Folgender Dialog hat sich schon sehr oft ergeben: „Was machen Sie im Bereich der IT Security in der Produktion?“ „Wir setzen eh Firewalls und VPN (Virtual Private Networks) zum Schutz und Absicherung ein!“. "Das reicht aber nicht aus!“ – „Und warum nicht?“ „Weil ein System-Management fehlt, keinerlei Kontrolle über die Datenverbindungen möglich ist und Angriffe nicht erkannt werden!“
Es beginnt bei der nicht mehr statischen Produktion. Die Anforderungen im Kontext Industrie 4.0, MES, Historian, verteilte Produktion, Wartungsservices vom Hersteller und vielem mehr steigen fast täglich. Der Informationsbedarf ist riesig und der Echtzeit-Datenaustausch wird ungebremst gefordert. Und da kommen die Lücken im System ins Spiel: Firewall und VPN.
- In den wenigsten Firmen gibt es einen eindeutigen und kontinuierlichen Prozess, um Änderungen in der Konfiguration der Firewall oder auf dem VPN Einwahlrouter zu beantragen und nachvollziehbar zu dokumentieren. Beispiele gefällig?
- Ein neues System wird hinzugefügt, neuer Datenaustausch ist gefordert. Oder die Wartung am Wochenende: Es müssen schnell mal eben neue Kommunikationsverbindungen freigeschalten werden. Oder der Systemintegrator hilft bei der Fehlersuche beziehungsweise der Hersteller benötigt seinen Wartungszugang?
Conclusio: freigeschalten wird schnell. Aber leider ist die Anzahl der installierten Firewalls und VPN-Router ohne sichere Einrichtung oder kontinuierlichem Management immer noch hoch - vermutlich sehr hoch.
TIPP: Kontrollieren, wer durch die Firewall und über VPN kommuniziert hat? Und welche Kommunikation von der Firewall blockiert wurde?
Es gibt aber noch eine zweite, viel kritischere Entwicklung, warum Firewall und VPN nicht ausreichen: Angriffe werden nicht mehr nur von außen über den geschützten Internetzugang ausgelöst, sondern oft werden die Angriff intern gestartet. Viele Angriffsmethoden umgehen die vermeintliche Sicherheit gezielt, z. B. durch „drive by“ (der Schadcode wird quasi „huckepack“ in zugelassenen Verbindungen mit transportiert) und passiert, die vermeintlich sicheren Grenzen, ungehindert. Alle Kommunikations-Protokolle lassen sich standardmäßig und normkonform für den Transport von Schadsoftware und manipulativen Befehlen nutzen.
Fazit: Firewalls und VPN sind wichtig, jedoch als ausschließliche Security Komponentne grob fahrlässig.
Machen Sie es den Angreifern daher nicht zu einfach. Setzen Sie IRMA® ein. IRMA® ist eine OT-Security Appliance für das Monitoring und die Anomalieerkennung in vernetzten Automatisierungen, Produktionsanlagen und kritischen Infrastrukturen.
Weiterführender Link: