- Defense in Depth (Verteidigung in die Tiefe): Mehrschichtige Sicherheitskonzepte, ähnlich einer Burg mit Wassergraben, Mauern, Türmen und Wachen. So werden Anlagen und Maschinen in verschiedene Schichten unterteilt, von physischem Zugangsschutz bis hin zu sicherem System- und Netzwerkdesign.
- Security by Design: Sicherheitsanforderungen müssen von Anfang an in die Produkt- und Maschinenentwicklung einfließen, gleichrangig zu funktionalen Anforderungen.
- Security by Default: Produkte sollen in ihrer Grundkonfiguration bereits so sicher wie möglich ausgeliefert werden. Potenziell riskante Funktionen werden erst bei Bedarf aktiviert.
- Secure Development Process & DevSecOps: Ein sicherer Entwicklungsprozess muss Sicherheit durchgängig berücksichtigen. Ähnlich fordern NIS-2 und DSGVO sichere Entwicklungs- und Betriebsumgebungen.
- Da sich Bedrohungslagen ständig ändern, muss das Management von Komponenten laufend aktualisiert werden. Neue Firmware, Anweisungen oder Konfigurationen sind bei Bedarf aktiv zu kommunizieren. Das PSIRT (Product Security Incident Response Team) übernimmt dabei eine zentrale Rolle.
Einfache Maschinensicherheit durch Zonen und Conduits
Im Rahmen von Security by Design ist der Netzwerkaufbau in einer Produktionsanlage entscheidend. Analog zur Burgtaktik sollten Netzwerke in verschiedene Vertrauenszonen unterteilt werden, deren Übergänge durch sogenannte ‚Conduits‘ geschützt sind. Diese Conduits lassen nur die unbedingt notwendige Kommunikation zu und erhöhen so die Sicherheit, ohne die Funktionalität der Anlage zu beeinträchtigen. Diese Netzwerksegmentierung ist oft auch nachträglich in bestehenden Anlagen umsetzbar, ohne die grundlegende Planung der Maschine neu aufzusetzen
Technische Lösungen als Conduit
Maschinen-Firewall als Conduit (OT-Firewall): Eine Firewall (z.B. Helmholz Wall IE) trennt die Kommunikation der Maschine vom Fabriknetzwerk ab. Nur konfigurierte und erlaubte Verbindungen sind möglich. IP-Adressen im Maschinennetzwerk werden über NAT übersetzt, nicht benötigte Adressen bleiben unsichtbar. Das erleichtert auch die Inbetriebnahme, da die Maschine intern immer gleich bleibt.
Gateways und Koppler als Conduit (Maschine-zu-Maschine-Kommunikation): Wenn nur die reinen Nutzdaten zweier Maschinen ausgetauscht werden sollen, kommen Feldbuskoppler zum Einsatz. Diese kopieren ausschließlich Nutzdaten, verhindern aber jeglichen anderen Datenverkehr zwischen den Maschinen. So lässt sich z.B. eine Profinet CPU mit einer EtherNet/IP-CPU sicher koppeln. In der Intralogistik ist die Maximierung der Lagerkapazität entscheidend. Kompakte Sensoren spielen dabei eine Schlüsselrolle: Höchste Leistung in kompakter Bauform schafft mehr Platz für die Ware, denn die Technik macht sich klein. ‣ weiterlesen
Intralogistik: Neue Baumer ToF-Sensoren machen sich klein
MQTT-Broker als Conduit (Maschine-zu-Cloud, Industrial IoT): MQTT ist ein verbreitetes Protokoll für die Cloud-Anbindung. Ein MQTT-Broker mit zwei getrennten LAN-Schnittstellen (z.B. von Helmholz) kann als sicherer Vermittler dienen. Auf einer Seite emp- fängt er die Maschinen-Daten, auf der anderen gibt er sie an die Cloud weiter, ohne dass die Maschine direkt aus dem Internet erreichbar ist.
Fernwartungs-Router als Conduit (Fernwartung, VPN-Sicherheit): Fernwartung ist sicherheitskritisch. Ein Router mit integrierbarer Firewall (z.B. Helmholz Rex-Serie) ermöglicht rollen- basierten Fernzugriff via VPN. So kann genau festgelegt werden, welche Geräte der Service-Techniker erreichen darf, um unbeabsichtigte oder unautorisierte Zugriffe zu vermeiden. Digitale Souveränität in der Automation: Fraunhofer IOSB-INA entwickelt einen KI-Assistenten für die SPS-Programmierung. ‣ weiterlesen
Automatisierung neu gedacht
Organisatorische Maßnahmen und Informationsmanagement
Neben technischen Maßnahmen wie Conduits ist ein professionelles Informationsmanagement entscheidend. Regel- mäßige Informationen über Sicherheitslücken, Firmwareupdates und sichere Konfigurationen sind unerlässlich.
