Industrial Security beschreibt den Schutz von Produktions- und Industrieanlagen vor absichtlich oder unabsichtlich herbeigeführten Fehlern. Früher war Security in Form von IT-Sicherheit Aufgabe der Informationstechnologie (IT). Heute sind auch Produktions- und Industrieanlagen stark mit der Informationstechnologie vernetzt. Angreifer können leichter in Automatisierungs- und Steuerungssysteme vordringen, diese manipulieren und sogar die Safety (Maschinensicherheit) beeinträchtigen. Damit müssen sich nun auch Mitarbeiter, die keine IT-Experten sind, mit potenziellen Bedrohungen auseinandersetzen. Industrial Security befasst sich mit der Sicherheit von Steuerungsnetzwerken von Produktions- und Industrieanlagen in den Bereichen Fabrikautomation und Prozesssteuerung.
Industrial Security
Industrial Security für Industrieanlagen
Ziele der Industrial Security
Ziel der Industrial Security ist es die Verfügbarkeit von Maschinen und Anlagen, sowie die Integrität und Vertraulichkeit von maschinellen Daten und Prozessen zu gewährleisten. Angreifer nutzen häufig bestehende Schwachstellen, um in Steuerungsnetzwerke einzudringen oder den Ablauf der Prozesse zu stören. Damit Angreifern der Zugriff auf das Steuerungsnetzwerk verwehrt bleibt, müssen mögliche Schwachstellen zeitnah erkannt und behoben werden. Gelingt es Angreifern, eine Schwachstelle auszunutzen, kann dies verheerende Folgen für das Unternehmen haben. Das geht vom Stillstand der Produktion bis hin zur Gefahr für Menschen, wenn Sicherheitsmaßnahmen gezielt manipuliert wurden. Dem beugt die Application Firewall SecurityBridge vor. Sie schützt im Steuerungsnetzwerk die Verbindungen von den Diagnose- oder Konfigurationstools zu den Steuerungen vor Manipulation und ermöglicht geschützte Verbindungen zur Außenwelt. Die Daten werden nahezu verzögerungsfrei übertragen. Um Ihre Anlagen gegen unautorisierte Zugriffe abzusichern, können Sie das Zugangsberechtigungssystem PITreader einsetzen. Mit PITreader und den zugehörigen RFID-Transponderschlüsseln steuern Sie die Zugangsberechtigungen zuverlässig und individuell nach Ihren Vorgaben und Bedürfnissen.
Wissen zur gesetzlichen Lage in Europa und zum Prinzip Industrial Security
Pilz Product Security Incident Response Team (PSIRT)
Für unsere Produkte und Dienstleistungen gelten höchste Qualitätsanforderungen. Aus diesem Grund berücksichtigen wir Security bereits während der Entwicklung unserer Produkte. Dennoch lassen sich Sicherheitslücken in Software nicht zu 100 % vermeiden. Daher nehmen wir Meldungen zu möglichen Schwachstellen sehr ernst. Nur so ist es uns möglich, die Qualität unserer Produkte weiterhin auf einem hohen Niveau zu halten. In Form von Security Advisories gibt das Pilz PSIRT Handlungsempfehlungen bekannt, mithilfe derer Sie Schwachstellen beheben können.
Im Pilz PSIRT bearbeiten und bewerten unsere Security-Spezialisten alle Meldungen zu möglichen Security-Schwachstellen unserer Produkte.
Sechs Tipps für mehr Industrial Security
Weil Security keine physikalische Größe ist, sondern ein „Moving Target“, müssen die Maßnahmen gegen Cyberbedrohungen ständig aktualisiert werden. Die Verantwortung dafür liegt in erster Linie bei den Anlagenbetreibern, für die Datensicherheit zugleich Investitionsschutz bedeutet. Als Faustformel gilt, dass grundsätzlich alle Geräte, die einen Ethernet-Anschluss haben, gefährdet sind.
Folgende Strategien, helfen Ihnen Security im Unternehmen umzusetzen:
1. Defense in depth: Dieses Prinzip beruht darauf, Eindringlingen immer neue und andere Hindernisse in den Weg zu legen. So wird Angreifern der Weg zum Ziel erschwert. Der Clou ist hierbei auf möglichst vielen Ebenen, möglichst viele Hindernisse zu schaffen.
2. Organisatorische Maßnahmen: Es ist wichtig, dass alle Mitarbeiter eines Unternehmens Security verinnerlichen. Dazu sollten Sie interne Richtlinien aufstellen, die sowohl für alle Mitarbeiter als auch für Partner wie etwa Gerätehersteller und Dienstleister gelten. Eine für Security verantwortliche Person sollte die Einhaltung dieser Richtlinien unterstützen und prüfen.
3. Schulungen: Da nicht jeder IT-Experte sein kann, sollten Sie regelmäßige Security-Schulungen für Ihre Mitarbeiter anbieten. Die Seminare von Pilz, die sowohl am Stammsitz in Ostfildern bei Stuttgart als auch bei Kunden oder – in komprimierter Form – als Web-Seminar veranstaltet werden, richten sich an Maschinenkonstrukteure und Anlagenplaner.
4. Segmentierung „Zones and Conduits“: Zonen mit Geräten ähnlicher Security-Anforderungen sollten Sie durch Firewalls oder sichere Router gegeneinander abschotten. So können über die Leitungen (Conduits) zwischen den Zonen nur die Geräte senden und empfangen, die auch wirklich dazu berechtigt sind.
5. Firewalls: Obwohl auch Router und Switche Sicherheitsmechanismen unterstützen können, sollten Sie in Ihrem Steuerungsnetzwerk zusätzlich auf Firewalls setzen (industrielles Kommunikationsnetz). Die Application Firewall SecurityBridge schützt die sichere Steuerungstechnik von Maschinen und Anlagen bspw. vor Manipulation von Prozessdaten.
6. Patchmanagement: Ein Patchprozess hilft Ihnen rollenspezifische Verantwortlichkeiten zu definieren. Zudem sollte er nicht nur vom Hersteller freigegebene Patches und Updates, sondern auch Drittanbietersoftware berücksichtigen (z. B. Büroanwendungen, PDF-Reader).
Industrial Security Schulung von Pilz
Angriffe von extern sorgen immer wieder für Schlagzeilen. Interne Angriffe aus dem Unternehmen selbst werden häufig unterschätzt. Sie können allerdings ebenso schwerwiegende Folgen haben und z.B. zum Ausfall von Netzwerken oder zur Verbreitung sensibler Informationen führen. Die meisten internen Angriffe geschehen unbeabsichtigt. Gründe sind vor allem falsch konfigurierte Geräte und Bedienfehler. Deshalb ist es essenziell das Sie und Ihre Mitarbeiter entsprechend geschult sind.
Wir bieten Ihnen und Ihren Mitarbeitern die passende Schulung zu Industrial Security an.
Wir sind Mitglied:
Mehr zu Industrial Security
Industrial Security in der Automatisierungstechnik
Die Welt der Automatisierung verschmilzt mit der IT-Welt. Dies stellt neue Herausforderungen sowohl an den Personenschutz (Safety) als auch an den Schutz der sensiblen Daten einer Maschine (Security). Sie müssen mit Blick auf den Safety-Aspekt prüfen, inwieweit Security-Themen die funktionale Sicherheit beeinflussen. Im Interview erklärt Harald Wessels, Product Manager, Product and Technology, Pilz GmbH & Co. KG warum die Bedeutung von Industrial Security steigt, wie Safety und Security zusammenhängen und welchen Herausforderungen wir uns in der Zukunft stellen müssen.
Normative Grundlagen von Industrial Security
Wenn Mensch und Roboter Hand in Hand arbeiten und die Welt der Automatisierung mit der IT-Welt verschmilzt, steigen die Sicherheitsanforderungen. Mensch und Maschine, aber auch Daten und Know-how müssen verlässlich vor Gefahren, unbefugtem Zugriff und Missbrauch geschützt werden. Im Interview beantwortet Bernd Eisenhuth, CMSE, Customer Support, Pilz GmbH & Co. KG, welche normativen Grundlagen es für die Industrial Security gibt und welchen Anforderungen Industrial Security entsprechen muss.
Wie man Security-Lücken umgeht
Security-Lücken in der Automatisierung können verheerende Folgen nach sich ziehen. In diesem Interview warnt Frank Eberle, Software Developer Network Systems, Advanced Development, Pilz GmbH & Co. KG vor möglichen Gefahren, die von Security-Lücken ausgehen können. Schließlich zeigt er Lösungsansätze auf, wie die Lücken geschlossen werden können.
Sie haben noch Fragen zu Industrial Security?
Kontaktieren Sie unser Industrial Security Experten-Team!
Pilz lndustrieelektronik GmbH
Gewerbepark Hintermättli
5506 Mägenwil
Schweiz
Telefon: +41 62 889 79 30
E-Mail: pilz@pilz.ch
Gewerbepark Hintermättli
5506 Mägenwil
Schweiz
Telefon: +41 62 889 79 30
E-Mail: pilz@pilz.ch
Telefon: +41 62 889 79 32
E-Mail: techsupport@pilz.ch