Produktivität verbessern, industrielle Prozesse vereinfachen, neue Geschäftsmodelle etablieren; dies sind nur einige der zahlreichen Möglichkeiten, die das IIoT eröffnet. Um aber das Potenzial voll auszuschöpfen, sind vormals isolierte Systeme nun über private oder öffentliche Netzwerke verbunden. Damit sind sie aber nicht mehr immun gegen Cyberbedrohungen von außen.
Die schlechte Nachricht: Lücken in der Software einfach per Patch zu schließen oder die Hardware mittels Upgrades auf den aktuellen Sicherheitsstand zu bringen, reicht bei IoT-Geräten nicht aus.
Die gute Nachricht: Es gibt Experten, die Sie bei der Optimierung der Cybersicherheit in Ihrem industriellen Netzwerk unterstützen.
Industrielle Steuerungssysteme können einen Defense-in-Depth-Ansatz anwenden, um kritische Geräte zu schützen und verschiedene Standorte, Gerätezellen, Funktionszonen und Fabrikstandorte in Ihrem Automatisierungsnetzwerk zu sichern. Defense-in-Depth-Cybersecurity umfasst drei Arten von Kontrollen: physische, technische und administrative. Zunächst implementieren Sie physische Kontrollen, indem Sie Ihr Netzwerk segmentieren und Grenzen zwischen den einzelnen Segmenten schaffen. Als Nächstes wenden Sie technische Kontrollen an, indem Sie den Netzwerkverkehr sichern oder Datenpakete filtern. Und schließlich erhöhen Sie die administrative Sicherheit, indem Sie IP-Adressen verwalten und strenge Sicherheitsrichtlinien einführen. Sichere Router und Firewalls bieten eine hervorragende Möglichkeit, eine umfassende Cybersicherheit in Ihrem Netzwerk zu erreichen. Doch wie wählen Sie den richtigen Router oder die richtige Firewall für Ihre industrielle Anwendung aus? Hierbei sollten Sie im idealerweise folgende Kriterien berücksichtigen:
Die Absicherung Ihres industriellen Automatisierungsnetzwerks ist nicht länger eine Option - es ist ein Muss. Doch wie schützen Sie Ihr Unternehmen und Ihre Anlagen vor Cyber-Bedrohungen und halten gleichzeitig den industriellen Betrieb aufrecht?
Bei der Netzwerksegmentierung wird das Netzwerk mit Hilfe von industriellen Firewalls in physische oder logische Zonen aufgeteilt. Eine Firewall ist ein Gerät zur Zugriffskontrolle, das ein IP-Paket untersucht, es mit vorkonfigurierten Regeln vergleicht und entscheidet, ob das Paket zugelassen, verweigert oder eine andere Aktion durchgeführt werden soll. Im Allgemeinen können Firewalls entweder geroutet oder transparent sein, und der Typ, den Sie benötigen, hängt von den Anforderungen Ihrer Anwendung ab. Im Gegensatz zu gerouteten Firewalls können Sie bei transparenten Firewalls das gleiche Subnetz beibehalten, so dass Sie problemlos Firewalls zu einem bestehenden Netzwerk hinzufügen können.
Mit transparenten Firewalls müssen Sie auch die Netzwerktopologie nicht ändern. Transparente Firewalls eignen sich für den Schutz kritischer Geräte oder Anlagen innerhalb eines Kontrollnetzwerks, bei dem der Netzwerkverkehr innerhalb eines einzigen Subnetzes ausgetauscht wird. Außerdem müssen Sie keine IP-Subnetze neu konfigurieren, da transparente Firewalls nicht am Routing-Prozess teilnehmen.
Firewalls sind so etwas wie Torwächter. Leider können Eindringlinge auch in einem segmentierten Netzwerk durch die Tore gelangen. So passiert es zum Beispiel immer wieder, dass innerhalb von normal aussehenden Bild-Dateien Passwörter transportiert werden, die von Ihrer SPS zwar nicht verwertet, von der Firewall aber problemlos durchgelassen und von unvorsichtigen Mitarbeitern geöffnet werden. Solche Informationen können z. B. auch innerhalb eines verschlüsselten Datenaustauschs über SSH platziert werden. So können nicht nur Passwörter, sondern jede Art von Schadsoftware transportiert werden. Ein unbedachter Klick kann hier bereits genügen, großen Schaden anzurichten.
Deshalb müssen Sie den Datenverkehr, der durch die von Ihnen eingerichteten Gates läuft, ständig überprüfen und vor versteckten Bedrohungen durch z. B. unlesbare Datenpunkte schützen. Unerwünschte Befehle wie Schreib- oder Konfigurationsbefehle herauszufiltern verhindert, dass industriell geeignete Router und Firewalls plötzlich ausfallen.
Daher ist es wichtig, dass industrielle sichere Router und Firewalls die Filterung von Industrieprotokollen auf der Befehlsebene (Lesen, Schreiben usw.) unterstützen, denn nur so ermöglichen Sie eine feinkörnigere Whitelisting-Kontrolle. Wenn Sie die Übertragung vertraulicher Daten absichern möchten, sollten Sie den Aufbau von sicheren Tunneln für die Kommunikation zwischen den Standorten in Betracht ziehen. In einigen Szenarien wird die Kommunikation über öffentliche oder nicht vertrauenswürdige Netzwerke definitiv eine sichere verschlüsselte Datenübertragung erfordern. Unter solchen Umständen sollten Sie bei der Auswahl Ihrer industriellen Sicherheitsrouter und Firewalls auch die VPN-Fähigkeit berücksichtigen.
In industriellen Anwendungen können eine Vielzahl von Firewalls installiert sein, die den Datenverkehr kontrollieren und Ihre Feldgeräte vor bösartigen Angriffen schützen. Darüber hinaus befindet sich oft eine nahezu unüberschaubare Anzahl von IP-Adressen im Netzwerk. Da die Netzwerke kontinuierlich wachsen und erweitert werden müssen, wird die Verwaltung aller Geräte, Firewall-Regeln und IP-Adressen immer komplizierter. Wenn Sie sichere Industrierouter und Firewalls einsetzen, kommt Network Address Translation (NAT) ins Spiel. NAT ermöglicht die Wiederverwendung von Maschinen-IP-Adressschemata im selben Netzwerk und die Verbindung mehrerer Geräte mit dem Internet unter Verwendung einer geringeren Anzahl von IP-Adressen. Dies reduziert nicht nur den Wartungsaufwand und den administrativen Overhead erheblich, sondern ermöglicht auch eine einfache Netzwerksegmentierung. Darüber hinaus erhöht es die Sicherheit für private Netzwerke, da die interne Adressierung vom externen Netzwerk getrennt bleibt.
Wenn Sie den richtigen Router oder Firewall gefunden haben, ist bereits einer der wichtigsten Schritte zur Sicherheit Ihres industriellen Netzwerks getan. Ein hoch integrierter industrieller Multiport-Secure-Router mit Firewall/NAT/VPN- und Managed-Layer-2-Switch-Funktionen, wie z. B. die » Moxa EDR-810-Serie, bietet alles, was Sie brauchen. Dennoch sollte die Lösung, für die Sie sich letztendlich entscheiden, zu Ihren spezifischen Anwendungsanforderungen passen.
Unsere Experten stehen Ihnen bei allen Fragen rund um ein sicheres IIoT zur Verfügung. Wir freuen uns auf Ihre Kontaktaufnahme unter support@yello-net.de.