Integrierte IT/OT-Sicherheit
Durch das Öffnen der OT nach außen, zu Cloud, Office IT (z.B. ERP-Systemen) oder für externe Dienstleister, können Produktionssysteme aus Umgebungen angesprochen werden, die nicht der eigenen Kontrolle unterliegen. Diese müssen als potenziell kompromittiert bzw. böse eingestuft werden, wenn es darum geht, Kommunikation, Netz- und Dienstperimeter abzusichern. Auch hier ist der Einsatz von Firewalls auf Netz- oder Anwendungsebene unerlässlich. Generell muss die Verbindung von IT-, OT- und IIoT-Systemen mittels restriktiver, effektiver und robuster Sicherheitskonzepte abgesichert werden, um den Produktionsprozess und die Produktionsanlagen zu schützen.
Exponierte Punkte absichern
Häufig sollen in Brownfield-Projekten Fernsteuerung und -wartung ermöglicht werden. Solche Zugriffe von extern müssen restriktiv gehandhabt und überwacht werden können. Einen sicheren Betrieb ermöglicht die Fernwartungslösung Genubox, die einen Fernzugriff zulässt, diesen durch verschlüsselte Kommunikationskanäle absichert und nur eine restriktive Kommunikation beschränkt auf die zu wartenden Systeme bzw. Dienste zulässt. Neben einer starken Authentisierung des externen Dienstleisters muss die Verbindungsaufnahme von außen immer durch innen bestätigt werden, so dass ein unberechtigter Zugriff ausgeschlossen ist. Genubox ist sowohl für externe Dienstleister als auch für den Einsatz auf dem Shopfloor geeignet; für Industrie-Umgebungen ist sie in einer Version mit robustem Temperaturbereich und Komfortfunktionen wie z.B. einem Schlüsselschalter erhältlich. Besondere Anwendungen mit höchster Schutzklasse stellen Industrieanlagen im Bereich kritischer Infrastrukturen dar. Auch hier wird für eine effiziente Überwachung und Steuerung oftmals ein (Fern-)Zugriff auf die Daten des laufenden Betriebs benötigt. Abhilfe schaffen Datendioden. Sie stellen eine besonders sichere und performante Lösung dar, bei der Daten nur in eine Richtung fließen können. Eine Fehl- oder Umkonfiguration ist ebenso ausgeschlossen wie das Öffnen einer Backdoor – die One-Way-Funktion ist nicht veränderbar. Die einzige Rückinformation ist ein Bit für die Bestätigung des erfolgreichen Datentransports.
Zero Trust Networking
Ein besonderes Augenmerk verdient das Zero-Trust-Konzept im Umfeld von digitalen Ökosystemen. Dieses geht davon aus, dass zunächst keinem Nutzer, Endgerät, Netz oder Dienst vertraut werden kann. Deshalb muss jeder Zugriff individuell verifiziert werden. Angesichts der wachsenden Komplexität, bei der die Übergänge zwischen den Netzen sowie zwischen innen und außen fließend sind, ist dies eine notwendige und angemessene Strategie. Denn potenziell ist sogar das eigene Netz unsicher – ein erfolgreicher Angriff lässt sich schließlich nicht vollkommen ausschließen. Dementsprechend müssen Firewalls, VPNs und Remote-Services so konfiguriert werden, dass eine Verbindungsaufnahme nur für festgelegte Nutzer, Applikationen und Dienste möglich ist. Darüber hinaus muss sichergestellt sein, dass sich diese jeweils zuverlässig ausweisen, bevor der Zugriff gewährt wird.
