3. IFIT-Roundtable: IT-Experten diskutieren über Stand der Technik & Entwicklung von Sicherheitskonzepten
Bereits zum dritten Mal trafen sich die Teilnehmer des IFIT-Roundtable Industrie 4.0 in Bremen, diesmal am 01.11.2017 bei der HEC GmbH, um über Gefahren und Absicherungsmöglichkeiten in Produktionsumgebungen zu debattieren. Dieses Mal stand das Thema „Stand der Technik“ auf der Tagesordnung, welches im Vorfeld viele Unklarheiten beinhaltete. Zwar muss ein Unternehmen im Sicherheitsumfeld den Stand der Technik gesetzlich einhalten, jedoch wird nirgends beschrieben, wie dieser eigentlich aussehen sollte. So fand eine entsprechend lebhafte Diskussion zwischen Anwendern, Betreibern und Beratern darüber statt. Auf Basis eines bestehenden Sicherheitskonzepts eines beispielhaften Unternehmens wurde dieses Mal gemeinsam der „Status Quo“ vom Stand der Technik diskutiert, wodurch neue und interessante Aspekte zum Vorschein kamen.
Praktische Betrachtung und Diskussion eines beispielhaften Sicherheitskonzepts
Das beispielhafte Sicherheitskonzept beinhaltete dabei die Aufteilung der Infrastruktur in verschiedene Ebenen, wobei auf jeder Ebene Sicherheitsmaßnahmen vorgesehen wurden. Eine Ausnahme stellte die Ebene 0 dar, die ausschließlich organisatorische Maßnahmen wie Sicherheitsanweisungen und Prozesse enthielt. Auf der Benutzersystemebene standen der Standardzugriff auf die internen PCs, mobile Zugänge mittels Laptop, Smartphones und VPN, Desktop-Sharing sowie E-Mail und Web-Server auf der Agenda. Diese sollten mittels Monitoring kontinuierlich überwacht werden. Als zentrale Sicherheitsdienste wurden Software-Verteiler-Dienste wie z.B. Anti-Viren-Systeme oder WSUS-Server von Microsoft sowie Asset-Management, sog. ISMS-Systeme und Angriffserkennung über NAC- oder SIEM-Systeme eingeplant. Als Zugriffsportale kommen oftmals VPN- und Terminal-Server-Systeme zum Einsatz. Die eigentliche Firewall-Ebene bezieht dann die Abschottung des Unternehmensnetzes und die Richtliniendefinition mit ein. Hinzu kommt ein sog. sicheres Netzwerk (Secure Network), welches das eigentliche Automatisierungsnetz enthält und komplett getrennt von der restlichen Infrastruktur sein sollte. Auch dieses Netzsegment sollte kontinuierlich durch Monitoring überwacht werden, um frühzeitig anomales Verhalten erkennen zu können. Als letzte Ebene ist die Härtungen aller IT-Systeme (Server, Clients) sowie der physikalische Zugangsschutz vorzusehen.
Diese Ebenen wurden bei dem Treffen ausgiebig diskutiert. So fehlt oftmals eine Sicherheitsorganisationsstruktur in Unternehmen und technisch werden zu viele Möglichkeiten eingesetzt, die nicht einheitlich verwendet werden. Die einheitliche Nutzung ist dabei selbst manchen IT-Dienstleistern manchmal unklar, bzw. gestaltet sich zumindest schwierig. Zusätzlich werden Unternehmen vom Maßnahmenkatalog des BSI regelgerecht „erschlagen“, der nicht besonders praxisorientiert, sondern sehr theoretisch aufgebaut ist. Problematisch empfanden alle Teilnehmer, dass Produktnetze heute meistens flach ohne Segmentierung aufgebaut sind, Firewalls nicht aktualisiert oder Ferneinwahlen mittels TeamViewer teilweise dauerhaft freigeschaltet werden. Die Netzsegmentierung ist daher ein wesentlicher Aspekt zur Absicherung einzelner Leitsysteme. Allerdings hinkt man im Produktionsumfeld ca. 10 Jahre hinter dem Status Quo hinterher!
Roundtable beschließt Checkliste mit wichtigsten Punkten zur Absicherung von Produktionsnetzen anzufertigen
Der Roundtable war sich einig, dass es zuerst einmal Sinn macht sich die Gefährdungsseite anzusehen und eine Risikoanalyse zu erstellen, bevor man unterschiedlichste technische Lösungen ohne Gesamtkonzept implementiert. Eine Firewall und Anti-Viren-System zu implementieren reicht in keinem Fall mehr aus und ist auch nicht mehr Stand der Technik. Daher hat sich der Roundtable vorgenommen zukünftig eine Checkliste auszuarbeiten, die es Unternehmen erlauben soll die wichtigsten Punkte für eine Absicherung des eigenen Produktionsnetzes anzugehen. Auch wenn sich die Infrastruktur bei jedem Unternehmen anders gestaltet, wäre dies für den ersten Schritt ein strategischer Ansatzpunkt, der dann individuell weiterverfolgt werden muss.
Theoretischer Exkurs: Sicherheitskonzept ganzheitlich planen und umsetzen
Jedes Unternehmen sollte ein Sicherheitskonzept besitzen und es strukturiert umsetzen. Für den Themeneinstieg finden Sie in Abbildung 1 den Prozess der Sicherheitskonzeption aus einem BSI-Leitfaden zur Übersicht der notwendigen Schritte. Hier kann das komplette PDF "IT-Grundschutz-Profil für den Mittelstand" des BSI heruntergeladen werden. Entweder kann die hauseigene IT-Abteilung oder aber ein externes Unternehmen mit der Erstellung und Umsetzung eines Sicherheitskonzepts beauftragt werden.
Benötigen Sie Beratung zum Thema Sicherheitskonzept?
Auch wir entwickeln bei Bedarf ganzheitliche Sicherheitskonzepte für unsere Kunden. Alle Sicherheitsbausteine bauen aufeinander auf, um keine Lücken entstehen zu lassen. Bei der Auswahl sicherheitsrelevanter Bausteine setzen wir meistens auf Open-Source-Software, da diese kostengünstig und durch den offen gelegten Source Code sicherer ist, bzw. Fehler im Code schneller gefunden und behoben werden können im Vergleich zu Closed Source Produkten, bei denen nur der Hersteller selbst den Code kontrolliert. Dabei muss man keine Einschränkung in der Leistungsfähigkeit hinnehmen. Interessante offizielle Informationen zu dem Thema Open Source Software in der IT-Sicherheit finden Sie auf folgenden Seiten: