Ist Ihr Unternehmen sicher?

Ist Ihr Unternehmen sicher?

Eine engere Vernetzung des Betriebs kann auch mehr Sicherheitsbedrohungen bedeuten. Erfahren Sie, wie ein ganzheitliches Konzept für die industrielle Sicherheit die Risiken minimieren kann.

Von Daniel Deyoung, Director, Market Development, Rockwell Automation

Die Art und Weise wie Produktions- und Fertigungsanlagen heute operieren, wäre vor wenigen Jahrzehnten noch undenkbar gewesen.

Höhere Konnektivität und gemeinsame Datennutzung verändern Unternehmen und ihren Betrieb erheblich. Sie führen die Systeme der Informationstechnologie (IT) und Betriebstechnik (OT) zusammen und nutzen neue Technologien wie Mobilität, Analysen, Cloud und Virtualisierung, um mehr denn je zu schaffen.

Aber genauso wie sich die Natur der Produktions- und Industriebetriebe verändert hat, haben sich auch die Sicherheitsrisiken geändert. Eine engere Vernetzung des Betriebs bedeutet, dass sich auch die Zahl der potenziellen Zugangspunkte für Sicherheitsbedrohungen erhöht. Diese Bedrohungen können physisch oder digital sein, intern oder extern, böswillig oder unbeabsichtigt.

Daher muss die industrielle Sicherheit ganzheitlich sein. Sie muss sich von der Unternehmens- über die Fertigungsebene bis hin zu den Endgeräten erstrecken und Risiken über Menschen, Prozesse und Technologien hinweg begegnen. Hierfür ist auch die Zusammenarbeit zwischen IT- und OT-Mitarbeitern erforderlich. Beide Seiten spielen eine wichtige Rolle.

Ein ganzheitliches Konzept

Zu den drei zentralen Punkten eines ganzheitlichen Sicherheitskonzepts gehören:

  1. Sicherheitsbeurteilung: Durchführung einer werksweiten Beurteilung, um die Risikobereiche und potenzielle Bedrohungen zu erkennen.
  2. Defense-in-Depth-Konzept: Einsatz eines mehrstufigen Sicherheitskonzepts, das auf mehreren Verteidigungsebenen aufbaut.
  3. Vertrauenswürdige Anbieter: Sicherstellen, dass Ihre Automatisierungsanbieter die wichtigsten Sicherheitsgrundsätze beim Design ihrer Produkte beachten.

Sicherheitsbeurteilung

Um ein effektives Programm für die industrielle Sicherheit zu entwickeln und umzusetzen, müssen Sie zunächst die in Ihrem Unternehmen bestehenden Risiken und Schwachstellen bestimmen.

Bei einer Sicherheitsbeurteilung sollte der aktuelle Security-Zustand einer Organisation insgesamt dargelegt werden. Dazu gehören Software, Netzwerke, Steuerungssystem, Richtlinien und Verfahren sowie das Mitarbeiterverhalten. Dies sollte der Ausgangspunkt für jegliche Sicherheitsrichtlinien sein.

Eine Sicherheitsbeurteilung sollte mindestens die folgenden Punkte umfassen:

  • Eine Bestandsaufnahme der autorisierten und nicht autorisierten Geräte und Software
  • Detaillierte Betrachtung und Dokumentation der Systemleistung
  • Identifizierung der Toleranzschwellen und Risiko-/Schwachstellenhinweise
  • Priorisierung jeder Schwachstelle basierend auf Wirkungs- und Ausschöpfungspotenzial

Das abschließende Ergebnis einer Sicherheitsbeurteilung sollte eine dokumentierte und aussagekräftige Liste der Risikominderungstechniken umfassen, um für das Unternehmen ein akzeptables Risikomaß zu erreichen.

Defense-in-Depth-Sicherheit

Industrielle Sicherheit wird am besten als vollständiges System im ganzen Betrieb umgesetzt und ein Defense-in-Depth-Sicherheitsframework (DiD) unterstützt dieses Konzept. Basierend auf der Annahme, dass der Schutz an jeder beliebigen Stelle versagen kann und wahrscheinlich auch versagen wird, baut DiD verschiedene Schutzebenen durch eine Kombination aus physischen, elektronischen und verfahrensrechtlichen Schutzmaßnahmen auf.

Ein DiD-Sicherheitskonzept umfasst die folgenden sechs Hauptkomponenten (siehe Abbildung): festgelegte Richtlinien und Verfahren, physische Sicherheit, Netzwerkinfrastruktur, Computer/Software, Anwendung sowie Geräteauthentifizierung und -identifikation.

Vertrauenswürdige Anbieter

Für die Erfüllung Ihrer Sicherheitsziele sind Ihre Automatisierungsanbieter ebenso wichtig, wie wenn es darum geht, die Produktions-, Qualitäts- und Schutzziele zu erreichen.

Bevor Sie Anbieter auswählen, bitten Sie sie um die Offenlegung ihrer Sicherheitsrichtlinien und -verfahren. Überprüfen Sie, ob sie die fünf zentralen Sicherheitsprinzipien beim Design von in Steuerungssystemen eingesetzten Produkten beachten. Zu diesen Prinzipien gehören:

  • Eine sichere Netzwerkinfrastruktur. Anbieter können dazu beitragen, dass die Informationen in der Automatisierungsebene sicher und vertraulich bleiben. Beispielsweise kann integrierte Technologie Geräte überprüfen und authentifizieren, bevor ihnen Zugriff auf ein Netzwerk gewährt wird.
  • Authentifizierung und Richtlinien-Management. Unternehmensrichtlinien bestimmen die Datenzugriffsebenen für die Mitarbeiter. Automatisierungsprodukte können diese Richtlinien unterstützen, indem anhand von Zugriffssteuerungslisten der Benutzerzugriff auf Geräte und Anwendungen verwaltet wird.
  • Schutz von Inhalten. Das geistige Eigentum ist das Lebenselixier Ihres Betriebs. Ihre Automatisierungslösungen können Ihr geistiges Eigentum schützen, indem Routinen und Add-On-Befehlen Kennwörter zugewiesen werden und die digitale Rechteverwaltung genutzt wird, um die Möglichkeiten des Anwenders zum Einsehen und Bearbeiten von Gerätedaten zu begrenzen.
  • Manipulationserkennung. Die integrierte Manipulationserkennung kann nicht autorisierte Systemaktivitäten erkennen und die entsprechenden Mitarbeiter warnen. Außerdem können wichtige Details protokolliert werden, z. B. wo der Eindringungsversuch stattgefunden hat, wie es dazu gekommen ist und ob irgendetwas modifiziert wurde.
  • Robustheit. Zu einem soliden Anbietersicherheitskonzept gehören Sicherheitsschulungen für die Mitarbeiter, die Nutzung von direkt auf Sicherheit ausgelegten Entwicklungsverfahren und das Testen der Produkte auf die Einhaltung globaler Sicherheitsnormen. Außerdem gehören die Durchführung von abschließenden Sicherheitsüberprüfungen vor der Produktfreigabe, die Überprüfung der Prozesse hinsichtlich der Einhaltung der aktuellen Standards und Technologien sowie ein etablierter Plan zum Umgang mit Schwachstellen dazu.

Überwachung und Weiterentwicklung

Sicherheitsbedrohungen werden nicht weniger. Sie entwickeln sich nur weiter, wenn die Industrie ihre Sicherheitsverfahren ändert oder neue Schutzmaßnahmen implementiert. Ihre Risikomanagementstrategie muss mit der Entwicklung Schritt halten und fortlaufend sein und sich mit oder vor der sich ändernden Bedrohungssituation weiterentwickeln.

Mit der kontinuierlichen Weiterentwicklung des Betriebs hin zu mehr Konnektivität können die Ausmaße der heutigen Sicherheitsprobleme entmutigend sein. Anhand der hier beschriebenen Konzepte können Sie Ihr Unternehmen mit den Best Practices der Branche abgleichen, um Ihr geistiges Eigentum, Ihre Anlagen, Mitarbeiter und Wettbewerbsvorteile zu schützen.

Erfahren Sie mehr über Lösungen für die industrielle Sicherheit von Rockwell Automation.

The Journal von Rockwell Automation und unserem PartnerNetwork™ wird von Putman Media, Inc veröffentlicht.

Neuesten Nachrichten

Rockwell Automation und seine Partner bieten Ihnen herausragendes Know-how, um das Design, die Implementierung und den Support Ihrer Automatisierungsinvestitionen zu unterstützen.

Anmelden

Registrieren Sie sich über folgenden Link um automatisch über aktuelle Ausgaben der Automation Today per E-Mail informiert zu werden.