Secure Industrial Visibility (SIV) für eine sichere, industrielle Infrastruktur

Aufbauend

Anzahl und Schwere der Cyberangriffe auf Fertigungseinrichtungen nehmen signifikant zu. Vor diesem Hintergrund hat G+D Mobile Security für seine eigenen Fertigungseinrichtungen (Herstellung von Banknoten, Bank-Karten, etc.) lange nach einem Security-Konzept gesucht. Letztendlich hat man sich zu einer Eigenentwicklung entschlossen. Diese Lösung wurde mittlerweile dem Markt verfügbar gemacht, und mehr als 60 internationale Kunden profitieren bereits davon. Hersteller erhalten so nicht nur Hilfestellung beim Aufbau von Cyber-Security, sondern auch ein geschütztes Framework für die Umsetzung von IoT-Lösungen im Industrieumfeld.

Mit einer digitalisierten Fertigung lässt sich die Produktivität in IIoT-Anwendungen um bis zu 30 Prozent steigern. Voraussetzung für die Digitalisierung ist jedoch ein durchdachtes, kosteneffizientes Security-Konzept. (Bild: Giesecke & Devrient)

Im Zuge der industriellen Digitalisierung und der zunehmenden Konnektivität von Maschinen wächst die Gefahr aus dem Internet für Produktionsumgebungen rasant. Herkömmliche Vorgehensweisen wie Antiviren-Software ist für die Sicherung von Industriemaschinen ungeeignet, da Updates Auswirkungen auf die maschineneigene Software haben können. Erschwerend kommt hinzu, dass bei den langen Produktlebenszyklen im Feld in manchen Fällen die Betriebssysteme industrieller Maschinen unzureichend aktualisiert werden. Alle entsprechenden Maschinen und Fertigungsgeräte auf den neusten Stand mit modernen, sicheren Betriebssystemen zu bringen, scheitert an den enormen Kosten. Hinter Secure Industrial Visibility (SIV) verbirgt sich eine smarte, kompakte Box mit sicherem Betriebssystem und einer Software, die den Fernzugriff auf einzelne Maschinen erlaubt und sie gleichzeitig vor Cyberattacken schützt. Dabei wird grundsätzlich das Produkt (Maschine) von der Security getrennt, indem eine zusätzliche Security-Komponente den Maschinen vorgeschaltet wird und eine Gateway-Funktion übernimmt (Bild 2). Damit entsteht eine kontrollierbare, sichere Schnittstelle. Mit SIV kann man Maschinen segmentieren, also mit einer Firewall regelrecht einkapseln. Die nun smarte Maschine erlaubt Aktualisierungen, Predictive Maintenance – also die vorausschauende Wartung – sowie als Option auch eine Anomalieerkennung (Anomaly Detection Service, ADS). Eine intelligente mit SIV und ADS ausgestattete Fabrik erkennt also eigenständig unberechtigte Zugriffe, weil sie lernt, normale Zugriffe von auffälligem Traffic zu unterscheiden. Hersteller müssen die Interaktion zwischen Maschinen, Produktionssteuerungssystemen und Personen allumfassend sichern.

Bis heute noch werden dazu üblicherweise VPN (Virtual Private Network)-Verbindungen eingesetzt, bei denen allerdings die IP-Adressen der Geräte ungeschützt im Internet aufscheinen. Im Gegensatz zu gängigen VPN-Verbindungen arbeitet SIV im ‚Stealth-Modus‘, das heißt, die IP-Adressen der Maschinen sind von außen nicht erkennbar. Damit wird die Angriffsfläche deutlich reduziert. SIV stellt eine sichere ‚Tunnelverbindung‘ (Bild 2) zwischen den vernetzten Endpunkten her, mit feingranularer Richtlinienverwaltung, die vollständig vom Anwender gesteuert wird. Hierzu ist lediglich ein gewöhnlicher Internetbrowser auf Client-Seite erforderlich – die IP-Adresse bleibt für das Internet unsichtbar. SIV schützt vor Cyberangriffen, entdeckt Angriffe, reagiert auf Angriffe und arbeitet vorausschauend. Auf die einzelnen Fertigungseinrichtungen wird über ein sicheres und intelligentes IoT-Gateway zugegriffen. SIV ist unabhängig vom Anbieter oder Maschinenhersteller einsetzbar und sichert sowohl bestehende (als Nachrüstoption) als auch neue Maschinen in Industrie-4.0-Umgebungen. Damit ist SIV in der Lage eine Vielzahl von Industrie-IT-Systemen sowie das Maschinenservice- und Instandhaltungsmanagement mit High-End-Sicherheitsfunktionen auszustatten und deckt sämtliche Sicherheitsaspekte ab, darunter etwa Zertifikatsprüfungen oder Schwachstellen-Management. So erfüllt SIV schon heute die hohen Sicherheitsanforderungen für die Fernwartung im industriellen Umfeld (BSI CS-108) des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Mit der SIV-Lösung von G+D Mobile Security wird eine zusätzliche smarte Security-Hardware den Maschinen vorgeschaltet. Damit kann der Zugriff auf ältere und neue Maschinen kontrolliert und geschützt werden, ohne Legacy-Produkte zu hohen Kosten austauschen zu müssen. (Bild: Giesecke & Devrient)

Es stehen intelligente Security-Hardware-Module in zwei Ausführungen zur Verfügung (hier dargestellt die besonders kompakte Basis-Version), je nach Funktionsumfang und Applikation. (Bild: Giesecke & Devrient)

Infrastrukturen sichern

Hersteller profitieren auch von der Transparenz (Visibility) der vernetzten Maschinen und deren Anwendung auf allen Fertigungsstufen. So erhalten Hersteller und Netzwerkverwalter detaillierte Informationen über die gesamte Wertschöpfungskette. Mit den so verfügbaren Daten können Fertigungs-Performance, Prozesse und Arbeitsabläufe verbessert werden. Dabei wird der Status des kompletten Maschinen-Parks ständig erfasst, was auch die älteren Maschinen einschließt, die nicht ursprünglich für das IIoT ausgelegt wurden. Zu den wesentlichen Einsatzbereichen und Vorteilen von SIV gehören die Fernwartungs-Diagnose, die schnelle Beseitigung von Problemen, das sichere System-Update, die Wartung, Performance-Management und -Reports sowie die verbesserten Systemabläufe. Außerdem ermöglicht die SIV-Lösung eine Verbesserung der Produktivität, eine gesicherte Identifizierung mit vertrauenswürdiger ID für alle Geräte sowie letztendlich den Schutz der Fertigungseinrichtungen gegenüber Cyberangriffen und Daten-Lecks. Mit der SIV-Lösung können Hersteller verschiedene Fertigungsstätten sowie die Maschinen verschiedener Anbieter verwalten. Dabei haben sie die volle Übersicht und Kontrolle, durch die detaillierten Informationen über alle Fertigungsprozesse, Einrichtungen und Installationen. Remote-Zugriff und Datentransfer nahezu in Echtzeit wie Alarm- oder Fehlermeldungen helfen dabei, die Reaktionszeiten und Wartungskosten zu reduzieren. Auch Kapazitätsplanung und Qualitätssicherung können mit Hilfe von SIV verbessert werden. Letztendlich werden die Betriebskosten gesenkt, indem die langen Lebenszyklen auf der Fertigungsseite von den relativ kurzen IT-Zyklen entkoppelt werden.

Kompakte Security-Hardware

Es stehen zwei leistungsfähige Hardwaremodule zur Verfügung, die als SIV IoT-Gateway und geschützte Firewall direkt an der Maschine eingesetzt werden können. Es sind zwei Module (Base und Advance) mit unterschiedlichem Funktionsumfang und Abmessungen erhältlich. Die SIV Base-Box (Bild 3) misst nur 85x82x35mm und kann so platzsparend an jeder Maschine installiert werden. Beide Module verfügen über ein spezielles Security-Betriebssystem und einen entsprechenden Security-Hardwareanker.

Autor: Dr. Christian Schläger,
Group Vice President
und Head of Cyber Security
G+D Mobile Security
www.gi-de.com