IT-Sicherheit trifft auf Produktionssysteme

Andreas Philipp, Business Development Manager bei Primekey erklärt, was bei der Übertragung auf Produktionssysteme zu tun ist und welche wichtige Fähigkeit daraus für die IT-Sicherheit resultiert, nämlich digitale Identitäten für Maschinen und Geräte zur Absicherung von Produktionsanlagen. Der Datenaustausch zwischen IT- und Produktionssystemen muss gerade durch die zunehmende Verknüpfung im Industrial Internet of Things (IIoT) sicher erfolgen, wozu Unternehmen Prinzipien aus der IT-Sicherheit für ihre vernetzten Produktionsumgebungen adaptieren müssen. Dazu empfiehlt sich ein schrittweises Vorgehen.

In Fertigungsumgebungen hat ein unterbrechungsfreier Produktionsprozess höchste Priorität. Dies steht häufig im Widerspruch zu den Anforderungen an die Sicherheit. Damit Sicherheit einschließlich Verschlüsselung dennoch „unterbrechungsfrei“ innerhalb von Produktionsprozessen funktioniert, müssen Unternehmen die entsprechenden Dienste hundertprozentig „zustandslos“ implementieren. Protokolle oder Systeme behandeln dann Abfragen als voneinander unabhängige Transaktionen. Jedes Datenpaket ist allein unterwegs und besitzt keinen Bezug zu einem anderen Datenpaket.

Für Installations- und Konfigurationsprozesse von Systemen sowie Geräten an der Produktionslinie ist zu beachten, dass sie weitgehend standardisiert und losgelöst von Operatoren ablaufen. Das gilt insbesondere auch für Sicherheitskomponenten, welche als Systeme konzipiert sein müssen, die aus sich heraus starten – ohne Impulse von außen. Ein solcher vertrauenswürdiger Zero-Touch-Bootstrapping-Prozess stellt daher eine Mindestanforderung für Security-Appliances dar, die in Produktionsumgebungen zum Einsatz kommen.

Produktionsstandorte eines Unternehmens können sich heute über den gesamten Globus verteilen. Daraus ergibt sich die Anforderung, dass an allen Fertigungsstätten die Automatisierungssysteme im gleichen Maße hochverfügbar sind. Folglich schließt das auch Security-Appliances ein. Eine Security-Appliance muss demnach bis zu zehn Jahre in der gleichen Hardware-Konfiguration verfügbar sein, um die Produktion in einer Industrie-4.0-Umgebung abzusichern.

Ferner ist Netzwerktrennung ein wesentlicher Aspekt, mit der sich potenzielle Sicherheitslücken schließen lassen. Das betrifft Systeme, die zum einen eine direkte Verbindung in die OT-Netzwerke aufweisen und anderseits auch mit der IT-Welt kommunizieren. Deshalb muss sowohl eine physikalische als auch eine logische Netzwerktrennung innerhalb der Appliance stattfinden. Ebenso gilt es, das Konzept der getrennten Zuständigkeiten weiterzuführen, mit der Security-Appliances Rollen- und Rechte-Modelle bereitstellen.

Mit zustandslosen, langlebigen Sicherheitskomponenten lassen sich in einer vernetzten Produktionsumgebung eine Vertrauenskette aufbauen. Speziell in vernetzten Produktionsumgebungen ist es hilfreich, wenn die hergestellten Komponenten direkt während des Fertigungsprozesses eine elektronische Identität erhalten.

Mit Lösungen wie dem Identity Authority Manager – Industrial von Primekey steht den Herstellern ein Werkzeugkasten zur Verfügung, um diesen Prozess in den Fertigungsablauf zu integrieren und jederzeit selbstständig zu adaptieren, ohne jedes Mal das gesamte Sicherheitskonzept neu zu überarbeiten.