Angesichts der zunehmenden Zahl von Cybersecurity-Verstößen in OT-Systemen ist es nur natürlich, dass sich Unternehmenseigentümer und -manager jetzt verstärkt auf die Suche nach Lösungen konzentrieren, die die industrielle Cybersicherheit verbessern und den Unternehmen einen normalen Betrieb ermöglichen.
Deshalb werden wir in diesem Artikel untersuchen, wie Unternehmen ihre bestehende Netzwerkinfrastruktur und Investitionen nutzen können, um die erste Verteidigungslinie in ihrem Netzwerk aufzubauen.
Im weiteren Verlauf des Artikels werden wir die Vorteile industrieller Systeme zum Schutz und zur Verhinderung feindlichen Eindringens in OT-Systeme erörtern.
Die Geschäftsmodelle sind zunehmend auf die Verbesserung der betrieblichen Effizienz ausgerichtet. So erfassen SCADA-Netze, die entlang von Ölpipelines installiert sind, jetzt Daten über die Ölförderung, die für die Abrechnungs- und Preisgestaltungssysteme von entscheidender Bedeutung sind. Diese zunehmende Datenerfassung ermöglicht es den Ölgesellschaften, sowohl die Ölproduktion als auch die erwarteten Einnahmen genauer vorherzusagen.
Diese Vernetzung von Systemen bringt jedoch nicht nur Vorteile mit sich. Ein Nachteil ist, dass die Wahrscheinlichkeit von Cybersecurity-Bedrohungen in OT-Systemen erheblich steigt. Deshalb wird in Zeitungsschlagzeilen und Artikeln oft beschrieben, wie sich eine Kompromittierung von IT-Systemen sehr negativ auf OT-Systeme auswirken kann. Das Problem wird noch dadurch verschärft, dass die Schwere der Ransomware-Angriffe zunimmt.
Sicherheitsgrenzen
Was ist das Konzept der Sicherheitsgrenze?
Um die Cybersicherheit zu verbessern, ist es wichtig zu verstehen, wie Ihre industriellen Systeme Daten mit anderen Systemen austauschen und wie sie mit Systemen auf IT-Ebene interagieren.
Wenn Daten verschiedene Systeme durchqueren, sollten zwischen den einzelnen Systemen Grenzen bestehen, um sicherzustellen, dass der Datenverkehr nicht nur authentifiziert und autorisiert ist, sondern auch eine gute ”Cyber-Hygiene” aufweist. Der Aufbau von Grenzen zwischen den einzelnen Systemen kann sowohl kostspielig als auch schwierig sein und die Effizienz der Netzkommunikation beeinträchtigen. Daher empfiehlt es sich, die OT-Systeme in verschiedene digitale Zellen und Zonen aufzuteilen und beim Aufbau der Grenzen das richtige Gleichgewicht zwischen Kosten und akzeptablem Risikoniveau zu finden.
Diagramm: Aufbau von Sicherheitsgrenzen zum Schutz der Produktionslinien vor gegenseitiger Beeinflussung im Falle einer Verletzung der Cybersicherheit.
Der in der IEC 62443 empfohlene Cybersicherheitsansatz wird in vielen Branchen angewandt und hat sich als erfolgreich erwiesen, wenn es darum geht, mehrere Schutzschichten aufzubauen, die gleichzeitig die betrieblichen Anforderungen erfüllen können. In der nachstehenden Abbildung werden die kritischen Anlagen und Abläufe als die wichtigsten angesehen. Da sie eine wichtige Rolle im Unternehmen spielen, ist es ratsam, sie durch den Aufbau mehrerer Schutzschichten weiter abzusichern. Um mehr über die verschiedenen Ebenen der Cybersicherheit zu erfahren, können Sie Laden Sie die Infografik herunter.
Diagramm: Der Cybersicherheitsansatz basiert auf mehreren Schichten von Sicherheitsmechanismen, die die Sicherheit im gesamten System erhöhen.
Wie man Sicherheitsgrenzen aufbaut
Segmentierung des Netzes
- Segmentierung der physikalischen Schicht
Man spricht von Air Gapping, wenn zwei Netze physisch isoliert sind. Wenn der Betrieb und die Sicherheit eines Systems unabhängig sein müssen, ist ein Air Gap eine mögliche Lösung. Wie bereits erwähnt, wird es jedoch aufgrund von geschäftlichen und betrieblichen Anforderungen immer schwieriger, Netze auf diese Weise zu arrangieren.
- Segmentierung der Datenverbindung/des Netzes (Schicht 2/Schicht 3)
Industrielle Steuerungssysteme können vor langer Zeit gebaut worden sein. Daher besteht eine der wichtigsten Herausforderungen und Anforderungen für Netzwerkadministratoren darin, die vorhandene Infrastruktur zu nutzen und gleichzeitig sicherzustellen, dass industrielle Steuersysteme sicher bleiben. Ein häufig genutzter Ansatz ist die Trennung des Datenverkehrs zwischen verschiedenen Netzwerksegmenten mithilfe eines VLAN (Virtual LAN), das zu den Merkmalen von verwalteten Ethernet-Switches gehört. Einige Ethernet-Switches verfügen über Zugriffskontrolllisten (ACLs) auf Port-Ebene, die die VLAN-Sicherheit bei der Eingabe von Daten in den Switch verbessern können. Eine Alternative ist die Implementierung von Firewalls, um industrielle Anwendungen und Daten zu schützen - vor allem, wenn der Datenverkehr in Layer-2- und Layer-3-Netzwerken abgewickelt werden muss.
- Schicht 4-7 Netzsegmentierung
Eine weitere Segmentierung kann durch Deep Packet Inspection (DPI) vorgenommen werden. DPI bietet eine granulare Authentifizierung des Netzwerkverkehrs und hilft Ihnen, Industrieprotokolle auf der Grundlage der Anforderungen der Anwendung zu filtern. Wenn Sie mehrere Geräte im selben Netzwerk haben, können diese - theoretisch - alle miteinander kommunizieren. Es gibt jedoch bestimmte Szenarien, in denen die DPI-Technologie den Ingenieuren dabei helfen kann, zu definieren, welche Steuerungen Lese-/Schreibbefehle ausführen oder den Datenverkehr steuern sollen. Zum Beispiel, wenn Steuerung A nur zu einer bestimmten Zeit mit Roboterarm A kommunizieren soll.
Mikrosegmentierung
Wenn ein zusätzlicher Schutz kritischer Anlagen erforderlich ist, empfiehlt sich eine Mikrosegmentierung des Netzes. Die Mikrosegmentierung ist besonders nützlich für industrielle Netzwerke, da sie das Netzwerk in kleinere Subnetze aufteilen kann. Dieser Ansatz ist von Vorteil, da die virtuelle Patching-Funktion des IPS das Risiko bekannter Schwachstellen verringern kann. Einige Systeme laufen zum Beispiel unter Windows XP, für das Microsoft keine Sicherheitsupdates mehr bereitstellt. Siehe in dieses Video, wie das virtuelle IPS-Patch funktioniert.
Sicherer Fernzugriff
Cybersecurity-Experten zufolge wird der Fernzugriff manchmal ausgenutzt, um Malware zu verbreiten oder unbefugte Aktivitäten auszuführen. Da der Fernzugriff aufgrund der Forderung nach höherer betrieblicher Effizienz und der Notwendigkeit einer schnellen Fehlerbehebung immer häufiger genutzt wird, ist es nur natürlich, dass der Aufbau von Sicherheitsgrenzen zwischen den Standorten (Außenstellen) immer wichtiger wird. Anstatt Software für den Aufbau von Fernverbindungen zu verwenden, was auf lange Sicht leicht zu Schwachstellen führen kann, wird dringend empfohlen, VPN-Tunnel aufzubauen und sicherzustellen, dass die Zugangskontrollmechanismen ordnungsgemäß gewartet werden.
Typische Szenarien
- Herstellung
Zusammengeschaltete Fabriknetzwerke benötigen eine angemessene Netzwerksegmentierung, um die Sicherheit industrieller Netzwerke zu erhöhen. Darüber hinaus ist eine Netzredundanz erforderlich, um die Verfügbarkeit des industriellen Steuerungssystems zu gewährleisten.
- Sichere Überwachung von Unterstationen
Ein Stromnetz, das sich über ein großes Gebiet erstreckt, benötigt IEC 61850-zertifizierte VPN-Lösungen zur Überwachung der intelligenten elektronischen Geräte (IEDs) in jeder entfernten Umspannstation.
Da Unternehmen nicht mehr einfach die Vorteile und die Sicherheit vollständig drahtloser Netzwerke genießen können, müssen sie die Sicherheitsgrenzen durch verschiedene Methoden wie Netzwerksegmentierung, Mikrosegmentierung und sicheren Fernzugriff verbessern.
Jede dieser Methoden erfüllt unterschiedliche Anforderungen an das Netz und trägt zur Verbesserung der Cybersicherheit bei, indem sie nicht nur den Außenbereich schützt, sondern auch Hintertüren für unerwünschte Besucher schließt.
Die neue EDR-G9010-Serie von Moxa ist eine All-in-One-Firewall/NAT/VPN/Switch/Router, die die Cybersicherheit verbessert und es Geschäftsinhabern ermöglicht, die bestehende Netzwerkinfrastruktur mit einigen zukunftssicheren Investitionen zu erweitern. Lesen Sie mehr über diese sicheren Router auf der Produktseite.
Kostenlose Übersetzung von Moxa's Artikel auf Dänisch.