Mehr als die Summe aller Teile
- Written by Karin Legat
- font size decrease font size increase font size
Sicherheit für Endgeräte? Dieses Thema wird vor allem der Informationstechnik zugeordnet, ist aber auch bei Überspannungsschutz, Flammendurchschlagsicherung und selbst Detonationssicherheit relevant.
Die größten Sicherheitsrisiken in Unternehmen aus Gerätesicht? Das sind falsche Benutzung, mangelnde Awareness der Anwender, Malware, Phishing und Social Engineering, vorsätzliches Anwenderfehlverhalten, generell die Vernetzung von Geräten und Anwendungen sowie überhaupt ungesicherte und mangelhaft gesicherte »Endpoints«. Gleichzeitig sind Smartphone, Tablet und Co bereits wertvollere Informationsträger und -mittler. Laut Umfragen sind bei Sicherheitsvorfällen am häufigsten PCs und Notebooks (34 %), Netzwerke (31 %) sowie Smartphones und Tablets (30 %) betroffen. Das ist insofern kritisch, als sie als Einfallstor in das Rechenzentrum genutzt werden. In Umfragen ortet mehr als die Hälfte aller IT-Verantwortlichen die größere Gefahr eher von den eigenen Mitarbeitern als von Cyber-Kriminellen ausgehend.
Thomas Masicek, Chef des Bereichs Cyber Security bei T-Systems Austria: »Auf privaten Smartphones sind meist zahlreiche veraltete Apps installiert, die hohes Sicherheitsrisiko darstellen.« Gerade das Modell »Bring Your Own Device« (BYOD), das in vielen Firmen praktiziert wird, erfordert ein umfangreiches Sicherheitskonzept: die Einbindung in ein Mobile Device Management (MDM), die Möglichkeit der Fernlöschung von Unternehmensdaten, eine strikte Security-Policy, die verpflichtende Verschlüsselung aller Unternehmensdaten sowie einen PIN-Schutz. Es braucht ein Überdenken von Security, denn auf mobile Technologien kann nicht mehr verzichtet werden. Die Endgerätesicherung muss dazu mit den konstanten technischen Erneuerungen in sämtlichen Bereichen Schritt halten. Sicherheit darf aber nicht auf die Anwender abgeladen werden. Es gilt, sichere Architekturen im Hintergrund bereitzustellen, Stichwort Security by Design.
Wege zur Sicherheit
Beim Schutz gegen Cyber-Kriminalität konzentrieren sich viele Unternehmen hauptsächlich auf die Perimeter-Firewall und den sogenannten North-South-Traffic. Es braucht aber auch Data Security wie E-Mail-Verschlüsselung und Authentifizierung, Network Security wie IP-Adress-Management-Konzepte, Internet Security – Firewall und Secure Access – sowie Endpoint Security. Dazu zählen Anti-Virus, Anti-
Malware, Personal Firewall und Host IPS oder etwa Festplattenverschlüsselung. Beim Management mobiler Geräte spielt Enterprise Mobility Management eine wichtige Rolle. Jede App verfügt hier über einen isolierten Speicherplatz und isolierten Arbeitsspeicher. Thomas Masicek: »Mobile Endgeräte sind ständig unterwegs, direkt mit dem Internet verbunden und durch kein abgesichertes Unternehmensnetzwerk vor unerlaubten Zugriffen geschützt.« Die zentrale Verwaltung über Mobile-Device-Management-Systeme sei daher unerlässlich. Ein MDM ermöglicht die zentrale Konfiguration sowie die Sperre des Zugriffs im Fall von Sicherheitsproblemen oder die Sperre veralteter Apps.
Bild oben: Erich Kronfuss, Phoenix Contact: »Jede Maschine muss in sich verfügbar sein. Die Kommunikation läuft von innen nach außen.«
Wie sich Unternehmen zusätzlich vor Cyberattacken schützen können, dazu hat Report(+)PLUS auch mit Gilles Gabriel, Vice President Sales EMEA bei Quantum, gesprochen: »Eine effektive Methode zum Schutz der Daten vor Cyberangriffen besteht in der Aktualisierung der IT- und Backup-Infrastruktur, indem Offline-Speichermedien wie zum Beispiel Tapes Cloud- und Disk-basierte Backup-Systeme hinzugefügt werden.«
Ideen der Industrie
Sicherheit von Endgeräten schaffen auch Industrietechnik-Konzerne wie ABB mit Prozessleitsystemen, in die bereits Sicherheitsfunktionen integriert sind. ABB stimmt sich dafür eng mit einschlägigen Sicherheitsrichtlinien von Organisationen wie ISO/IEC, VDI/VDE, Namur und BSI ab. Darüber hinaus praktiziert ABB bei der Produktentwicklung Secure by Design. Zielführend ist auch die Umsetzung des sogenannten Defense-in-Depth-Ansatzes, also eines mehrschichtigen Sicherheitskonzeptes, in dem sich die ausgewählten Sicherheits-mechanismen gegenseitig ergänzen.
Bei Siemens wird ganzheitliche Security beginnend bei den Endgeräten etwa mittels Port Authentication IEEE 802.1x realisiert, die auf Zertifikaten basierend sicherstellt, dass Endgeräte im Netzwerk teilnehmen dürfen. Nur mit erfolgreicher Anmeldung und gültigem, verschlüsselten Zertifikat kann eine Kommunikation aufgebaut werden. Entscheidend ist die klare, unterbrechungsfreie Kommunikation. Laut Erich Kronfuss, Industrial IoT Security Specialist bei Phoenix Contact, besteht im Maschinenbau und Anlagenbetrieb bei IT-Anwendungen grundsätzlich kein Bedarf für den Zugang ins Internet.
Daher werden diese Systeme isoliert von anderen, unsicheren Netzen betrieben. Um diese in ein übergeordnetes Netzwerksystem sicher einbinden zu können, gibt es die internationale Normenreihe IEC 62443 über industrielle Kommunikationsnetze – eine IT-Sicherheit für Netze und Systeme, an der seit einigen Jahren gearbeitet wird. Eine der beschriebenen Methoden in diesem Standard ist die Zonierung und die gesicherte Verbindung der Netze. Das ist das Sicherheitskonzept der Industrie.
Bild oben: Gilles Gabriel, Quantum: »Eine effektive Abwehrmethode besteht in der Aktualisierung der IT- und Backup-Infrastruktur.«
In der praktischen Umsetzung bedeutet dies zumeist, dass innerhalb eines Anlagennetzwerks eine eigene private IPv4-Adresse genutzt wird und kein Routing-Eintrag auf den Maschinen oder auch Windows PCs erfolgt. Wenn ein IP-System außerhalb des lokalen Anlagennetzwerks kommunizieren muss, so wird eine 1:1-NAT-Verknüpfung am Switch, Router und Firewall eingetragen.
Eine solche Segmentierung bewährt sich für Kronfuss auch in der konventionellen IT, erzielt durch mGuard. Die mGuard-Familie von Phoenix Contact umfasst eine Reihe an Security-Apps für Anwendungen wie sichere Fernwartung oder sichere Zugriffe durch Service-Mitarbeiter. Die Apps beinhalten Firewall-, Routing- und VPN-Funktionalitäten zum Schutz vor bösartigen Cyber-Attacken und ungewollten Störungen sowie die sichere Fernwartung über öffentliche Netze.
Die TU Wien setzt gemeinsam mit Phoenix Contact in der Pilotfabrik 4.0 in Aspern in Wien das Security und Netzwerk Modell der IEC 62443 um. »Die digitalisierten Produktionsschritte sind direkt am Shop-Floor in autonome Zonen aufgeteilt und über ein Produktionsnetzwerk sicher zusammengeführt«, informiert Kronfuss und lädt Interessierte zu einer Führung durch die Pilotfabrik 4.0 ein: »Wir wollen die Umsetzung des internationalen Standards IEC 62443 zeigen.«
Industrial Security
Die Automatisierung in der Industrie hat heute einen so hohen Grad der Vernetzung erreicht, dass eine Produktion ohne sie nicht mehr vorstellbar ist. Die bisherigen Mittel der Abschottung sensibler kritischer Infrastrukturen und der Kontrolle der Datenströme stoßen an ihre Grenzen. In der Industrial Security oder Automation Security geht es um die Absicherung aller Komponenten und Prozesse, die für den zuverlässigen und sicheren Betrieb einer automatisierten Produktionsanlage notwendig sind. Dazu gehören Steuerungen – genauer: speicherprogrammierte Steuerungen (SPS) – , Leitsys-teme, Netzwerkkomponenten wie Firewalls oder Switches, Clients, Applikationen ebenso wie Prozesse der Planung, Umsetzung, Schulung, Bedienung und Wartung. Experten sind sich einig, dass Security gleichwertig neben anderen Produkt- und Produktionseigenschaften wie Qualität oder Safety zu behandeln ist. »Zuallererst gilt: Jede Maschine muss in sich verfügbar sein – die Kommunikation läuft von innen nach außen«, stellt Kronfuss fest.
Info
Die internationale Normenfamilie IEC 62443 befasst sich mit der IT-Security sogenannter »Industrial Automation and Control Systems«. Sie wurde ursprünglich als Norm für die Automatisierungstechnik in der Prozessindustrie entwickelt, deckt heute alle Industriebereiche von diskreter Fertigung bis zu verteilten Versorgungssystemen ab. Die Norm wird laufend weiterentwickelt.
Durch die ständigen Erneuerungen technischer Geräte, die immer smarter und vernetzter werden, entstehen völlig neuartige Sicherheitsrisiken. Dieser Fortschritt bedeutete für Siemens bereits in den letzten Jahren großen Bedarf an Maßnahmen zur Prävention von Cyber-Security Attacken. In den nächsten Jahren wird sich die Endgerätesicherung auf alle Geräte, die smart werden oder schon sind, ausweiten. Bis vor einigen Jahren waren Lichtschalter alles andere als »smart«, mittlerweile gibt es smarte Lichtschalter, die sich mittels Sprachsteuerung oder per App bedienen lassen. Bei einer solchen Vernetzung steigen natürlich auch die Sicherheitsrisiken.