7-2021

Weitere Magazine

Info

Kommunikation Anomalieerkennung in Produktionsnetzen Smarter Schutz für smarte Fabriken Eine Herausforderung an die IT Security in der Industrie 4.0 ist, das klassische IT-Sicherheitskonzepte für OT-Netze meistens nicht anwendbar sind. Fünf Ansatzpunkte für den Schutz von OT-Netzen sowie ein Best Practice für Anomalieerkennung in vier Phasen beschreibt dieser Beitrag. Mit diesem Vorgehen lassen sich gewachsene OT- Netze zuverlässig absichern. © genua GmbH Mit der Industrie 4.0 werden Produktionsnetze und Services „smart“: Maschinen und Anlagen, industrielle Steuerungssysteme (Industrial Control Systems, ICS) sowie Automationslösungen sind online vernetzt, was zu flexiblen und effizienteren Produktionsnetzen führt. Zugleich wird die bisherige physische Trennung der OT von IT-Systemen und Office-Netzen für den Datentransfer oder für Fernwartungszugriffe aufgehoben. Das bringt eine höhere Anfälligkeit für Angriffe von Cyberkriminellen auf OT-Netze, Logistikprozesse oder Gebäudeleittechnik mit sich. Eine wesentliche Herausforderung an die IT Security in der Industrie 4.0 besteht darin, das klassische IT-Sicherheitskonzepte für OT-Netze meistens nicht anwendbar sind. Viele Systeme laufen auf veralteten Betriebssystemen, Sicherheitsupdates oder nachträgliche Härtungsmaßnahmen sind häufig nicht umsetzbar. Höchste Verfügbarkeits- und Integritätsanforderungen lassen Eingriffe in laufende Systeme oftmals nicht zu. Risiken entstehen aber nicht nur durch die Onlineverbindungen. Über infizierte USB-Sticks, mobile Endgeräte wie dem Laptop des Servicetechnikers oder aufgrund einer fehlenden Segmentierung des OT-Netzes können auch offline betriebene Anlagen durch Schadprogramme infiziert werden. Fünf Ansatzpunkte für den Schutz von OT-Netzen Die Absicherung der Vertraulichkeit, Integrität und Verfüg- Autor: Arnold Krille, Abteilungsleiter Product Development coginitx Threat Defender genua GmbH www.genua.de Bild 1: Wer spricht im OT-Netzwerk mit wem? Der cognetix Threat Defender zeigt aufsummiert, welche Assets in den letzten 30 Tagen wie viel Datenverkehr initiiert (Source Assets) bzw. beantwortet (Destination Assets) haben sowie den Datenverkehr zwischen den Assets. 78 PC & Industrie 7/<strong>2021</strong>
Kommunikation barkeit von OT-Netzen ergibt sich aus dem Zusammenspiel von Regeln, Verfahren, Maßnahmen und Tools. Definiert sind diese u. a. im Informa- tions-Sicherheits-Management- System (ISMS gemäß ISO/IEC 27000) und der Norm für „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“ (IEC 62443). Insbesondere fünf Ansatzpunkte sollten Unternehmen kennen: 1. Defense-in-Depth-Prinzip (IEC 62443) In der Norm IEC 62443 ist ein Defense-in-Depth- Prinzip („gestaffelte Verteidigung“) verankert. Es definiert den Schutz gegen Cyberangriffe (wie bei einer Zwiebel) in mehreren Schichten. Auch wenn eine Sicherheitsschicht überwunden wurde, ist nur ein Teil des Netzes betroffen. Das Gesamtsystem ist noch durch weitere Sicherheitsebenen geschützt. So ist es sinnvoll, die Netzbereiche in unterschiedliche Sicherheitszonen aufzuteilen und gestaffelte Schutz level zu vergeben. Bild 2: Wer darf mit wem sprechen? Das Bild zeigt den Ausschnitt eines Regelwerks. Zusammengefasst in abgeschlossene Policies (Richtlinien) sorgen aufeinander aufbauende Rules (Regeln) für Ordnung im Netzwerk. 2. Sicherheitszonen, Zonenübergänge und Schutzlevel Eine notwendige Maßnahme ist daher, unterschiedliche Sicherheitszonen festzulegen und voneinander abzuschotten. Die Zonenübergänge und die Kommunikation zwischen den Zonen können durch Firewalls und entsprechende Filterregeln restriktiv geregelt werden. So lassen sich auch abgesicherte Schleusen-PCs einrichten, um beispielsweise USB-Sticks verwenden zu können. Für Zonen mit besonders hohem Schutzlevel ist der Einsatz von Datendioden empfehlenswert, die ausschließlich einen Einbahn-Datentransfer zulassen und den Informationsfluss in der Gegenrichtung abblocken. 3. Absicherung der Fernwartung Sichere Fernwartungs-Lösungen erlauben den Zugang nur zu einer Sicherheitszone. Dies kann mit einem sogenannten Rendezvous-Server umgesetzt werden, der in der demilitarisierten Zone (DMZ) neben der Firewall installiert wird. Durch diese neutrale Zwischen ebene wird eine direkte Verbindung mit dem Internet ausgeschlossen. Hierhin bauen sowohl der Wartungs-Service als auch der Maschinenbetreiber zum vereinbarten Zeitpunkt verschlüsselte Verbindungen auf. Erst mit deren Rendezvous auf dem Server in der DMZ entsteht die durchgängige Wartungsverbindung zur betreuten Maschine. FlexEdge Edge Automation Plattform - All in One: Stoppen Sie einen unrentablen Material- und Mitarbeitereinsatz durch optimierte Datenerfassung und Digitalisierung in der Produktion. Modernisieren Sie Ihre Prozesse zur Smart Factory - unabhängig vom Alter und Sprache Ihrer Betriebsanlagen! • Protokollkonvertierung : > 300 Protokolle für mehr als 1000 Kombinationen • Einfache Edge-Programmierung mit Automatisierungssoftware Crimson® • Digitalisierung von Altanlagen auf aktuelle Standards • Modulare Netzanbindung - Cloud oder On-Premises, 5G ready IIoT Konnektivität einfach erstellt mit FlexEdge europe@redlion.net . www.flexedge.net PC & Industrie 7/<strong>2021</strong> 79
Seite 1:
Juli 7/2021 Jg. 25 Atop präsentier
Seite 4 und 5:
Inhalt 7/2021 3 Editorial 4 Inhalt
Seite 6 und 7:
Aktuelles Emtron electronic wird ne
Seite 8 und 9:
IPCs/Embedded Systeme Kompaktes, l
Seite 10 und 11:
IPCs/Embedded Systeme Interaktiver
Seite 12 und 13:
IPCs/Embedded Systeme Industrie Pan
Seite 14 und 15:
IPCs/Embedded Systeme Industrie-PCs
Seite 16 und 17:
IPCs/Embedded Systeme Neueste IP65
Seite 18 und 19:
SBC/Boards/Module Flexible System-o
Seite 20 und 21:
Messtechnik Einfache Messdatenerfas
Seite 22 und 23:
Messtechnik Kann man Unsichtbares m
Seite 24 und 25:
Sensoren Neue niedrigauflösende un
Seite 26 und 27:
Bedienen und Visualisieren TFT-Disp
Seite 28 und 29: Software/Tools/Kits Julia beschleun
Seite 30 und 31: Software/Tools/Kits Eplan gewährt
Seite 32 und 33: Sicherheit Prima Klima im IIoT Opti
Seite 34 und 35: Sicherheit turen“ (KRITIS) wie de
Seite 36 und 37: Bildverarbeitung Portfolio um indus
Seite 38 und 39: Stromversorgung 10-Jahres-Energiesp
Seite 40 und 41: Stromversorgung Renommierte Marken-
Seite 42 und 43: Elektromechanik M12x1-Isolierkörpe
Seite 44 und 45: Elektromechanik Neue Gehäuseserie
Seite 46 und 47: Antriebe Konzept für vollelektrisc
Seite 48 und 49: A Anwendungen Ferndiagnose . . . .
Seite 50 und 51: LUCOM GmbH. . . . . . . . . . . . .
Seite 52 und 53: Scheurich GmbH . . . . . . . . . .
Seite 54 und 55: Pericom AG . . . . . . . . . . . .
Seite 56 und 57: Schubert System Elektronik. . . . .
Seite 58 und 59: M3H2 GmbH . . . . . . . . . . . . .
Seite 60 und 61: Moxa Europe GmbH . . . . . . . . .
Seite 62 und 63: Turck, Hans GmbH & Co. KG. . . . .
Seite 64 und 65: AMC - Analytik & Messtechnik . . .
Seite 66 und 67: Wer vertritt wen? @RFID Ltd., BG ar
Seite 68 und 69: N National Instruments, USA AMC - A
Seite 70 und 71: C dce-vertriebsanfrage@dlink.com ww
Seite 72 und 73: Hy-Line Communication Products Vert
Seite 74 und 75: info@peak-system.com www.peak-syste
Seite 76 und 77: TQ-Systems GmbH Mühlstr. 2, 82229
Seite 80 und 81: Kommunikation Phase 2 - Assets iden
Seite 82 und 83: Kommunikation Quo Vadis TSN? Die Gr
Seite 84 und 85: Kommunikation Einfach mal machen! I
Seite 86 und 87: Kommunikation Bild 4: APL - Etherne
Seite 88 und 89: Kommunikation Intensive Fieldbus Di
Seite 90 und 91: Kommunikation Geringe Übergangswid
Seite 92 und 93: Kommunikation Offene, konvergente O
Seite 94 und 95: Kommunikation Ist Ethernet-APL mark
Seite 96 und 97: Kommunikation Industrielle Netzwerk
Seite 98 und 99: Kommunikation Robuste M12 PoE Switc
Seite 100 und 101: Kommunikation 10 Gigabit Uplinks un
Seite 102 und 103: Kommunikation Unmanaged Switches Ne
Seite 104 und 105: Kommunikation Ganzheitliches M2M-L
Seite 106 und 107: Kommunikation Leitung mit Doppelman
Seite 108 und 109: Kommunikation Engagement für die A
Seite 110 und 111: Kommunikation Klein und fein - Höc
Seite 112 und 113: Kommunikation Strategien zur IIoT-
Seite 114 und 115: Kommunikation Multifunktionsgateway
Seite 116 und 117: Kommunikation Neues White Paper bel
Seite 118 und 119: Kommunikation Remoteservice und Mas
Seite 120: Automatisierungssysteme nahtlos ver
Alle anzeigen

7-2021

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?