Industrielle Netzwerksicherheit: Schutz und Kontrolle für Betriebsumgebungen

Sicherheit industrieller Netzwerke

Noch nie war Cybersicherheit auf OT-Ebene in der Fertigungsindustrie und anderen kritischen Infrastrukturen so wichtig wie heute. Das ist die Kehrseite der zunehmenden Digitalisierung und Vernetzung. Eine effektive Segmentierung ist der Schlüssel zur Vermeidung von Ausfallzeiten und zur Reduzierung von Risiken in Fabriken und kritischen Systemen.

Cybersicherheit auf OT-Ebene
Fertigungsindustrie braucht Cybersecurity
OT ist nicht nur eine weitere Version der IT

Trends & Herausforderungen

Das Weltwirtschaftsforum hebt die Fertigung als das Hauptziel für Cyberangriffe hervor, die zu erheblichen Betriebsstörungen führen. Mit neuen Vorschriften wie NIS2 und Standards wie ISA/IEC 62443 stehen Unternehmen unter dem Druck, die Netzwerksicherheit zu verbessern, insbesondere in Betriebsumgebungen (OT), in denen Netzwerke offener und anfälliger sind. Das Purdue-Modell, das die IT von der OT trennen soll, ist oft nicht ausreichend implementiert, was die Systeme anfälliger macht und zu längeren Ausfallzeiten und Wiederherstellungen führt.

Lösungen für industrielle Netzwerksicherheit
Anwendungsfälle

Sicherheitslösungen für industrielle Netzwerke

Anybus ist die weltweit am weitesten verbreitete Produktmarke für die Anbindung industrieller Netzwerke. Anybus-Geräte ermöglichen die Kommunikation zwischen Maschinen und Netzwerksegmenten. Sie bieten damit eine bessere Kontrolle und und sorgen dafür, dass industrielle Netzwerke geschützt und für einen unterbrechungsfreien Betrieb optimiert bleiben.

IEC 62443
ISA/IEC 62443 Zonen und Leitungen

Robuste Netzwerksegmentierung

Eine große automatisierte Fabrik sollte ihre Maschinen und Produktionslinien in separate Zonen unterteilen und aus Sicherheitsgründen Firewalls und Gateways dazwischen verwenden. Dies basiert auf dem Modell ISA/IEC 62443, das Risiken und potenzielle Auswirkungen reduziert. Der vertikale Datenverkehr wird von industriellen Firewalls verwaltet, die die gesamte Kommunikation überwachen und steuern, während der horizontale Datenverkehr von Gateways abgewickelt wird, die nur industrielle Protokolldaten zulassen und die andere IP-Kommunikation zwischen den Zonen blockieren.

Produktreihe Anybus Defender
Vermeidung von Adresskonflikten

Einfaches NAT und Schutz

Die effiziente Verwaltung von IP-Adressen durch eine sorgfältige Implementierung der Network Address Translation (NAT) und Routing-Szenarien ist für betriebliche Netzwerke von entscheidender Bedeutung. Darüber hinaus können Strategien zur Filterung des Datenverkehrs angewendet werden, um zu steuern, welcher Datenverkehr passieren darf und welcher blockiert werden sollte.
Die Produktreihe der Anybus Defender bietet einfache Setup-Tools, um robuste, sichere Netzwerke mit aktiviertem NAT zu erstellen. 

Cybersicherheit für industrielle Netzwerke
Deep Packet Inspection (DPI)

Schutz kritischer Assets

Für Anlagen, die für den Betriebsprozess von entscheidender Bedeutung sind, können tiefgreifende Inspektionsfunktionen erzwungen werden. Die Funktion namens Deep Packet Inspection ist in der Lage, das Protokoll auf Benutzerebene zu entschlüsseln und genau festzulegen, welche Betriebsabläufe zulässig sind und welche blockiert werden sollten. Auf diese Weise können Sie z.B. SPS-Schreibanfragen blockieren und gleichzeitig das Lesen zulassen. Ein Anybus Defender kann den aufgezeichneten Datenverkehr selbst dekodieren, um automatisch einen DPI-Regelsatz für industrielle Protokolle zu erstellen.

Cybersicherheit-alles-im-Blick

Sicheres WAN für OT

In verteilten Umgebungen wie z. B. Wasseraufbereitungsanlagen müssen einzelne Standorte vor externen Eindringlingen geschützt werden. Darüber hinaus muss eine sichere Verbindung mit der zentralen Leitstelle aufrechterhalten werden. Ein in den Anybus Defender integriertes OT-SDWAN kann dies mit modernen VPN-Technologien wie WireGuard© problemlos ermöglichen, die alle zentral über die Anybus Cybersecurity Console verwaltet werden.

Video Podcast

HMS TechTalk

In diesem Interview spricht Thomas Vasen, Business Development Manager für Netzwerksicherheit bei Anybus, über die wachsenden Herausforderungen der Cybersicherheit in industriellen Umgebungen.
Er hebt hervor, wie die zunehmende Digitalisierung industrieller Netzwerke das Risiko von Cyberangriffen erhöht hat, insbesondere mit dem Wechsel von älteren seriellen Netzwerken zu Ethernet-basierten Systemen. Vasen unterstreicht die Bedeutung der Netzwerksegmentierung, um die Auswirkungen von Cybervorfällen zu begrenzen und die Betriebskontinuität zu schützen. 

Fragen und Antworten

Wie ist der aktuelle Stand der industriellen Netzwerksicherheit?
Der Zustand der industriellen Netzwerksicherheit ist besorgniserregend, da die Fertigung heute ein Hauptziel für Cyberkriminelle ist. Mit der zunehmenden Digitalisierung industrieller Systeme und der Umstellung von traditionellen Feldbussen auf Ethernet-Netzwerke hat sich die Bedrohungsfläche vergrößert und die betrieblichen Steuerungsnetzwerke anfälliger für Angriffe gemacht.

Was können Unternehmen tun, um ihre Netzwerksicherheit zu verbessern?
Unternehmen sollten sich auf die Netzwerksegmentierung konzentrieren, bei der das Netzwerk in separate Zonen unterteilt wird, um die Ausbreitung und die Auswirkungen von Cybervorfällen zu begrenzen. Diese Methode, die von ISA/IEC 62443 inspiriert ist, reduziert das Risiko, indem sie den Datenverkehr zwischen Zonen kontrolliert und Sicherheitsmaßnahmen wie Firewalls implementiert.

Wie hilft der Anybus Defender bei der OT-Sicherheit?
Der Anybus Defender wurde speziell für OT-Umgebungen entwickelt. Er arbeitet nach dem "Deny by Default"-Prinzip und vereinfacht den Prozess der Deep Packet Inspection für Industrieprotokolle, indem er nur autorisierten Datenverkehr zulässt. Er arbeitet auch mit einer unbefristeten Lizenz, die einen langfristigen Schutz ohne das Risiko von Ausfallzeiten aufgrund von Abonnementabläufen gewährleistet.

Warum gibt es einen Unterschied in den Prioritäten zwischen IT- und OT-Sicherheit?
Im IT-Bereich liegt der Fokus auf Vertraulichkeit, während im operativen Bereich Verfügbarkeit und Betriebszeit im Vordergrund stehen. Betriebsleiter kümmern sich eher darum, dass die Produktion reibungslos läuft, während IT-Teams sich auf den Datenschutz konzentrieren. Dieser Unterschied bedeutet, dass für die OT-Sicherheit spezielle Lösungen erforderlich sind, die die Betriebszeit in den Vordergrund stellen und gleichzeitig einen starken Schutz gewährleisten.

Schutz vor Cyberangriffen auf die industrielle Automatisierung

Angesichts der zunehmenden Berichte über Cyberangriffe auf die Industrie erläutert Thomas Vasen, Anybus Business Development Manager Network Security bei HMS Networks, fünf Strategien, mit denen Unternehmen ihre industriellen Netzwerke besser vor Cyberangriffen schützen können.

Anybus-Broschüre "Industrial Network Security"

Erfahren Sie mehr über das Anybus-Produktportfolio und die Bedeutung von Cybersicherheit in industriellen Netzwerken.

Sensibilisierung für das Thema & Schulung

Unsere Schulung "Industrial Security Awareness" stattet Sie mit dem Wissen und den Fähigkeiten aus, um Bedrohungen zu erkennen und zu entschärfen und die Sicherheit Ihrer physischen und Cyber-Umgebungen zu gewährleisten.

Webinare

Nehmen Sie an unserer Webinar-Reihe teil, um mehr über die neuesten Vorschriften, technologischen Fortschritte und Cybersicherheitstrends zu erfahren, die die OT-Ebene verändern werden. Erfahren Sie, wie Strategien wie Defense-in-Depth, IT/OT-Trennung und Segmentierung industrieller Netzwerke effektiv vor Cyberbedrohungen schützen können.