Cybersicherheit : Cybersecurity in der Digital Enterprise: Wie Siemens Sicherheit und nahtlose Datenflüsse vereint
Datensicherheit und offene Systeme müssen kein Widerspruch sein. Aber Cybersecurity ist keine einmalige Lösung, sondern ein kontinuierlicher Prozess. Mehrere Verteidigungsschichten müssen um ein Unternehmen und seine Systeme errichtet werden, um es wirksam zu schützen. Siemens hat dafür ein mehrschichtiges Sicherheitskonzept entwickelt, das Anlagen umfassend schützt, wie es die internationale Norm IEC 62443 empfiehlt. Es ist speziell für Anlagenbetreiber, Integratoren und Komponentenhersteller interessant und dreilagig aufgebaut. Gestartet wird bei der physischen Sicherheit, und zwar mit einem angemessenen Zugangsschutz, um Unbefugte von kritischen Komponenten fernzuhalten. In der mittleren Schicht werden sichere Kommunikationslösungen für Netzwerke installiert und die Verfügbarkeit sichergestellt. Die dritte Schicht verwendet Maßnahmen, wie Systemhärtung, Benutzer- und Patch-Management sowie Malware-Erkennung und -Prävention zum Schutz der Systemintegrität. Das Verteidigungskonzept „Defense in Depth“ deckt so alle sicherheitsrelevanten Aspekte der Cybersecurity ab.
Symposium Cybersecurity
NIS2 - die Netzwerk- und Informationssicherheits-Richtlinie 2 der Europäischen Union definiert Regeln zur Erhöhung der Cybersecurity in Europa und tritt in Österreich am 18. Oktober 2024 in Kraft. Ein Jahr vor der Einführung der NIS 2 lädt Siemens zu einer Informationsveranstaltung in Linz.
Ist Ihr Unternehmen davon betroffen? Informieren Sie sich rechtzeitig beim Symposium Cybersecurity!
- Wann? 18. Oktober 2023, ab 10 Uhr
- Wo? Techbase Linz, Wolfgang-Pauli-Str. 2, 4020 Linz
Gleichgewicht zwischen Sicherheit und Offenheit
Das Erfolgsgeheimnis von Digital Enterprises ist der nahtlose Datenfluss zwischen allen Systemen. Um die Datensicherheit zu gewährleisten, erfolgt der Datenaustausch in einer Demilitarized Zone (DMZ). Dieser spezielle Bereich im Netzwerk kann von IT und OT angesprochen werden. Mittels der Siemens Secure Data Integration Layer, einer Softwarelösung, die alle Industrieschnittstellen zur Kommunikation in der OT zur Verfügung stellt, wird die IT über andere Schnittstellen (z. B. Datenbanken) verbunden. Wichtig ist, dass aus der DMZ keine direkten Verbindungen in die OT bestehen. Änderungen können niemals direkt durchgeführt werden, sondern werden über Jump-Hosts, also andere PCs, bewerkstelligt. Diese Jump-Hosts stehen unter ständiger Überwachung, alle Aktionen werden protokolliert. Obwohl die Arbeitsweise den Anschein des direkten Zugriffs vermittelt, wird immer nur "von außen", am Jump-Host gearbeitet.
Die Zellen werden zusätzlich so definiert, dass sie über einen gewissen Zeitraum autonom weiterarbeiten können und so einen Ausfall verhindern.Adrian Pinter
Schadsoftware in die Schranken weisen
Um Operating Systems gegen Cyber-Attacken abzusichern, fasst man verschiedene Bereiche nicht nach physischer Nähe, sondern nach Risiko zusammen. Das bedeutet, wenn eine Anomalie vorliegt, wird dieses Segment schnell von allen anderen Segmenten getrennt. So ist dafür gesorgt, dass sich die Ransomware nur in einem Sektor maximal ausbreiten kann. „Die Zellen werden zusätzlich so definiert, dass sie – zumindest über einen gewissen Zeitraum – autonom weiterarbeiten können und so einen Ausfall verhindern“, erläutert Pinter. Denn bei industriellen Systemen sei das Gefahrenpotenzial auf andere Art strukturiert als bei der klassischen Unternehmens-IT. Durch den Ausfall von Maschinen und Anlagen können erhebliche finanzielle Schäden entstehen und Menschen in Gefahr geraten.
Integration von Bestandsmaschinen
Altsysteme in die Digital Enterprise zu integrieren, ist eine komplexe Herausforderung. In der Produktion herrschen nämlich nicht nur für die Kommunikation Echtzeitanforderungen, sondern die Systeme müssen rund um die Uhr verfügbar sein. Service-Zeiten für Updates fallen daher aus. „Es gibt Systeme, wie z.B. Farbkalibrieranlagen, die bis zu vierzig Jahre im Einsatz sind“, erklärt der Security-Experte von Siemens. „Solche Altsysteme können nicht mittels Virenscanner geschützt werden, denn es steht nicht genug Hauptspeicher zur Verfügung, um den Scanner parallel laufen zu lassen.“ In diesen Fällen setzt man bei Siemens unter anderem auf Firewalls und Backup-Systeme. Mittels Datensicherung und Restore werden die Daten schnell wieder eingespielt und das System in den Zustand von vor der Attacke versetzt.
Zum Hacken zu zeitaufwendig
Zeit ist Geld – das gilt auch für Angreifer im Netz. „100 % Sicherheit gibt es nicht“, sagt Adrian Pinter. Das Konzept Defense in Depth deckt alle relevanten Aspekte der Cybersecurity ab. So müsste der Hacker viel mehr Zeit als bei anderen Systemen aufwenden, um zu seinem Ergebnis zu kommen. Abschließend meint der Experte dazu: „Da gibt es schnellere Möglichkeiten, um Ransomware zu installieren. So wird das Hacken unattraktiv“.