www.konstruktion-industrie.com
30
'19
Written on Modified on
MEDIAWORLD
Industrial Security
Industrial Security für Industrieanlagen.
Früher war Security in Form von IT-Sicherheit Aufgabe der Informationstechnologie (IT). Heute sind auch Produktions- und Industrieanlagen stark mit der Informationstechnologie vernetzt.
Angreifer können leichter in Automatisierungs- und Steuerungssysteme vordringen, diese manipulieren und sogar die Safety (Maschinensicherheit) beeinträchtigen.
Damit müssen sich nun auch Mitarbeiter, die keine IT-Experten sind, mit potenziellen Bedrohungen auseinandersetzen.
Industrial Security befasst sich mit der IT-Sicherheit von Produktions- und Industrieanlagen in den Bereichen Fabrikautomation und Prozesssteuerung.
Ziele der Industrial Security
Ziel der Industrial Security ist es die Verfügbarkeit von Maschinen und Anlagen, sowie die Integrität und Vertraulichkeit von Daten und Prozessen zu gewährleisten.
Angreifer nutzen häufig bestehende Schwachstellen, um in Systeme einzudringen oder den Ablauf der Prozesse zu stören.
Damit Angreifern der Zugriff auf ein System verwehrt bleibt, müssen mögliche Schwachstellen zeitnah erkannt und behoben werden.
Gelingt es Angreifern, eine Schwachstelle auszunutzen, kann dies verheerende Folgen für das Unternehmen haben.
Das geht vom Stillstand der Produktion bis hin zur Gefahr für Menschen, wenn Sicherheitsmaßnahmen gezielt manipuliert wurden.
Dem beugt die Application Firewall SecurityBridge vor. Sie schützt die Verbindungen von den Diagnose- oder Konfigurationstools zu den Steuerungen vor Manipulation und ermöglicht geschützte Verbindungen zur Außenwelt.
Die Daten werden nahezu verzögerungsfrei übertragen. Um Ihre Anlagen gegen unautorisierte Zugriffe abzusichern, können Sie das Zugangsberechtigungssystem PITreader einsetzen.
Mit PITreader und den zugehörigen RFID-Transponderschlüsseln steuern Sie die Zugangsberechtigungen zuverlässig und individuell nach Ihren Vorgaben und Bedürfnissen.
Pilz PSIRT (Product Security Incident Response Team)
Für unsere Produkte und Dienstleistungen gelten höchste Qualitätsanforderungen. Aus diesem Grund berücksichtigen wir Security bereits während der Entwicklung unserer Produkte.
Dennoch lassen sich Sicherheitslücken in Software nicht zu 100 % vermeiden. Daher nehmen wir Meldungen zu möglichen Schwachstellen sehr ernst.
Nur so ist es uns möglich, die Qualität unserer Produkte weiterhin auf einem hohen Niveau zu halten. In Form von Security Advisories gibt das Pilz PSIRT Handlungsempfehlungen bekannt, mithilfe derer Sie Schwachstellen beheben können.
Im Pilz PSIRT bearbeiten und bewerten unsere Security-Spezialisten alle Meldungen zu möglichen Security-Schwachstellen unserer Produkte.
So erreichen Sie das Pilz PSIRT:
Die Security-Spezialisten des Pilz PSIRT bearbeiten und bewerten alle Meldungen zu möglichen Security-Schwachstellen von Pilz Produkten.
Wenn Sie Fragen zu Security haben, die unsere Produkte oder Infrastruktur betreffen, oder Sicherheitslücken melden möchten, wenden Sie sich bitte an unsere Security Experten des PSIRT.
Bitte benachrichtigen Sie das PSIRT auf Deutsch oder Englisch. Eine erste Reaktion können Sie typischerweise innerhalb von zwei Werktagen (CET) erwarten. Bitte senden Sie uns kritische Informationen verschlüsselt mit dem PGP Public Key.
Sechs Tipps für mehr Security
Weil Security keine physikalische Größe ist, sondern ein „Moving Target“, müssen die Maßnahmen gegen Cyberbedrohungen ständig aktualisiert werden.
Die Verantwortung dafür liegt in erster Linie bei den Anlagenbetreibern, für die Datensicherheit zugleich Investitionsschutz bedeutet. Als Faustformel gilt, dass grundsätzlich alle Geräte, die einen Ethernet-Anschluss haben, gefährdet sind.
Folgende Strategien, helfen Ihnen Security im Unternehmen umzusetzen:
1. Defense in depth: Dieses Prinzip beruht darauf, Eindringlingen immer neue und andere Hindernisse in den Weg zu legen. So wird Angreifern der Weg zum Ziel erschwert. Der Clou ist hierbei auf möglichst vielen Ebenen, möglichst viele Hindernisse zu schaffen.
2. Organisatorische Maßnahmen: Es ist wichtig, dass alle Mitarbeiter eines Unternehmens Security verinnerlichen. Dazu sollten Sie interne Richtlinien aufstellen, die sowohl für alle Mitarbeiter als auch für Partner wie etwa Gerätehersteller und Dienstleister gelten. Eine für Security verantwortliche Person sollte die Einhaltung dieser Richtlinien unterstützen und prüfen.
3. Schulungen: Da nicht jeder IT-Experte sein kann, sollten Sie regelmäßige Security-Schulungen für Ihre Mitarbeiter anbieten. Die Seminare von Pilz, die sowohl am Stammsitz in Ostfildern bei Stuttgart als auch bei Kunden oder – in komprimierter Form – als Webinar veranstaltet werden, richten sich an Maschinenkonstrukteure und Anlagenplaner.
4. Segmentierung „Zones and Conduits“: Zonen mit Geräten ähnlicher Security-Anforderungen sollten Sie durch Firewalls oder sichere Router gegeneinander abschotten. So können über die Leitungen (Conduits) zwischen den Zonen nur die Geräte senden und empfangen, die auch wirklich dazu berechtigt sind.
5. Firewalls: Obwohl auch Router und Switche Sicherheitsmechanismen unterstützen können, sollten Sie zusätzlich auf Firewalls setzen. Die Application Firewall SecurityBridge schützt die sichere Steuerungstechnik von Maschinen und Anlagen bspw. vor Manipulation von Prozessdaten.
6. Patchmanagement: Ein Patchprozess hilft Ihnen rollenspezifische Verantwortlichkeiten zu definieren. Zudem sollte er nicht nur vom Hersteller freigegebene Patches und Updates, sondern auch Drittanbietersoftware berücksichtigen (z. B. Büroanwendungen, PDF-Reader).
Industrial Security Schulung von Pilz
Angriffe von extern sorgen immer wieder für Schlagzeilen. Interne Angriffe aus dem Unternehmen selbst werden häufig unterschätzt.
Sie können allerdings ebenso schwerwiegende Folgen haben und z.B. zum Ausfall von Netzwerken oder zur Verbreitung sensibler Informationen führen.
Die meisten internen Angriffe geschehen unbeabsichtigt. Gründe sind vor allem falsch konfigurierte Geräte und Bedienfehler. Deshalb ist es essenziell das Sie und Ihre Mitarbeiter entsprechend geschult sind.
www.pilz.com
Fordern Sie weitere Informationen an…
