Anlagen bestehen in der automatisierten Fertigung oder der Prozessindustrie aus zahlreichen Einzelmaschinen. Das Management initialisiert Digitalisierungsprojekte wie z. B. Prozessoptimierung, Steigerung der Prozesstransparenz, Energiemanagement usw. Dadurch wandeln sich die Anforderungen an die Netzwerkkommunikation und deren Sicherheit. Nach aktuellem Stand wird die IEC 62443, Teil 3-3 („Anforderungen an die Systemsicherheit und Sicherheitsstufen“) über den Anhang III 1.1.9 auch in die Maschinenverordnung eingehen und die Voraussetzungen für eine sichere Kommunikation schaffen. Unabhängig davon sind schon jetzt die Verordnungen der Richtlinie hilfreiche Vorgaben, um Security in einem OT-Netzwerk zu gewährlisten. Es ist davon auszugehen, dass schon bald von Anlagenbauern und -betreibern mehr Netzwerk-Know-how gefordert wird. Oder sie holen sich, wie auch beim Maschinenbau, externe Expertise ins Haus.

Security-Konzepte in der Anlagenplanung

OT-Security ist nichts, was man nach Fertigstellung einer Anlage einfach noch überstülpen könnte. Vielmehr betrifft das Thema die Anlage bei jeder verbauten Komponente und bis in die Tiefe der physikalischen Netzwerkstruktur. Cybersecurity muss daher von Anfang an eingeplant werden. Dazu sieht die IEC 62443 verschiedene Security-Konzepte vor, die die eingesetzte Hardware und Systeme ebenso betreffen wie Prozesse im Unternehmen und den Reifegrad der Organisation, sprich das Verständnis der Mitarbeiter für die vorhandenen Prozesse und das Wissen darum, was im jeweiligen Problemfall zu tun ist.

Rogèr Costa, Leiter Marketing bei Indu-Sol, erklärt: „Ein Netzwerk, das aus welchen Gründen auch immer nicht zuverlässig funktioniert, hat stets auch Einfluss auf die Sicherheit der gesamten Anlage. Wir können mit unseren Tools transparent machen, was im Netzwerk los ist. Gerade auch in Bezug auf Security von Netzwerken können wir Anlagenbauer und -betreiber in den Bereichen Hardware und Systeme sowie bei dem Reifegrad der Organisation über entsprechende Systemschulungen unterstützen.“

Netzwerk im Anlagen-Lebenszyklus

Wer OT-Security in Anlagen einplant, sollte das auch beim Netzwerk tun. Sowohl bei der Anlagenplanung als auch im späteren Betrieb sind Experten für Netzwerktechnik gefragt, welche in der Praxis nicht leicht verfügbar sind. Hier kann es sinnvoll sein, bereits ab der ersten Phase des Anlagenlebenszyklus das Thema Netzwerk an externe Dienstleister auszulagern. Das bringt den zusätzlichen Vorteil, dass es bei der Übergabe der fertiggestellten Anlage von Anlagenbauer an den Anlagenbetreiber nicht zu einem Zuständigkeitswechsel bei der Netzwerktechnik kommt.

Netzwerkexperten können bereits in der Phase der strategischen Planung beratend unterstützen. In der Phase von Umsetzung und Aufgabenstellung übernehmen sie dann die Netzwerkplanung. Bei der Einrichtung und Inbetriebnahme kümmern sie sich um die Netzwerkabnahme, im laufenden Betrieb über entsprechende Service-Level Agreements um Condition Monitoring und Predictive Maintenance. Wo es in Anlagen zum Retrofit kommt, stehen sie ebenfalls beratend zur Seite und helfen beim Netzwerkumbau.

Tools mit integrierter Expertise

Die Zeiten, in denen OT-Netzwerke noch vom Rest der Welt unabhängige Inseln waren, sind weitestgehend vorüber. Zu groß die Vorteile, die sich durch konvergente Netzwerke und direkten Zugriff auf die Smart-Sensor-Daten der Maschinen und Anlagen ergeben. Zunehmend sind intern daher OT-Netzwerke mit der IT-Ebene verknüpft. Costa sagt: „Das heißt dann aber auch, dass jede Komponente, in der eine CPU verbaut ist, angreifbar ist. Damit ist das Thema OT-Security stark mit der eingesetzten Hardware verwoben. Der Clou ist, dass unsere Lösungen, die sich in den vergangenen Jahren für den zuverlässigen Betrieb von Netzwerken mit dem Schwerpunkt auf Predictive Maintenance bewährt haben, auch zur Überwachung der Netzwerksicherheit eignen. Wir sprechen daher inzwischen bei unserem System von einem CM&SM, einem Condition Monitoring & Security Management System.“

Um OT-Security zu gewährleisten, stellt die IEC 62443-3-3 verschiedene Anforderungen, die letzten Endes die Voraussetzung für das Verteidigungsprinzip „Defense in Depth“ liefern. Die Forderungen beziehen sich auf Identifizierung bzw. Authentifizierung, Nutzungskontrolle, Systemintegrität, Vertraulichkeit der Daten, eingeschränkten Datenfluss, rechtzeitige Reaktion auf Ereignisse sowie die Verfügbarkeit der Ressourcen. Jede dieser sieben Anforderungen braucht verschiedene Tools bzw. Maßnahmen, um sie zu realisieren. Die verschiedenen Lösungen von Indu-Sol können in ganz unterschiedlichen Bereichen helfen. Dazu einige Beispiele: Ein initialer Topologie-Scan zur Identifizierung bzw. Authentifizierung von OT-Netzwerken sowie ein wiederkehrender Scan lassen sich bspw. mit Condition Monitoring & Security Management System realisieren und verwalten. Die Tools der Netzwerkexperten prüfen die Datenkommunikation auf unerwünschte Veränderungen, setzen Verschlüsselungsmethoden zur sicheren Datenübertragung ein, segmentieren aus Sicherheitsgründen einzelne Netzwerkbereiche, sorgen für kontinuierliche Datenüberwachung und automatisierte Alarmierung oder helfen bei der Sicherung und Wiederherstellung von Gerätekonfigurationen.

„Mit den Forderungen der IEC 62443 und bald auch mit der neuen Maschinenverordnung liegt künftig ein stärkerer Schwerpunkt auf der OT-Sicherheit industrieller Kommunikationsnetze. Dafür braucht es Lösungen in Form von Komponenten, unterstützenden Systemen aber auch Fachkräfte oder Dienstleister mit dem entsprechenden Know-how“, betont Costa.

Autorinnen:

   Denise Fritzsche, Marketing, Indu-Sol

   Nora Crocoll, Fachjournalistin, Redaktionsbüro Stutensee für Indu-Sol