Abnahme auf dem neuesten Stand ist. Des Weiteren sind sämtliche verwendeten Komponenten derart zu konfigurieren, dass neben einem sicheren Betrieb der Anlage nur ein Minimum potenziell ausnutzbarer Schwachstellen für den Betriebszustand verbleibt. Insbesondere muss in diesem kritischen Einrichtungszeitraum eine ausreichend geschulte und kompetente Betriebsmannschaft vorhanden sein, die die gewünschten und geforderten Sicherheitseigenschaften und Konfigurationen prüfen und dokumentieren kann.

Buchtipp Das Thema „Industrial IT Security“ ist dem Buch „Industrial IT Security“ entnommen. Das Fachbuch zeigt passende Lösungswege zum Schutz der IT-Systeme auf.

Ramp-Up und Übergabe an die Instandhaltung

Spätestens jetzt sollte das Instandhaltungspersonal mittels einer umfassenden Schulung auf die neue Technologie vorbereitet werden und eine detaillierte Einweisung in die jeweils verwendete Konfiguration erhalten. Eventuell sind durch die Systemintegratoren oder Dienstleister auch eine direkte Schulung sowie eine gemeinsame Betreuung in den ersten Wochen notwendig. Mit der Dokumentation der Betriebs- und Pflegeprozesse (Standard Operating Procedures, SOP) sowie deren Übergabe an den Betreiber gilt der Prozess als abgeschlossen. In diesem Zusammenhang ist ebenfalls festzulegen:

  • wer für welche Aufgaben verantwortlich ist,
  • welche Entstörungszeiten bzw. Servicezeiten in welchem Störfall zur Anwendung kommen,
  • in welchen Fällen die Störung im Rahmen der Gewährleistungsverpflichtung des Lieferanten ist,
  • wo die Dokumentation der Meldewege, Ansprechpartner und Notfallrufnummern zugänglich ist.

Dieser Beitrag stammt von unserem Partnerportal elektrotechnik.de.

* Dipl.-Ing. Sebastian Rohr, Spezialist für IT- und Informationssicherheit mit Fokus auf Industrielle IT-Sicherheit

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46040975)