Um die Anforderungen einer Produktion in Punkto Cybersecurity zu verstehen, müssen wir bei der grundsätzlichen Ausrichtung und den Unterschieden zur IT Security beginnen. Nur wenn beide Seiten vom Gleichen sprechen, wird auch die Möglichkeit der IT/OT Konvergenz ein reales Szenario in Ihrem Unternehmen.
Wo liegen die Unterschiede?
In Produktionsumgebungen steht die Arbeitssicherheit immer an erster Stelle – dieser Aspekt kann nicht oft genug betont werden. Die unterbrechungsfreie Produktion, also der Prozess und dessen Absicherung, liegen im Fokus der OT Security.
Hierbei gehen wir stets davon aus, dass ein Angriff, sei es durch eine physische Attacke oder einen Hackerangriff, erfolgreich sein wird. Aus diesem Grund liegt der Fokus grundsätzlich auf der Reduzierung von potenziellen Angriffsvektoren. Dies beinhaltet die Einschränkung direkter Zugriffe auf Produktionssysteme sowie die Abschottung von Produktionsprozessen.
In der IT geht es vornehmlich um die Verhinderung eines Angriffes oder eines Datendiebstahls, sowie um die Wiederherstellung von Prozessen und Daten. In der IT kann es “ verträglich“ sein, einen Vorfall erst nach einigen Stunden zu beheben, auch wenn dies unangenehm ist. In der operativen Technologie (OT) hingegen ist eine unverzügliche Lösung oft unumgänglich.
Maßgeblich sind in der IT Normen wie ISO27001 und das OSI Modell, während dagegen in der OT Normen wie IEC62443 und das Purdue Modell als Werkzeug genommen werden.
Die Segmentierung, sowie die Mikrosegmentierung, ist ein wesentlicher Bestandteil der OT Security Strategie um Ihre Produktion zu schützen.
Was bedeutet Netzwerksegmentierung?
Bei der Netzwerksegmentierung wird das lokale Netzwerk in kleinere Subnetze aufgeteilt, die jeweils als eigenständige Netzwerke funktionieren und zueinander keine logische Verbindung aufweisen. Es besteht ebenfalls die Möglichkeit eine physische Trennung durchzuführen.
Wie werden die Sub Netze logisch angelegt?
Die Trennung der Netze erfolgt basierend auf produktionsrelevanten Kriterien und nicht nach Services. Zum Beispiel kann eine Produktionsanlage weitere, nicht offensichtlich direkte, beteiligte Services bedingen.
In einer Produktionskette können Sensoren, Kameras, Leitsysteme, Transportbänder, Drucker und vieles mehr involviert sein. Alle für den Produktionsprozess notwendigen Komponenten werden in der Mikrosegmentierung in einem Subnetz zusammengefasst.
Das Ergebnis?
Im Falle eines Angriffs kann das Segment mit den betroffenen Elementen isoliert werden. Dadurch wird eine Ausbreitung auf weitere Produktionssegmente verhindert. Der betroffene Teil kann sodann, abhängig von den erstellten Verfahren für derartige Notfälle, beispielsweise eine Zeit lang manuell betrieben werden. Im Ernstfall wird in der Produktion eben nur ein Teil „stillgelegt“ und nicht der gesamte Produktionsstandort.
Ist es so einfach?
Ja und Nein. Haben Sie eine Segmentierung durchgeführt, dann ist es wahrscheinlicher in einem Angriffsfall zumindest nur einen Teil der Produktion auf Zeit zu verlieren.
Der Erfolg einer Netzwerksegmentierung in der Produktion hängt maßgeblich von der sorgfältigen Vorbereitung und dem Zusammenspiel der beteiligten Abteilungen ab. Ebenso ist eine durchgängige Erhebung (Assett Discovery) zwingend notwendig, welche den Einsatz von technischen Lösungen, aber auch die persönliche Begehung und Erhebung enthält.
Wichtig ist es ebenfalls, zu der Segmentierung eine Zonierung durchzuführen, um festzulegen, welche Übergangspunkte es eigentlich zwischen den Segmenten geben muss, wie die Freigabe der Zugriffe erfolgt und wie diese gemonitored werden.
Zusätzlich ist für die erfolgreiche Absicherung stets eine Industrial Demilitarized Zone (I-DMZ) erforderlich, um die Verbindungen zur Produktion aus dem IT-Umfeld kontrollieren zu können.
Um den gängigen Sicherheitsstandards zu entsprechen, ist es notwendig, neben der „reinen“ Segmentieren noch Richtlinien zu erstellen, ein Incident Response Team zu etablieren, die Implementierung von IDS / IPS Lösungen und eine Netzwerküberwachung wie beispielsweise von NOZOMI einzusetzen.