AIF Security

Hintergrund

Durch die zunehmende Vernetzung von Büro-IT und Produktions-IT wird es nicht nur für Prozessplaner und Businessanalysten einfacher an Produktionsdaten zu gelangen, sondern auch für Angreifer leichter Produktionsanlagen anzugreifen. Normalerweise werden die Kommunikationswege zwischen Büro-IT und Produktions-IT durch spezielle Firewalls abgesichert, in der Realität zeigt sich jedoch oft, dass durch unsachgemäße Nutzung Nebenkonnektivitäten geschaffen werden, über die Angreifer vorhandene Sicherheitssysteme umgehen können.



Problemstellung

Deshalb müssen diese Kommunikationswege zwischen Büro-IT und Produktions-IT identifiziert und abgesichert werden. Steuerungssysteme, insbesondere Altsysteme sind unsicher und fragil. Da Identifikationsmethoden der IT oft zur Beeinflussung der Maschine führen und Sicherheitsmaßnahmen nicht kompatibel sind, ist diese Aufgabe nicht trivial.



Ergebnisse

Zur aktiven Identifikation der Kommunikationswege wurde ein Analysegerät entwickelt, mit dem zur Produktionslaufzeit die aktiv nach Nebenkonnektivitäten gesucht werden kann. Das Analysegerät identifiziert dabei isoliert in einer Testumgebung einzelne Steuerungen auf deren Verhalten während eines Netzwerkscans und speichert dieses in eine Datenbank. Anschließend können die Daten genutzt werden, um aktiv im Netzwerk zu scannen.

Zu Absicherung der Kommunikation wurde Firewall-Regeln speziell für Steuerungssysteme entwickelt, die gezielt Kommunikationsmechanismen in vorhandenen Engineering-Protokollen deaktivieren.

Um eine sachgerechte Nutzung des Sicherheitskonzepts zur gewährleisten, wurde ein Schulungskonzept erarbeitet, das anwenderspezifisch und Prozessnah dem Nutzer den Umgang mit dem Sicherheitssystem lehrt. Das Schulungskonzept setzt dabei auf praktische Inhalte, durch Nutzung des Analysegeräts in einem realitätsnahen Testsystem.