Ganzheitliche Betrachtung und praktische Lösungsansätze
Eine Referenzarchitektur zeigt die mehrschichtige Aufteilung in verschiedene Sicherheitsebenen nach dem Defense-in-Depth-Konzept auf. (Quelle: Phoenix Contact)
Mithilfe von Security-Routern können Maschinennetze innerhalb eines Produktionsnetzwerks segmentiert werden, um höchstmögliche Sicherheit zu erreichen. (Quelle: Phoenix Contact)
Insbesondere die Faktoren Zeit und Einsatzgebiet erhöhen die Notwendigkeit für betroffene Unternehmen, ihre Konzepte und Strukturen rechtzeitig an die resultierenden Anforderungen der neuen Regularien anzupassen. Aus Sicht eines Betreibers empfiehlt es sich, den Betrieb nach dem Defense-in-Depth-Konzept in verschiedene Sicherheitsebenen einzuteilen. Bei dieser gestaffelten Verteidigung wird zunächst die äußere Zone betrachtet, die den Zugriffsschutz auf das Unternehmensnetzwerk regelt. Sie lässt sich beispielsweise durch physische und digitale Isolierung mittels konfigurierbarer Firewalls schützen. Das untergliederte Produktionsnetzwerk kann durch Sicherheitsmaßnahmen, wie die Identifizierung aller Netzwerkgeräte, die Analyse des Datenverkehrs und die Implementierung eines Routings, abgesichert werden. Darüber hinaus sorgen organisatorische Maßnahmen wie ein Benutzermanagement für die Integrität des Systems. Zur Segmentierung einzelner Maschinennetzwerke sind die Schnittstellen und zugehörigen Sicherheitsmaßnahmen zu definieren.
Das Security-Niveau variiert je nach Anwendung und kann zuweilen nicht allein vom Maschinenhersteller ermittelt werden. Aus der Perspektive des Maschinenherstellers erscheint neben technischen Lösungen eine ganzheitliche Herangehensweise als zielführend. Diese erfolgt in Abstimmung mit den Betreiberanforderungen und Komponentenherstellern. Besonders bei der Integration in ein Fertigungsnetzwerk erweist sich die genaue Betrachtung der Anbindung als wichtig. In der abgebildeten Referenzarchitektur besteht eine Produktionslinie aus unterschiedlichen Maschinenmodulen mit mehreren Steuerungen, die untereinander Daten sicherheitsgerichtet austauschen. Im Rahmen der übergeordneten Kommunikation schützt ein Security-Router der Produktfamilie FL mGuard von Phoenix Contact vor unautorisierten Zugriffen. Im Fall eines erforderlichen Zugangs kann der Nutzer eine VPN-Verbindung aufbauen, die entweder beschränkt ist oder durch autorisiertes Personal per Freischaltung des am Security-Router befindlichen Schlüsselschalters umfassend sein kann.
Der in der IT bekannte Begriff der Systemhärtung wird damit vermehrt im Umfeld industrieller Systeme und Komponenten angewendet. Hier unterstützt die Normenreihe IEC 62443 ebenfalls beim sicheren Betrieb von industriellen Automatisierungssystemen. Während Komponentenhersteller die Cybersicherheit der Produkte verantworten, ist das sichere Zusammenwirken der Komponenten Aufgabe des Maschinen- und Anlagenbaus. Dem Betreiber obliegen schließlich die sicheren Betriebsabläufe.
Unterstützung bei der Umsetzung der neuen Anforderungen
Um bis zu den entsprechenden Stichtagen schlüssige und rechtskonforme Konzepte aufzusetzen, müssen sich die jeweils Verantwortlichen rechtzeitig mit den regulatorischen Anforderungen sowie möglichen Lösungsszenarien auseinandersetzen. Die potenziell weitreichenden Änderungen bedingen eine sorgfältige Planung. Abgesehen von den konstruktiven umfassen sie auch organisatorische Maßnahmen. Mit der langjährigen Erfahrung im Bereich der industriellen Kommunikation und Maschinensicherheit hilft Phoenix Contact bei der Umsetzung der neuen Anforderungen. Das Unternehmen verschafft den Herstellern, Maschinen- und Anlagenbauern sowie Betreibern so die bestmöglichen Voraussetzungen für einen ganzheitlichen und rechtskonformen Schutz ihrer Produkte und Anlagen gemäß MVO, NIS-2 und CRA.
Normenreihe IEC 62443 mit Defense-in-Depth-Konzept
Die IEC 62443 verfolgt als internationale Normenreihe das Ziel, den sicheren Betrieb industrieller Automatisierungssysteme zu unterstützen. Sie orientiert sich an der IT-Sicherheitsnorm ISO 27001 und richtet sich an Komponentenhersteller, Systemintegratoren und Betreiber. Die Untergliederung der Normenreihe umfasst die vier Bereiche Allgemein, Richtlinien, System und Komponente. Diese Bereiche bestehen aus mehreren Teilen und spezifizieren Kriterien für die jeweilige Zielgruppe. So ergeben sich beispielsweise für Gerätehersteller Definitionen zum Device- und Update-Management, zum User-Management und zur Implementierung von Open-Source-Code. Bei der Erfüllung der einzelnen Normenteile kann ein Unternehmen außerdem verschiedene Reifegrade, sogenannte Maturity Level, und Security Level erreichen. Im Allgemeinen richtet sich die IEC 62443 am mehrschichtigen Defense-in-Depth-Konzept aus. Durch die Staffelung unterschiedlicher Sicherheitsmechanismen hintereinander wird es Angreifern erschwert, in das System einzudringen.