Industrie-Maschinen sicher ins Internet bringen

Die allumfassende Vernetzung, Datenauswertung und Fernwartung von Industrie-Maschinen bringt Unternehmen viele Vorteile – wenn da nicht das Thema Sicherheit wäre. Mit der richtigen Technik lassen sich die Risiken einer Anbindung von Produktionsanlagen ans Internet jedoch in den Griff bekommen.

Die Zeit, in der Unternehmen sich einer Digitalisierung à la Industrie 4.0 verweigern konnten, ist endgültig vorbei. Wer heutzutage im Maschinenbau Geschäfte macht, weiß, dass Kunden Track & Trace, kleine Losgrößen und Predictive Maintenance als normale Funktionalitäten betrachten. Auch die Auswertung von Produktionsdaten wird immer wichtiger, um Maschinen und Prozesse optimieren zu können.

Viele dieser modernen Anwendungen benötigen jedoch eine Internet-Anbindung, über die Daten abgefragt und Maschinen aus der Ferne gesteuert oder gewartet werden. Für Produktionsanlagen werden Monitoring und Fernwartung immer wichtiger. Bei alten Maschinen ist diese Anbindung allerdings sehr kritisch, da diese nie dafür gedacht waren, ans Internet angebunden zu werden. Sie sind schlicht nicht in der Lage, Daten verschlüsselt zu übertragen und bieten oft zahlreiche Angriffsflächen. Hinzu kommt, dass ein Update alter Maschinen eine erneute teure Zertifizierung nach sich ziehen kann.

Edge-Gateways für sichere Cloud-Anbindung

Um dennoch maximale Sicherheit zu gewährleisten, ohne die bestehende Vernetzung innerhalb der Produktionsanlagen zu verändern, sind spezielle Security-Appliances wie Edge-Gateways erste Wahl. Sie kontrollieren den Verkehr aus dem Internet vollständig  und lassen nur die Daten durch, die sie kennen und die für die gewünschten Funktionen notwendig sind. Hierbei geht es nicht nur um eine Firewall (die aber auch vorhanden ist), sondern auch darum, Datenströme zu analysieren und zu verstehen. Passieren dürfen nur die Daten, die erwünscht sind.

Im Gegensatz zu einer einfachen Firewall, die nur auf Port- und Protokoll-Ebene entscheidet, welche Daten passieren dürfen, geht ein Edge-Gateway wesentlich weiter. Es bietet neben der Firewall-Funktionalität spezielle Analyse-Anwendungen. Diese Anwendungen laufen in einer von der Firewall strikt abgetrennten Umgebung auf einem eigenen Betriebssystem. Ihre Aufgabe ist es, bspw. die Sensordaten einer Produktionsanlage zu filtern, zu analysieren, eventuell auch noch zu komprimieren, um die Datenmengen möglichst klein zu halten. Gezielt ausgewählte Daten werden über die Firewall verschlüsselt zur Cloud übertragen – andere Verbindungen werden nicht zugelassen.

Microkernel-Betriebssystem bietet keine Angriffsflächen

Besonders effizient ist hierbei ein Edge-Gateway, das für die Applikationen Container-Formate (etwa Docker) nutzt. Diese lassen sich mit Standard-Werkzeugen entwickeln und sind durch strikte Separation des Docker-Containers gut geschützt. Bei diesen besonders sicheren Appliances kommt auf unterster Ebene idealerweise ein auf die unbedingt notwendigen Funktionen reduziertes  Microkernel-Betriebssystem zum Einsatz. Dieses besteht aus nur wenigen 10.000 Code-Zeilen und bietet im Gegensatz zu Windows-Systemen mit etlichen Millionen Code-Zeilen wenig Platz für Fehler und somit eine minimale potenzielle Angriffsfläche. Zudem lässt es  sich aufgrund der relativ geringen Größe mit gezielten Code-Reviews viel besser härten, um Sicherheitslücken auszuschließen.

Ein spezielles Gateway erlaubt es, auch ältere Industrieanlegen sicher mit dem Internet zu verbinden.

Ein gutes Beispiel für ein solches Edge-Gateway ist das GS.Gate des deutschen Sicherheitspezialisten genua. Hier weist das Microkernel-Betriebssystem den Analyse-Applikationen und der Firewall strikt getrennte Hardware-Bereiche zu – es gibt keine Überschneidungen. Diese strikte Trennung ist eine starke Barriere gegen Angriffe. Das Unternehmen hat das Edge-Gateway zusammen mit dem Verpackungsmaschinenbauer Gerhard Schubert GmbH entwickelt, der seine Analyse-Applikationen als Docker-Anwendungen implementiert hat. Das GS.Gate ist somit eine Best of Breed-Lösung zur sicheren Digitalisierung von industriellen Produktionsbereichen. Dass die Sicherheitstechnologie in Deutschland entwickelt und produziert wurde, schafft zusätzliches Vertrauen: „Unsere Kunden können festlegen, ob sie nur die Fernwartung oder auch die Übertragung von Daten zulassen und welche Daten das sind. Das GS.Gate ist aktuell das Produkt Nummer 1 zum Thema IT-Security für Maschinen“, sagt  Ralf Schubert, geschäftsführender Gesellschafter Technik der Gerhard Schubert GmbH.

Ein besonders hohes Schutzniveau bieten Edge-Gateways, die von Anfang an konsequent für größtmögliche Security entwickelt werden. Die Methodik dazu nennt sich „Security-by-Design“. Entsprechende Systeme können auch zur Absicherung von Netzanbindungen bei kritischen Infrastrukturen (KRITIS) und Behörden mit besonderen Anforderungen an die Geheimhaltung (BOS) eingesetzt werden.

Einbahn-Datentransfers ermöglichen Monitoring kritischer Systeme

Für das Monitoring hochkritischer Anlagen können Datendioden eingesetzt werden, die strikte Einbahn-Datentransfers von der Maschine zur Leit- oder Monitoring-Stelle ermöglichen. In Gegenrichtung wird jeglicher Datenfluss abgeblockt, nur Statusmeldungen für bidirektionale Internet-Protokolle werden durchgelassen, um sichere, zuverlässige und performante Datentransfers zu ermöglichen.

Sichere Fernwartungslösungen minimieren Maschinenausfälle

Ein weiteres großes Themenfeld für moderne Industrie-Anwendungen ist die Fernwartung von Maschinen und Anlagen, um deren reibungslosen Betrieb zu garantieren und Ausfallzeiten zu minimieren.

Ein zwischengeschalteter „Rendez-Vous“-Server sorgt dafür, dass auch nur tatsächlich berechtigte Personen Fernzugriff bekommen.

Hierbei gilt es, für den Fernwartungs-Service sichere Wege von außen auf die Maschinen innerhalb eines Unternehmens zu finden, ohne dass Unbefugte in das sensible Produktionsnetz eindringen können. Meist gibt es solche Lösungen schon, oft herrscht aber ein gewisser Wildwuchs, weil mehrere Systeme gleichzeitig im Einsatz sind.

 

State-of-the-Art sind hier Systeme, die in der DMZ, der Demilitarisierten Zone zwischen Internet und vor der Firmen-Firewall, platziert werden und jegliche Fernwartungszugriffe auf alle Maschinen über eine einzige Plattform abwickeln können. Da der Fernwartungskunde alle Verbindungen freischalten muss, hat er jederzeit die Kontrolle über die externen Zugriffe auf sein Produktionsnetz. Zudem kann er über die Benutzeroberfläche der Lösung alle Aktivitäten des Fernwartungs-Services live mitverfolgen und per Video aufzeichnen. Damit lässt sich auch im Nachhinein revisionssicher belegen, was der Fernwartungs-Service wann im Kundennetz gemacht hat. Aus Sicherheitsgründen wird darüber hinaus im Wartungsfall das betreute System vom restlichen Produktionsnetz abgeschirmt. So kann der externe Wartungs-Service lediglich auf das betreute System zugreifen, aber nicht auf andere Anlagen im Kundennetz.

Fazit

Selbst für Unternehmen, deren Maschinen zu alt und unsicher sind, um sie direkt mit dem Internet und Cloud-Anwendungen zu verbinden, gibt es sichere und bewährte Lösungen, die sich in bestehende Umgebungen integrieren lassen. Die eingesetzten Sicherheitssysteme sollten stets State-of-the Art sein, um gegen die aktuellen Bedrohungen aus dem Internet gewappnet zu sein. Hinter diesem starken Schutzschirm können dann auch ältere Anlagen und IT-Systeme sicher betrieben werden.

 

kommentar field