Datenkommunikation in der Industrie
Sicherer Austausch im IIoT
Industrie 4.0 und Industrial Internet of Things stehen synonym für die Digitalisierung aller Prozesse entlang der Wertschöpfungskette sowie für die Vernetzung der darin enthaltenen Elemente. Die klassische IT wird mit der Operational Technology (OT) in der Produktion verzahnt. Dadurch verändern sich der Aufbau und auch die Zuständigkeiten in den ehemals strikt voneinander getrennten Welten. Die IT muss daher künftig die vernetzten Maschinen vor ganz neuen Angriffsszenarien absichern.
Im Internet of Things (IoT) bewegen sich alle heutigen Anwendungsfelder, die ein Nutzer aus seinem häuslichen Umfeld kennt. Neben Sprachassistenten sind dies intelligente Systeme wie beispielsweise Kühlschränke oder Heizungssteuerungen. Das so genannte Industrial Internet of Things (IIoT) hingegen fokussiert sich mehr auf die Anwendungsfelder im Unternehmensumfeld, etwa Steuerungen von Maschinen und Anlagen wie Windkrafträder oder auch Computertomografen. Anwendungsfelder für IIoT-Lösungen gibt es in vielen Bereichen. Es ist schwierig, eine spezielle Branche in den Fokus zu rücken, wobei allerdings das Umfeld von Manufacturing, Automotive oder auch das Gesundheitswesen entscheidende Positionen einnehmen.
Im Zuge der Vernetzung von Produktion und klassischen IT-Unternehmensbereichen muss ein individuelles Sicherheitskonzept inklusive Risikobetrachtung von Anfang an dazugehören. Es ist daher essenziell, innerhalb der Produktion, in einer einzelnen Halle und darüber hinaus logische "IIoT-Inseln" von zusammenhängenden Maschinen und Anlagen zu bilden, die die IT zentral verwaltet, sicherheitstechnisch steuert (Maschinenzertifikate, Remote-Updates) und überwacht.
Durch diese "IIoT-Insel-Segmentierung" lassen sich ein sehr hoher Schutz für die Produktion des Unternehmens gewährleisten und mögliche Gefahren eingrenzen. Die klaren Mehrwerte sind neben einer sauberen Produktionsstruktur das Eindämmen eines Cyberangriffs oder Security-Vorfalls auf die jeweilige Insel. So ist der Schaden in einer einzelnen Insel isoliert und die Verbreitung eines Schadcodes ist massiv eingeschränkt, denn die restliche Produktion bleibt davon unberührt.
Dadurch fällt nicht nur ein möglicher Schaden geringer aus, sondern eine schnellere Wiederherstellung der betroffenen Anlagen ist möglich. Ein zentrales Management ist essenziell zur Steuerung, Überwachung und Sicherheitspflege der Infrastruktur. Es bietet außerdem genaue Definitionsmöglichkeiten, welche Administratoren und Mitarbeiter worauf geregelten Zugriff haben. Bis auf Gruppen- oder Mitarbeiterebene bieten vordefinierte Varianten und Kombinationsmöglichkeiten der Zwei-Faktor-/Multifaktor-Authentifizierung ein weiteres Sicherheitsmerkmal, das die genannten Risiken minimiert.
Maintenance
Grundlegend für eine Fernwartungslösung im hochautomatisierten Industrie4.0- beziehungsweise IIoT-Umfeld sind ein klares Konzept und eine Risikoabschätzung. Fragen danach, welche Maschinen, Anlagen und Steuerungen überhaupt externen Zugriff benötigen, müssen bereits im Vorfeld geklärt sein. Gerade die Sicherheit steht hier im Fokus und sollte von Beginn an höchste Priorität haben. Ein unerlaubter Zugriff kann negative Konsequenzen bis hin zum Totalausfall der gesamten Produktionsprozesse haben. Hier können etwa ein zentrales Gateway, ein Remote Gateway innerhalb der industriellen Infrastruktur, das beispielsweise als Software auf einer Anlage, Maschine oder einem System läuft, sowie eine Management-Plattform zur Verwaltung und Überwachung und eine virtuelle VPN-Appliance, etwa für die Anwendung in einer Cloud, dabei helfen, die Kontrolle und die sichere Datenverschlüsselung zu gewährleisten.
Verschlüsselte Datenübertragung
Ein Remote Gateway lässt sich flexibel, je nach Anforderung, direkt auf Anlagen und Maschinen oder auf dafür vorgesehenen vorgeschalteten Hardwarekomponenten installieren und verwenden. Die dadurch verschlüsselten Maschinendaten nimmt das zentrale Gateway vom Remote Gateway entgegen und übermittelt diese über verschlüsselte Verbindungen an weiterverarbeitende Systeme wie Edge-Devices oder Cloudplattformen. Verfügt die Lösung über eine hohe Skalierbarkeit, ermöglicht sie die komfortable und einfache Schaffung weiterer verschlüsselter Tunnel zur Datenkommunikation, die beispielsweise dazu dienen, Live-Videostreams der Maschinenüberwachung in eine Leitzentrale zu übertragen.
Auf diese Weise lassen sich die verschiedensten Anwendungsfälle klar trennen. Weiterhin sollte man bei der Fernwartungslösung nach dem Minimalprinzip vorgehen. Dabei ist die Granularität essenziell. Der Verantwortliche muss sicherstellen, dass etwa nur die betroffene authentifizierte Maschine in einem definierten Zeitfenster eine aktive verschlüsselte Verbindung zu genau dem autorisierten Fernwartungstechniker aufbaut. Das heißt, der Verbindungsaufbau darf nur von innen heraus aus einem Produktionsnetz erfolgen. Der Fernwartungstechniker bleibt dabei immer und ausschließlich auf sein Zielsystem beschränkt.
Moderne Verschlüsselungstechnik
Prinzipiell sollten sämtliche Verbindungen zwischen den Endgeräten und dem Remote Gateway beziehungsweise zwischen dem zentralen Gateway und Remote Gateway mit modernsten Algorithmen, etwa Suite B Cryptography, verschlüsselt sein. Weitere Sicherheitsfunktionen sind zentral verwaltete Maschinenzertifikate in einer Public Key Infrastructure (PKI). Dadurch lässt sich eine eindeutige Authentifizierung aller Endgeräte gewährleisten. Die Gültigkeit von Zertifikaten lässt sich außerdem bei jedem Verbindungsaufbau anhand von Sperrlisten offline oder online gegenüber der Certification Authority (CA) überprüfen.
Lesen Sie mehr zum Thema
