Die Sicherheitsrisiken am Schaltschrank reduzieren

IT-Sicherheit bereits auf der physikalischen Netzwerk-Ebene umsetzen

Die Integration von Sicherheitsmechanismen in Gehäuse und in sonstige Netzwerk-Komponenten ist ein essenzieller Bestandteil von physikalischer als auch logischer Netzwerk-Architektur. Korrekt umgesetzt, ermöglicht ein solcher Aufbau ein Ineinandergreifen verschiedener Sicherheitsebenen zum Schutz des Netzwerks, der Anlagen und von Personen. Ein späteres Retrofitting oder Ersetzen von Komponenten wird in vielen Fällen unnötig. Physikalische Sicherheitslösungen ermöglichen es, Zeit und Kosten zu sparen, die mit Sicherheitsverletzungen, Netzwerk-Ausfallzeiten, Reparaturen und dem Austausch von Hardware verbunden sind.

Die digitale Transformation macht auch vor der Art und Weise, wie wir unsere Produkte herstellen, nicht halt. Der Zugang zu einer gewaltigen Menge an Daten über den gesamten Produktlebenszyklus – von der Entwicklung, über die Bestellung, bis hin zur Abwicklung – ist ein Schlüsselfaktor zur nächsten Revolution im Fertigungsumfeld. Diese Revolution ist gemeinhin bekannt als Industrie 4.0.
Das Fundament für dieses Datenzugangs- und Datendesignmodell ist das physikalische Netzwerk oder auch die ITK-Infrastruktur. Schwächen solcher Infrastrukturen können auf der physikalischen Ebene einfach identifiziert werden und erstrecken sich häufig über weitere Aspekte des gesamten Systems.

Big Data als Fluch und Segen

Mit vollintegrierten Fertigungsanlagen steht nun eine Vielzahl an Daten fast in Echtzeit zur Verfügung. Dies ist Fluch und Segen zugleich. Ein Segen ist die Möglichkeit, Informationen und Herkunfts-, Qualitäts- und Herstellungsdaten abzurufen, wenn sie benötigt werden. Ein Fluch aber auch, da die Zugänglichkeit der Daten und offene Standards die Verfügbarkeit der Daten auf allen Ebenen des Unternehmens eröffnen. Ganz besonders, wenn Netzwerke nicht durch verschiedene Sicherheitsebenen geschützt sind.

Die Sicherheit des Datennetzwerkes ist kein Ziel, dass mit einem einzigen Arbeitsschritt in der Konzeptionsphase umgesetzt und dann vergessen werden kann. Die Sicherheit des Data Networks ist vielmehr ein fortlaufender Prozess, der mit einem soliden Design beginnt und sich dann durch den gesamten Lebenszyklus der Produktionsanlage fortsetzt.

Ältere Systeme sind stärker gefährdet, da bei alten Automationssystemen das Thema Sicherheit und damit einhergehende Schwachstellen, die sich durch die Implementierung von neueren Anwendungen ergeben, nicht eingeplant oder in Betracht gezogen wurden. Diese Systeme sind somit zusätzliche Risikofaktoren für Ingenieure in Regelungs- und Steuerungstechnik und Netzwerk-Planer in zusammenwachsenden IT-Umfeldern; besonders in „Brownfield-Szenarien“ oder z.B. in existierenden Automationsinseln, die in das Gesamtnetzwerk des Unternehmens integriert werden müssen.

Produktionsdatenfluss und Sicherheit

Produktionsdaten werden in Edge-Geräten generiert. Die Datenverarbeitung erfolgt im „Edge Application Layer“ und erlaubt Antworten, Reaktionen und Änderungen in Echtzeit an Geräten, Maschinen und Sensoren. Die Weiterverarbeitung und Speicherung der Daten wird von der Steuerungsebene unterstützt, welche höhere Funktionen des Automationsnetzwerkes enthält, wie lokales Reporting und Rezeptverwaltung. Teile der Daten werden von lokalen Servern gespeichert und weiterverarbeitet.

Die meisten höheren Funktionen werden in der Steuerungsebene verarbeitet und jene Daten an anderen Stellen des Netzwerkes genutzt und verarbeitet und somit nicht an dem lokalen Server. Deshalb stellt die Sicherheit des Edge Layers eine Schlüsselrolle für die Gesamtsicherheit des Netzwerkes und des Systems dar, da sonst eine lokale Sicherheitslücke mit den Daten vom Edge in den Enterprise Layer der höheren Funktionen transportiert würde.

Der Datenfluss von der Produktionsanlage in den Enterprise Layer des Netzwerkes ist selektiv und nutzenorientiert. In den Enterprise Layer gesendete Daten (z.B. die Private Cloud des Unternehmens oder dedizierte RZ-Ressourcen) sind für dedizierte, weiterverarbeitende höhere Prozesse vorgesehen, wie zum Beispiel historische Analysen, Reporting-Funktionen höherer Ebenen, Bereiche des Big Data, Predictive Maintenance und Speicher.

Evident ist, wenn für Unternehmens-KPI relevante Daten nicht schon in einem angemessenem Zeitrahmen am Edge-Gerät entstehen und weiterverarbeitet werden. In derartigen Fällen können höhere Instanzen wie Analyse- und Big Data Management-Funktionen diese Daten nicht im passenden Zeitrahmen für KPIs wie OEE, MRP, CRM usw. weiterverarbeiten.

Auf allen Ebenen der Infrastruktur werden Sicherheitsbedenken, Belange in Bezug auf den Produktlebenszyklus, Datensicherheit und eine lange Liste an weiteren Schwachstellen über das ganze Unternehmen hinweg analysiert, um die empfindliche Balance zwischen Produktivität, Profitabilität, Kundenzufriedenheit und Sicherheit zu gewährleisten.

Sicherheit ist eines der Hauptanliegen auf allen Ebenen des physikalischen Netzwerks, der Netzwerk-Infrastruktur. Nach dem Daten-Aggregations-Model sind Eingabepunkte des Systems, gleichweg welcher Natur, grundsätzlich als Sicherheitsrisiko einzustufen. Das System ist nur so stark wie seine schwächste Komponente. Deshalb ist es besonders wichtig, die Verwundbarkeiten des Systems bereits in der Designphase zu analysieren und bekannte Schwachstellen durch eingeplante Schutzebenen zu eliminieren.

Netzwerk-Sicherheit auf physikalischer Ebene wird als erste Verteidigungslinie betrachtet und muss als diese zur Kenntnis genommen werden. Das Netzwerk-Design, die adäquate Installation und die ständige Überwachung im Betrieb sind unabdinglich, um die kontinuierliche Integrität und Sicherheit des Systems gewährleisten zu können. Absolute Sicherheit ist jedoch kein realistisches Ziel, da Bedrohungen sich kontinuierlich über die Zeit weiterentwickeln. Physikalische Sicherheit sollte bereits am „Edge“ des Netzwerks beginnen und im adäquaten Maße auf jeder Ebene des physikalischen Netzwerkes wiederzufinden sein.

Physikalische Sicherheit am Edge

Einige dieser physikalischen Sicherheitsmaßnahmen können problemlos in existierende Brownfield-Anlagen und Steuerungssysteme implementiert werden, um die Verwundbarkeit älterer Systeme zu reduzieren.

Netzwerk-Verbindungen am Edge:

Die Auswahl des richtigen Netzwerk-Mediums (Kupferkabel, Glasfaser, Gehäuse und Trassen) spielt eine weitere wichtige Rolle sowohl bei der funktionalen Sicherheit. als auch bei der Datensicherheit. Diese Selektion muss früh im Entwurfsstadium des Netzwerks getroffen werden.

Sicherheit am Edge:

Monitoring am Edge:

Physikalische Sicherheit muss immer gewährleistet sein. Deshalb müssen Daten- und Telekommunikations-Netzwerke überwacht und regelmäßig auditiert werden. Professionelles Netzwerk-Design ist ein guter Start, durch die schnelle Weiterentwicklung von Technologie und Applikationen sind Sicherheitsbedenken jedoch immer präsent und real. Qualifizierte Arbeitskräfte und Absicherung gegenüber M.I.C.E.-Risiken spielen eine wichtige Rolle für die Leistungsfähigkeit und Funktionalität des Netzwerks.

Monitoring-Software wird für Echtzeitüberwachung von Netzwerken eingesetzt und liefert Statusinformationen rund um die Uhr und in Echtzeit. Im Idealzustand sollte nichts den Betrieb des Gesamtsystems beeinflussen, aber Fabriken und Produktionsanlagen werden nicht zu idealen Bedingungen betrieben. Zusätzliche, ungewollte Geräte finden den Weg ins Netzwerk über offene, ungeschützte Schnittstellen oder offene WLAN-Kanäle.

Zusätzliche Geräte sind potenzielle Sicherheitsbedrohungen und müssen identifiziert, überwacht und gegebenenfalls blockiert werden, um den normalen Netzwerk-Datenverkehr und den Systembetrieb unbeeinflusst aufrechtzuerhalten. Mit Hilfe von Monitoring-Software kann genau dies gewährleistet werden; die Systembetreiber und Operatoren können adäquat benachrichtigt werden. Auch lassen sich aus dem Monitoring Rückschlüsse auf die Übertragungsqualität von Signalen ziehen, Alterung von Verkabelungskomponenten zum Beispiel an Schleppketten identifizieren und ungeplante Ausfälle dadurch verhindern.

IT-Sicherheit bereits auf der physikalischen Netzwerk-Ebene

Das Datennetzwerk sollte immer als integraler Bestandteil der gesamten Sicherheitsstrategie betrachtet werden, es beginnt bei den einzelnen Netzwerk-Komponenten der physikalischen Schicht und zieht sich durch die gesamte Netzwerk-Struktur. Die Integration des physikalischen Netzwerks in das Unternehmens-Sicherheitskonzept ist ein essenzieller Schritt, der es Administratoren und Steuerungs-Ingenieuren erlaubt, ein vielschichtiges Sicherheitskonzept zu entwerfen und umzusetzen – ein Konzept, das sich nicht nur auf den unmittelbaren Bereich der Automationsinsel, eines HMI oder eines sonstigen Netzwerkgerätes beschränkt.

Die Umsetzung der IT-Sicherheit bereits auf der physikalischen Ebene des Netzwerks spart zukünftig Zeit und Kosten durch die Reduzierung von Sicherheitsbrüchen, Netzwerkausfallzeiten, Reparaturen und Hardware-Austausch. Die Grundlage für die Sicherheitsstrategie muss sowohl der Gesamtlebenszyklus des zu schützenden Netzwerks bzw. der Fertigungsanlage sein, als auch der Schutz der Prozess- und Produktionsdaten über den Lebenszyklus der Anlage und darüber hinaus.

Periodische Auditierungen, um festzustellen, ob das System weiterhin frei von Sicherheitsdefiziten ist und ob sich neue Sicherheitslücken aufgetan haben, sind essenziell. Bestandteil eines solchen Auditierungs-Planes im Gesamtprozess der IT-Sicherheitsstrategie ist ein Sanierungskonzept für die Sicherheitsmaßnahmen im Bedarfsfall. Daten sind bereits heute wichtiger Bestandteil des Unternehmenswertes. Schon deshalb gehört die Sicherheit der Netzwerk-Infrastruktur in die Hände gut ausgebildeter Infrastruktur-Designer, Ingenieure sowie qualifizierter und zertifizierter Installateure.

In einer Welt, in der sich IT-Hardware, IT-Applikation und die Anzahl an Netzteilnehmern rasanter entwickeln als jemals zuvor, sind konsequente und strenge Sicherheitsstrategien der einzige Weg, um kritischen Netzwerk-Ausfällen vorzubeugen und katastrophale Folgen für das Unternehmen zu vermeiden.

Autoren:

Michael Jammal, Sr. Business Development Manager of Industrial Automation, Panduit Marty Kronz, Manager of Business Development, Panduit

Diesen Artikel weiterempfehlen

Unsere Empfehlung für Sie

Panduit live auf der SPS

Panduit live auf der SPS

Effizienz und Nachhaltigkeit sind die großen Themen für Panduit, wie Martin Kandziora erklärt, Senior Marketing Manager für die Region EMEA.

LWL-Innovationen fürs Rechenzentrum

LWL-Innovationen fürs Rechenzentrum

Lesen Sie, welche Kriterien Glasfaserkabel in Data Center-Netzwerken einlösen müssen, um den Bedarf an Datenvolumen und Übertragungskapazitäten langfristig zu decken.

Power over Ethernet für das intelligente digitale Gebäude

Power over Ethernet für das intelligente digitale Gebäude

Lesen Sie in diesem Whitepaper über die Strategie, die Ethernet-Kupferkabel-Infrastruktur in modernen Gebäuden nicht nur für Daten-Kommunikation, sondern auch zur Stromversorgung zu nutzen.