Develop³ Systems Engineering 02.2016

Weitere Magazine

Info

ANWENDUNGEN KOMMUNIKATION/SECURITY/INDUSTRIE 4.0 Intrusion-Detection-Systeme überwachen und analysieren die Aktivitäten in einem Netzwerk Bild: Westermo Der RedFox-Switch, der als Layer-2- und als Layer- 3-Variante verfügbar ist, bietet auf allen elf GBit-Ports parallel GBit-Geschwindigkeit Bild: Westermo Unternehmens-Netzwerke ausfall- und zugriffssicher konfigurieren In fünf Schritten zur Cyber-Security Daten sind das neue Gold. Für Cyber-Kriminelle bedeuten sie mehr als eine Cash Cow. Nicht umsonst wurden laut dem Chipkartenhersteller Gemalto in der ersten Jahreshälfte 2015 mehr als 200 Millionen Datensätze gestohlen oder gingen verloren – und das mit steigender Tendenz. Aber längst sind nicht mehr nur Privatpersonen oder Regierungen das Ziel von Cyber-Angriffen. Industrielle Produktionsanlagen, Energieunternehmen, Wasserversorgungen, selbst Ingenieurbüros – als Weg in große Unternehmen – geraten zunehmend ins Visier von Cyberkriminellen. Seit Stuxnet sollte allen Verantwortlichen in den verschiedenen industriellen Automationsbereichen klar geworden sein, dass auch ihre Anlagen Ziel von Hackerangriffen sein können. Doch die Wirklichkeit zeichnet ein anderes Bild. Denn leider entsprechen viele Anlagen-Infrastrukturen nicht mehr den gestiegenen Standards einer vernetzten Industrie. Aktuelle Firmware-Stände und ein Patch- Management sind eine Seltenheit, ebenso fehlen ein Notfallplan mit klaren Vorgaben sowie geschultes Personal. Auch das Beibehalten von Standardpasswörtern, die Uneinigkeit zwischen IT und Automatisierern oder der unzureichend gesicherte Zugriff von der Ferne sind nur wenige Beispiele aus der Praxis. Dazu ist es oft die Hardware, die den Anforderungen nicht mehr gerecht wird. Da werden Layer-2- und Layer-3-Funktionen nicht optimal genutzt oder die Datenkommunikation schon bei der Planung eines Infrastruktur-Netzwerks nur ungenügend ausfall- und zugriffssicher konfiguriert. Die Folge ist eine regelrechte Einladung für unbefugte Zugriffe. Das BSI sieht in seinem Ranking die Infektion mit Schadsoftware über Internet und Intranet an erster Stelle, gefolgt von einem Ein- schleusen von Schadsoftware über Wechseldatenträger und externe Hardware und dem so genannten Social <strong>Engineering</strong>, dem Erlangen eines unberechtigten Zugangs zu Informationen oder IT-Systemen durch Aushorchen von Mitarbeitern. Die Gefahr, damit das Ziel eines Angriffs zu werden und als Unternehmen großen wirtschaftlichen Schaden zu nehmen, ist somit beträchtlich. Und die Bedrohung unserer digitalen Infrastrukturen wächst stetig. Wie also schützt man komplexe, vernetzte industrielle Steuerungssysteme vor Cyber-Angriffen? Zuallererst sollte man sich der Bedrohung bewusst sein, ausreichende Kompetenzen mit entsprechendem Budget bereitstellen und die interne Verantwortung festlegen. Nur wer Sicherheitssysteme mit Zugangskontrollen und -schutz implementiert, diese auf dem aktuellen Stand hält und die Komplexität des Netzwerks reduziert, ist auf Angriffe vorbereitet. Ein kompetentes Team ist von entscheidender Bedeutung. Nur wer sein Netzwerk kennt, kann es schützen. Perimeterschutz Ein Perimeter bildet die Firewall nach außen und muss besonders abgesichert werden. Dabei sollte ein gewisser Komfort wie der externe Zugriff auf das Netzwerk möglich sein. Fernzugriffe, die aller- 52 develop 3 systems engineering 02 2016
KOMMUNIKATION/SECURITY/INDUSTRIE 4.0 ANWENDUNGEN Kontakt INFO Westermo Data Communications GmbH Waghäusel Tel. +49 7254 95400-0 www.westermo.de Weitere Informationen über das WeOS: http://t1p.de/z8w1 Bild: Westermo Daten-Übertragung über nicht vertrauenswürde Netzwerke dings nicht ausreichend gesichert sind, ergeben ein erhöhtes Risiko. Findet der Angreifer hier einen verwundbaren Punkt in der Perimeter-Firewall, die die Schnittstelle zum Internet bildet, wird dieser an dieser Stelle ansetzen. Das Sperren von Ports und Protokollen zählt zu den einfachsten Mitteln, den Perimeter zu härten. Ein Perimeterschutz alleine ist allerdings nicht ausreichend. Firewalls und Virenschutz müssen Bestandteile einer Sicherheitsstrategie sein. Netzwerk-Segregation Eine dieser Taktiken ist die Segmentierung oder Segregation von Netzwerken – eine gute Methode, um das Risiko für die einzelnen Schichten des gesamten Netzwerks zu verringern. Durch die Aufteilung in kleine Sicherheits-Zonen (Subnetze) kann der Netzwerk-Verkehr überwacht und entsprechend eingeschränkt werden. Man gibt nur diesen Verkehr frei, der vom Steuerungssystem auch wirklich benötigt wird. Sollte es ein Angreifer nun in eines der Teilnetze geschafft haben, hindert ihn die nächste Firewall an der Grenze zu einer anderen Zone, sich ungehindert ausbreiten zu können. Übertragung über nicht vertrauenswürde Netze Bei kritischer Infrastruktur werden Daten oft zwischen physischen Sicherheitszonen übertragen und manchmal auch über Medien, die von Dritten verwaltet werden. Sofern die Daten nicht geschützt sind, bevor sie eine physische Sicherheitszone, wie ein Kontrollraum, verlassen, können sie abgefangen und manipuliert werden. Diese Daten während der Übertragung zu schützen, ist entscheidend für den gesicherten Betrieb und alle WeOS-Routing-Geräte haben die Fähigkeit, sichere Kanäle zwischen sich selbst und einem anderen vergleichbaren Gerät herzustellen. Die sicheren Kanäle bieten einen logischen Schutz,vergleichbar mit einer physischen Sicherheit und unterstützen andere Sicherheitsanwendungen wie Perimeterschutz und Netztrennung über den sicheren Kanal. Spoofing-Schutz Beim ARP-Spoofing wird dem Absender eine falsche Adresszuordnung übermittelt. Ein Anwendungsbeispiel aus der Praxis ist das Mithören der Daten, die über einen Switch gesendet werden (Manin-the-Middle-Angriff). Somit hat der Angreifer die Möglichkeit, diese Daten mitzulesen und entsprechend zu verändern, sofern diese unverschlüsselt sind. Durch Vortäuschung eines funktionierenden <strong>Systems</strong> auf dem Prozessleitsystem wird es für den Anlagenbetreiber schwierig, Probleme zu erkennen. Eine effektive Maßnahme, um dem ARP-Spoofing vorzubeugen, ist die Verwendung von Layer- 3-Switches. Das Konzept dieser Switches sieht vor, die Verbindung nicht nur anhand der MAC-Adresse zu identifizieren, sondern auch anhand der IP-Adresse. Häufige Änderungen der MAC/IP-Zuordnung werden vom Switch bemerkt und gegebenenfalls verhindert. Intrusion Detection Intrusion-Detection-Systeme (IDS) überwachen und analysieren die Aktivitäten in einem Netzwerk. Dabei werden die Konfigurationen und Schwachstellen analysiert, sowie die Datei-Integrität bewertet. Die Systeme können typische Angriffs-Muster erkennen, abnormale Aktivitäts-Muster analysieren und Verletzungen der Anwender-Policies aufspüren. Das System wird auch aktiv, sollte das Netzwerk des Administrators in irgendeiner anderen Form kompromittiert sein. Einige IDS-Produkte der Enterprise-Klasse sind auch in der Lage, direkt auf entdeckte Bedrohungen reagieren. Das IDS kann eine Firewall ergänzen oder auch auf dem zu überwachenden Computersystem laufen und so die Sicherheit von Netzwerken erhöhen. Für die Zukunft gerüstet Nur wer sein System vor unberechtigten Zugriffen und Attacken von außen schützt und auf hochwertige Komponenten setzt, kann sicher sein. Der Security-Spezialist Westermo hat seine Routing-Switches über das intelligente Betriebssystem WeOS mit Cyber-Abwehrfunktionen ausgestattet. Mit Port-basierender Firewall, Netzwerk-Segmentierung, VPN-Lösungen, Intrusion Detection und Spoofing- Schutz wird die Cyber-Security-Architektur eines Netzwerks gut verstärkt. Dabei gilt zu beachten, dass auch der modernste Cyber- Schutz auf Dauer nichts nützt, wenn das Personal nicht ausreichend geschult ist. Nur so lässt sich das Beste aus einem System herausholen und ein Netzwerk ausreichend vor unberechtigten Zugriffen und Cyber-Attacken schützen. ge Der Autor: Erwin Lasinger, Cyber-Security-Spezialist bei der Westermo Data Communications GmbH develop 3 systems engineering 02 2016 53
Seite 1 und 2: 02 2016 Prof. Reinhard Hüttl, Prä
Seite 3 und 4: EDITORIAL Digitaler Zwilling stellt
Seite 5 und 6: Kommunikation/Security/Industrie 4.
Seite 7 und 8: MELDUNGEN MENSCHEN & UNTERNEHMEN WS
Seite 9 und 10: MELDUNGEN MENSCHEN & UNTERNEHMEN Mi
Seite 11 und 12: VERANSTALTUNGEN/PUBLIKATIONEN Die M
Seite 13 und 14: Bild: D. Ausserhofer, Deutsches Geo
Seite 15 und 16: KÖPFE DER WISSENSCHAFT MENSCHEN &
Seite 17 und 18: KÖPFE DER WISSENSCHAFT MENSCHEN &
Seite 19 und 20: Prof. Reinhard Hüttl, Präsident d
Seite 21 und 22: AUS DER MENSCHEN & UNTERNEHMEN Zu d
Seite 23 und 24: SE-GLOSSAR SE-GLOSSAR SAR SE-GLOSSA
Seite 25 und 26: SERIE SERIE SERIE Fahrer Systemmeld
Seite 27 und 28: FORSCHUNG METHODEN wenden die Studi
Seite 29 und 30: FORSCHUNG METHODEN Modellstruktur,
Seite 31 und 32: VERANSTALTUNGEN/PUBLIKATIONEN METHO
Seite 33 und 34: PARALLELES ENTWICKELN METHODEN „A
Seite 35 und 36: PRODUCT LIFECYCLE MANAGEMENT (PLM)
Seite 37 und 38: PRODUCT LIFECYCLE MANAGEMENT (PLM)
Seite 39 und 40: SYSTEMENTWICKLUNG/CAD TOOLS Mechani
Seite 41 und 42: SYSTEMENTWICKLUNG/SIMULATION TOOLS
Seite 43 und 44: Bild: PTC Bild: PTC Identifizierung
Seite 45 und 46: MANUFACTURING EXECUTION SYSTEMS/LEI
Seite 47 und 48: BIG DATA ANWENDUNGEN Alle acht Seku
Seite 49 und 50: TITELSTORY ANWENDUNGEN develop 3 :
Seite 51: TITELSTORY ANWENDUNGEN Kontakt INFO
Seite 55 und 56: INDUSTRIE 4.0 ANWENDUNGEN Irren ist
Seite 57 und 58: INDUSTRIE 4.0 ANWENDUNGEN Bild: Wit
Seite 59 und 60: INDUSTRIE 4.0 ANWENDUNGEN Das One-P
Seite 61 und 62: ENERGIE- UND RESSOURCENEFFIZIENZ AN
Seite 63 und 64: QUALITÄTSSICHERUNG/ADDITIVE FERTIG
Seite 65 und 66: Praxistag Serialisierung + Rückver
Seite 67 und 68: Available on the App Store Ab sofor

Develop³ Systems Engineering 02.2016

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?