Industrie 4.0 absichern mit Nozomi Networks und Fortinet

Die Digitalisierung in der Industrie macht immer weiter Fortschritte. Immer mehr Systeme sind vernetzt wodurch sich Prozesse vereinfachen oder sogar automatisieren lassen. Man kann beispielsweise im Lagerwirtschaftssystem jederzeit sehen, wie die Lagerstände aussehen oder in Echtzeit überprüfen, ob für das Produkt die richtige Menge der Zutaten auf der Waage gemessen wurden. So können Engpässe vermieden werden, oder eine Qualitätskontrolle stattfinden, noch bevor der Produktionsprozess abgeschlossen wurde.

Allerdings sind die Anlagen dadurch angreifbarer. Wenn man die Netzwerk-Infrastruktur auf Ebenen reduziert erhält man grob diese Reihenfolge:

  1. Die unterste Ebene, hier sind Ventile, Sensoren oder Mechanismen die von Steueranlagen überwacht und geleitet werden.
  2. PLCs, speicherprogrammierbare Steuerung, einfache digitale Systeme hochspezialisiert für einen bestimmten Einsatzbereich.
  3. SCADA/HMI Steueranlagen, meist einfache Computer ausgerichtet auf den Einsatz in Industrie-Umgebungen. Die Hard- und Software wird meist vom Anlagenhersteller bereitgestellt. Über diese werden einzelne Anlagen kontrolliert und überwacht.
  4. MES Anlagen, diese dienen der Überwachung und Steuerung komplexer Prozesse.
  5. ERP Systeme, hier laufen dann alle Informationen zusammen.

Nach dem Best Practice Ansatz sollte heutzutage nicht nur Ebene 4&5 abgesichert werden, sondern auch Ebene 2&3. Gerade weil Industrieanlagen im Gegensatz zur „klassischen“ IT längere Laufzeiten haben. Bei der IT spricht man von ca. 5 Jahren, bei Industrieanlagen, der OT dagegen, spricht man nicht selten von 20 oder mehr Jahren. Das Problem ist natürlich, die Zeit steht nicht still. Angriffe werden immer ausgefeilter und je länger ein Produkt im Einsatz ist, desto angreifbarer wird es, weil immer wieder Lücken entdeckt werden. Ob diese Lücken vom Hersteller je geschlossen werden ist fraglich.

Was kann man hier also machen?

Der Einsatz eines Sicherheitskonzeptes welches auf allen Ebenen arbeitet, die geschützt werden müssen.

Hier wäre der erste Ansatz, Segmentierung der Netzwerke. Mit Hilfe von Firewalls und Switches von Fortinet und einer geplanten physikalischen oder logischen Segmentierung über VLANs kann die Angriffsfläche deutlich reduziert werden. Aber auch das Thema WLAN darf keinesfalls mehr ignoriert werden. Immer mehr Systeme in der Produktion und der Logistik sind mittlerweile auf WLAN angewiesen. Sei es der einfache Handscanner zum Erfassen Ware die im Lager ein- oder ausgeliefert wird bis hin zu großen Industriewaagen. Fortinet bietet auch für industrielle Umgebungen hochwertige Access Points mit IP67 Zertifizierung die selbst bei Temperaturen von -40°C bis hin zu +60°C noch zuverlässig arbeiten. Dank der patentierten Ein-Kanal-Technology der FAP-U Serie ist es möglich einen hochwertigen Signal-Rausch-Abstand selbst bei komplizierten Umgebungen bereitzustellen.

Neben der Segmentierung darf auch eine oder mehrere Firewalls nicht fehlen. Hier bietet Fortinet eine große Auswahl an Firewalls an, inklusive Modellen welche für die speziellen Ansprüche in der Industrie entwickelt wurden. Nicht nur können die Firewalls für die Segmentierung genutzt werden, sie können auch VPN Tunnel bereitstellen, um Außenstandorte sicher mit der Firmenzentrale zu verbinden, oder Herstellern einen Wartungszugang für bestimmte Anlagen zur Verfügung zu stellen.

Fortinet bietet hier neben dem normalen Umfang einer Next-Generation-Firewall mit dem Industry Security Service auch Funktionen speziell für die Industrie bereit. So kann eine Deep-Packet-Inspection von OT-Protokollen durchgeführt werden und beispielsweise bei Verbindungen von außen ein Befehl unterbunden werden, welcher zu der Abschaltung von Systemen führen würde.

Was aber wenn das nicht reicht? Hier käme dann Nozomi ins Spiel. Nozomi bietet mit dem Guardian eine Monitoring- und Sicherheitslösung an, welche mit einer FortiGate zusammenarbeiten kann. Ebenso wie FortiGate bietet der Nozomi Guardian eine Deep-Packet-Inspection an. Allerdings kann der Nozomi Guardian nicht nur die OT Protokolle lesen, sondern sogar verstehen. Nach einer Lernphase, die für das Baselining genutzt wird, kann Nozomi Guardian alle OT Geräte überwachen und bei Anomalien oder Angriffen Alarm schlagen und sogar aktiv eingreifen, sollte dies gewünscht sein.

So kann Nozomi Guardian über offene Schnittstellen mit einer FortiGate kommunizieren und aktiv Firewallregeln erstellen. Damit kann ein aktiver Angriff unterbunden werden, noch bevor er Schaden angerichtet hat.

Sollten Sie an einem umfänglichen Sicherheitskonzept interessiert sein, oder nur Teile Ihres Netzwerkes modernisieren oder absichern wollen, sind wir gerne bereit Ihnen mit unserem Wissen und unserer Kompetenz zu unterstützen. Sie können uns gerne telefonisch, per E-Mail oder über das Kontaktformular erreichen.

Die mit einem * markierten Felder sind Pflichtfelder.