Der Einsatz des IIoT wächst unaufhaltsam, und damit die Vernetzung der Geräte. Das den Trend treibende Momentum: die starke Nachfrage von Unternehmen und Anlagenbesitzern, von Betreibern nach verbesserter Betriebseffizienz. Die Betriebseffizienz lässt sich jedoch nicht immer problemlos erzielen. Unternehmen sind gefragt, den Gefahren durch Bedrohungen mit wirkungsvollen Security-Maßnahmen zu begegnen. Die Zeitschrift GIT SICHERHEIT hat auf dieser Webseite gemeinsam mit den Experten des Unternehmens Moxa wichtige Informationen, Herausforderungen und mögliche Lösungen zusammengetragen.
Jedes Gerät, das einem Netzwerk hinzugefügt wird, ist ein potenzieller Schwachpunkt – denn es stellt für Angreifer einen möglichen Zugangspunkt zum Netzwerk dar. Die Wichtigkeit, die Unternehmen und sogar Regierungen der Cybersecurity beimessen, ist schwerlich zu überschätzen. Schon im Juli 2016 veröffentlichte das Europaparlament Richtlinien zur Vermeidung von Cyberattacken. Alle Anlagenbetreiber haben gemeinsam beschlossen, nach-Lösungen zu suchen, mit denen sich sichere Geräte und Netzwerke für Industrieanwendungen installieren lassen.
Der IEC 62443 Standard entwickelt sich fortlaufend weiter, um stets aktuelle Sicherheitsrichtlinien und eine Liste von Praxisbeispielen für verschiedene Bereiche des Netzwerks liefern zu können. Sie umfasst auch Informationen für Personen, die verschiedene Verantwortungsbereiche für Netzwerke übernehmen, um diese gegen bekannte Sicherheitslücken und unvorhergesehene Angriffe zu schützen. Das ultimative Ziel des Standards ist es, die Sicherheit von Netzwerken zu verbessern und die Sicherheit von Einstellungen in der Industrieautomation und Steuerung zu erhöhen.
Die IEC 62443 Richtlinie definiert vier Ebenen von Sicherheitsbedrohungen. Level 2 ist die Basisanforderung für die Automatisierungsindustrie. Er beschreibt Cyberangriffe durch Hacker, die von Administratoren als meistverbreitete Art des Angriffs beschriebene Variante. Level 1 beschreibt den Schutz gegen versehentliche nicht authentifizierte Zugriffe und die Level 3 und 4 beziehen sich auf die Absicherung gegen den beabsichtigten Zugriff durch Hacker mit spezifischen Fähigkeiten und Werkzeugen.
Es fordern viele Systemintegratoren von Lieferanten, dass deren Produkte mit dem Unterabschnitt IEC 62443-4-2 des IEC 62443 Standards konform sind. Dieser betrifft speziell die Sicherheit von Endgeräten. Der Unterabschnitt setzt sich aus grundlegenden Anforderungen zusammen, einschließlich der Identifizierungs- und Authentifizierungsprüfung, Einsatzprüfung, Datenintegrität und –vertraulichkeit sowie Back-up für Ressourcenverfügbarkeit.
Im Wesentlichen unterscheidet sich das IT-Sicherheitsgesetz vom IEC 62443 Standard durch die Tatsache, dass es zunächst von der deutschen Bundesregierung, dem Bundesamt für Sicherheit in der Informationstechnik, erlassen und primär für die Betreiber so genannter kritischer Infrastrukturen geschaffen wurde, wie Energieversorger, Anbieter von Telekommunikationsdienstleistungen, Telemedienanbieter und Unternehmen in der Atomkraft. Es zielt also in letzter Konsequenz darauf ab, den Endverbraucher im Falle von Cyberangriffen oder Manipulationen zu schützen: „Betreiber Kritischer Infrastrukturen sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.“
Die IT-Sicherheit muss nach aktuellem Stand der Technik umgesetzt werden – wobei "Stand der Technik" ein nicht allgemeingültig und abschließend definierter juristischer Begriff ist und Sicherheitsvorfälle ohnehin dem BSI gemeldet werden müssen. Um der Anforderung zu genügen, können Betreiber kritischer Infrastrukturen und ihre Verbände branchenspezifische Sicherheitsstandards erarbeiten. Das BSI prüft diese auf Antrag und erkennt sie bei Eignung im Einvernehmen mit den zuständigen Aufsichtsbehörden an.
Die IEC-Norm, mit dem oben beschriebenen IEC Standard 62443, ist eine internationale Normenreihe über "Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme". Sie beschäftigt sich speziell mit sicheren industriellen Automatisierungs- und Steuerungssystemen und der Sicherheit in der Prozess-, Mess- und Leittechnik, wie wir sie gerade hierzulande vielfach vorfinden. Im Fokus des Standards steht einerseits die Tatsache, dass handelsübliche IT–Produkte wegen mangelnder Sicherheitsfunktionen nicht für die Automatisierungsumgebung geeignet sind. Andererseits regelt der Standard die Thematik der Managementsysteme. Über diese gibt es ausreichende Informationen, was sie umfassen sollten, jedoch keine Informationen darüber, wie man dabei vorgehen sollte, ein Managementsystem überhaupt erst einmal zu entwickeln. Hier setzt der Standard an und adressiert die Aspekte der verschiedenen Elemente innerhalb eines Cybersecurity-Managementsystems für industrielle Automatisierungs- und Steuerungssysteme - und gibt Leitlinien zu dessen Entwicklung vor.
Unter Sicherheitsexperten herrscht der Konsens, dass es sechs Haupt-Bedrohungen für interne Netzwerke gibt, darunter nicht-autorisierter Zugriff, unsichere Datenübertragung, unverschlüsselte wichtige Daten, unvollständige Ereignisprotokolle, ein Mangel an Sicherheitsüberwachung und Fehler, hervorgerufen durch menschliche Fehler bei der Einstellung. Es gibt verschiedene Optionen, um diese Sicherheitsrisiken zu neutralisieren.
Die richtigen Software-Lösungen sind der Schlüssel zur Betriebseffizienz im IIoT – einschließlich intuitiver Management-Software für den schnelleren, weniger fehlerbehafteten Betrieb sowie API-Plattformen für die schnellere Applikationsentwicklung und die einfache, komfortable Anwendung.
So lassen sich eine schnellere Installation erzielen, das Management visualisieren und die Fehlersuche sowie –behebung vereinfachen. Vorausschauende Wartung wird ebenso möglich, wie die nahtlose Integration von Scada-Systemen.
Die Anzahl intelligenter Geräte, die mit dem Internet verbunden sind, übersteigt mittlerweile mühelos die Anzahl von Menschen auf unserem Planeten. Smarte Städte, Industrien, Gebäude, Wohnhäuser – das IoT entwickelt sich stetig. Mittels immer noch mehr Geräte wird es digital ermöglicht, intelligent über Netzwerke zu kommunizieren, um Überwachung, Steuerung und Sicherheit unserer Umgebung zu verbessern. In Folge dessen verändert sich die Art, wie wir mit Prozessen und Daten interagieren - genauso wie die Art, auf die Maschinen miteinander kommunizieren. Unser Streben nach einem „alles smart“ lässt derweil die Herausforderungen an Netzwerke und wie sie die Anforderungen des Industrial IoT bewältigen, steigen. Gemäß einer aktuellen Umfrage von Nexus sehen 77 Prozent der Teilnehmer die Interoperabilität als größte Herausforderung im IIoT. Gemeinsam mit der Vielzahl weiterer Anforderungen müssen Unternehmen zusehen, wie sie für sich den einfachsten und nahtlosesten Betriebsmodus finden.
In jedem verzweigten System müssen alle Komponenten miteinander kommunizieren können – dieselbe Sprache sprechen, auch dann, wenn sie in sehr unterschiedlichen Bereichen arbeiten. Ein Mangel an gleichen Softwareschnittstellen, Standard-Datenformaten und gleichen Konnektivitätsprotokollen verkompliziert die Dinge im IoT. Für die Industrie bedeutet das, dass 40 Prozent des gesamten wirtschaftlichen Werts des Industrial IoT ihr verschlossen bleiben, weil verschiedenen Systeme nicht miteinander arbeiten können. Zusätzlich dazu ist es noch schwieriger, nahtlose Interoperabilität zu fördern, weil die lange Lebensdauer herkömmlicher Geräte, deren Nachrüsten oder Ersatz teuer wäre, den Einsatz der neuesten Technologien verhindert.
Der Erfolg des IoT hängt maßgeblich von IP-basierten Netzwerken ab. Der Schlüssel zu einem produktiven und effektiven Netzwerk liegt in getesteten und für zuverlässig befundenen Geräten. In rauen Umgebungen, wie beispielsweise der Öl- und Gasbranche, im Marinebereich und im Schienenverkehr ist Zuverlässigkeit der wichtigste Faktor. Da sich diese Branchen zunehmend auf Fernwirken und –warten verlassen, installieren sie idealerweise robuste Geräte. Auch das noch so gut entwickelte und anwenderfreundliche Front-End ist nutzlos, wenn das Back-End des Systems nicht zuverlässig arbeitet. Defekte Geräte oder Ausfälle aufgrund extremer Temperaturen und weiterer Umgebungsbedingungen haben einen negativen Einfluss auf den Einsatz des IoT. Die Folgen von Geräteausfällen sind allen schmerzlich bewusst: Gefahr für Personen, kostenintensive Ausfallzeiten, inakkurate Datenanalyse und weitere.
Da von immer mehr Anwendern aus der Industrie erwartet wird, dass alle mit dem Internet verbundenen Geräte und Cloud-basierten Services fernverwaltet werden können, ist die Angriffsfläche für Cyber-Attacken größer denn je. Bis vor kurzem fokussierte sich Cyberkriminalität auf eine begrenzte Anzahl von Endpunkten. Mit dem Erwachen des IIoT muss die Sicherheit im großen Stil auf die physischen und virtuellen Welten erweitert werden.
Die meisten Netzwerke sind nicht für die Herausforderungen des wachsenden IoT ausgelegt. Der Trend geht zur Multisystemintegration und Videoüberwachung. Dem entsprechend sind Netzwerke mit hohen Bandbreiten erforderliche, die Video, Voice, Daten und Steuerungsbefehle kombinieren. Bestehende Überwachungswerkzeuge sind meist schon an der Grenze ihrer Fähigkeiten. Die Netzwerke werden unter immer größerem Druck stehen, Bandbreite zu liefern – Milliarden von Geräten produzieren eine exponential größere Menge an Datenpunkten, die allesamt erfasst und analysiert werden wollen. Diese Datenmengen übers Internet zu versenden wird neue Bandbreiten-Größen erfordern – ansonsten werden unzählige Flaschenhälse entstehen.
Mit Milliarden von verbundenen Geräten und weiteren, die kommen werden, kommen zwangsläufig mehr potenzielle Ereignis-Ausfälle. Industriesysteme müssen sich mit skalierbaren Infrastrukturen wappnen, die expansionsbereit sind. Die IDC sagt voraus, dass die Gesamtanzahl „vernetzter Dinge“ in 2020 die 200-Milliardenmarke überschreiten wird. Hinzu kommt, dass zukünftig immer mehr installierte Geräte mobil sein, zeitweilig verbunden sein und niedrigen Strombedarf haben werden – sie werden sich an die sich wandelnde Umgebung anpassen müssen.
Das IIoT muss mit dem Gedanken an Wartung und Updates aufgebaut werden. Es muss nicht nur das Originalsystem verwaltet werden – auch alle neuen Systeme müssen verwaltet werden. Ingenieuren steht einer Lernkurve bevor. Die meisten benutzerschnittstellen von Management-Softwareprodukten sind nicht für die Industrieautomation ausgelegt. Verschiedene Management-Aufgaben erfordern unterschiedliche Werkzeuge. Um es noch schlimme zu machen, kann das manuelle Aufsetzen eines Netzwerks zu menschlichen Fehlern und vielen Mannstunden Zeitbedarf führen. Zusätzlich dazu fallen Extrakosten für den Einsatz von Personal an, das in der Leitstelle kurzfristig auf Fehlermeldungen reagiert.
Moxa bietet verschiedene Lösungen für die schnelle Netzwerk-Wiederherstellung im IIoT an. Neben den Netzwerktechnologien Turbo Chain, Turbo Link , AeroLink Protection und V-ON, um nur einige zu nennen, bietet die industrielle Netzwerkmanagement-Plattform MXView Ingenieuren eine Vielzahl an Funktionen, welche die Umsetzung und den täglichen Betrieb von Netzwerken im IIot vereinfachen. MXView unterstützt Echtzeit-Funktionen und Topologien auf Schnittstellen-Ebene sowie die Integration von SCADA. Die MxView ToGo App ermöglicht es Ingenieuren, den Echtzeit-Status des Netzwerks von unterwegs auf mobilen Geräten zu prüfen sowie jederzeit und überall Ereignisbenachrichtigungen zu erhalten.
Die neue App MXview ToGo ist die mobile Version von Moxas Netzwerkmanagement-Software MXview. Sie bietet Echtzeit-Alarme, sofortige Netzwerk- und Gerätestatus-Checks sowie intelligente Geräteidentifikation und –lokalisierung. So wird die Netzwerküberwachung von unterwegs einfach und komfortabel.
MXview ToGo und die Netzwerkmanagement-Software MXview arbeiten zusammen als Client-/ Server-Netzwerkmanagement-Lösung. Die MXview-Software ermöglicht die visuelle Abbildung der Netzwerktopologie und ermöglicht Anwendern die Konfiguration, die Überwachung der Datenlast sowie die rückwirkende Ereignis-Wiedergabe.
Mit der neuen MXview ToGo App erhalten Netzwerkadministratoren Ereignisbenachrichtigungen per Push-Kommunikation direkt auf ihr Mobilgerät. Dadurch können sie den Netzwerkstatus sofort z. B. von ihrem Smartphone aus überprüfen und sehen, ob das Netzwerk ordnungsgemäß funktioniert, ob Warnungen ausgegeben wurden oder ob eine kritische Situation die sofortige Aufmerksamkeit erfordert. Wenn sich Administratoren zur regulären Wartung oder Fehlersuche im Feld befinden, können sie MXview ToGo ohne Anschluss an einen Computer einsetzen, um einen QR-Code zu scannen, der spezifische Geräteinformationen enthält. Zudem können Anwender mithilfe der eingebauten Funktion zur Geräte-Lokalisierung die LEDs eines bestimmten Geräts triggern. So lässt sich unter hunderten gleichen Geräten direkt ein spezifisches Gerät finden.
Moxa White Paper Cybersecurity Standard IEC 62443