Sichere Produktion Zentrales Dashboard hilft bei der Maschinenüberwachung

Autor / Redakteur: Will Stefan Roth* / Dipl.-Ing. (FH) Hendrik Härter

Ein Ausfall von vernetzten Maschinen und Anlagen in einem produzierenden Unternehmen kann schnell hohe Kosten verursachen. Helfen kann sogenanntes Smart Polling. Verhaltensauffällige OT- und IIoT-Geräte kommen in eine zentrale Übersicht.

Firmen zum Thema

Sicherheit im Unternehmen: Das Monitoring wird von vielen produzierenden Unternehmen immer noch sehr stiefmütterlich behandelt. Auffällige OT- und IIOT-Geräte lassen sich über ein zentrales Dashboard überwachen.
Sicherheit im Unternehmen: Das Monitoring wird von vielen produzierenden Unternehmen immer noch sehr stiefmütterlich behandelt. Auffällige OT- und IIOT-Geräte lassen sich über ein zentrales Dashboard überwachen.
(Bild: Gerd Altmann / Pixabay )

Viele Industriebetriebe steuern und kontrollieren ihre Maschinen und Anlagen bereits mit Systemen des IIoT. Entweder sind die Maschinen bereits ab Werk mit unterschiedlichen Sensoren versehen und untereinander vernetzt oder sie wurden im Laufe ihres Lebenszyklus mit solchen Funktionen versehen. Damit lassen sich die Maschinen nicht nur besser warten und der Maschinenbetreiber hat jederzeit Zugriff auf die Maschine; auch ist der Betrieb mit dem Internet verbunden. Die Sicherheit der Maschinen war oft nur physischer Natur: Es wurde aufgepasst, dass keine unberechtigten Dritte in ihre Nähe kommen und sie manipulieren konnten, um den Betrieb zu behindern oder zum Erliegen zu bringen.

Cybersecurity/Monitoring ist immer noch eine oftmals stiefmütterlich behandelte Facette der Unternehmenssicherheit im produzierenden Gewerbe: Die Produktion muss laufen. Kritische Maschinen erhalten selten Updates, denn deren Betrieb darf nicht aufgehalten werden. Außerdem haben Firmen selten Überblick über alle Geräte, die sich in ihrem Netzwerk befinden. Folge: Sicherheitslücken, die für Kriminelle ein offenes Tor darstellen und die früher oder später ausgenutzt werden.

Der weltweite Markt des IIoT nimmt zu

Geräte und Anlagen erkennen und kategorisieren

Um diese Lücken zu schließen, gibt es mittlerweile eine Vielzahl von Anwendungen auf dem Markt. Die Wahl sollte auf der Software liegen. Mit Software lassen sich in kürzester Zeit alle Assets finden und nach vorgegebenen Kriterien kategorisieren. Beispielsweise nach Name des Geräts sowie Typenbezeichnung, Seriennummer oder Version der Firmware. Dabei spielt es keine Rolle, ob es sich um OT-Geräte, wie Fertigungsmaschinen und Förderbänder, oder IIoT-Geräte in Form von Wärme-, Drehungs- oder Feuchtigkeitssensoren handelt.

Eine verwendete Lösung kann auf zwei unterschiedliche Arten Geräte im Netzwerk erkennen: Entweder durch SPAN, also dem Mirroring von Netzwerkverkehr, und anschließender Analyse der Datenpakete in Hinsicht auf ihre Ersteller. Oder durch aktives Polling ausgewählter Geräte im Netzwerk. Mit einer sogenannten Smart Polling genannten Methode kann man die beiden Verfahren verbinden. Nutzt die Anwendung Smart Polling, so werden so viele Geräte wie möglich passiv identifiziert. Dazu werden die Daten nicht pauschal erhoben, sondern in kleinen Datafootprints. Das Verfahren fragt bestimmte Informationen von den Geräten ab, wie etwa die Firmware-Version oder Informationen über die belegten USB-Ports. Der Netzwerkverkehr bleibt gering. Es werden nur die Geräte aktiv angefragt, die bekannt sind und nicht genügend Informationen liefern.

Aktives Polling hat sich als riskant für Anlagenbetreiber herausgestellt, da es eine zusätzliche Belastung für das Netzwerk und die Geräte in ihm darstellt. Im schlimmsten Fall führt aktives Polling zum Ausfall einer Komponente. Schließlich können in Großbetrieben schnell mehrere zehntausend Assets über das Netzwerk erreicht werden.

Abnormes Verhalten und Datenlecks entgegenwirken

Sind alle Assets bekannt, lassen sich kritische Parameter identifizieren. Ist das Gerät mit der aktuellsten Firmware ausgestattet? Gab es bei einem Gerätehersteller in letzter Zeit ein wichtiges Update, das eine Sicherheitslücke geschlossen hat? Auch ein abnormales Verhalten lässt sich aufspüren und so eine Kompromittierung einzelner Geräte und Datenlecks erkennen. Dann schlägt die verwendete Anwendung Alarm. Ein mögliches Datenleck zeigt sich, wenn ein verzeichnetes Gerät über einen längeren Zeitraum große Mengen an Datenpaketen an eine ungewöhnliche oder unbekannte Adresse verschickt. Hier helfen YARA-Regeln, STIX Indicators und anderen Bedrohungsindikatoren. Mit ihnen lassen sich Regeln aufstellen, wann das Verhalten eines Assets abnormal ist.

Die Software sammelt alle verhaltensauffälligen Geräte in einer zentralen Übersicht und sortiert sie nach der Art ihrer Abweichung, sei sie gezielt herbeigeführt worden oder durch technische Fehler bedingt. Denn nicht nur böswillige Akteure können den Betrieb zum Erliegen bringen. Oft sind es Verschleiß und Fehleinstellungen von Geräten und Komponenten, die den reibungslosen Ablauf behindern. Hat die Asset-Transparenz alle Daten von vernetzten Produktionsgeräten erfasst, warnt sie frühzeitig vor Fehlfunktionen.

Fehlfunktion am Beispiel Gassensor

Ein Gassensor in einer Leitung für verschiedene Gase fällt regelmäßig aus, weil er mit Flüssigkeit in Kontakt kommt und dafür nicht ausgelegt ist. Die Ursachen können verschiedener Natur sein. So kann etwa bei der Zuführung der Gase von außerhalb eine Verunreinigung stattfinden, in diesem Fall durch ein Ventil, das regelmäßig Schmieröl in die Leitung abgibt.
Hat die Software Einblick in alle Prozessdaten, kann sie anhand der normalen Arbeitsweisen Anomalien feststellen und aufzeigen, wo die Zuführung von Flüssigkeit stattfindet. Das Troubleshooting ohne spezialisierte Lösung dauert länger – Zeit, in der eine solche Anlage nicht mit maximaler Effizienz laufen kann.

Mit zentralem Dashboard schnell auf Probleme reagieren

Der Überblick über alle Geräte im Netzwerk sowie ihren aktuellen Status ist wichtig, um bei Problemen schnell reagieren zu können. Deshalb sollten Unternehmen alle notwendigen Informationen über ein zentrales Dashboard beziehen. Es zeigt sämtliche Geräte und Komponenten sowie ihre Verbindungen untereinander auf. Eine Tabelle listet alle Vorfälle (Incidents) auf und priorisiert sie nach Schwere (Kritikalität).

Die Sicherheitsbeauftragten in den Industrieunternehmen sollten zu jeder Zeit wissen, wo sich wie viele OT- und IoT-Komponenten im Netzwerk befinden, welche Funktion sie gerade einnehmen und wie ihr Sicherheitsstatus ist und ob sie ein Risiko für die Integrität des Unternehmens darstellen. Ist ein Vorfall bekannt, muss die verwendete Anwendung die Möglichkeit bieten, per API ein Ticket zur Bearbeitung zu eröffnen. Der Bearbeitungsstatus des Alarms kann der Anwender in einer separaten Anwendung einsehen.

Schnell auf Gefahren bei Geräten reagieren

Der Ausfall einer Komponente innerhalb der Produktionsstraße stoppt dann oft auch die gesamte Kette. Die damit verbundenen finanziellen Schäden können je nach Art des Betriebs und Dauer der Störung schnell in die Millionen gehen. Deshalb müssen mögliche Gefahren bei Geräten im Firmennetzwerk möglichst schnell erkannt werden. Dabei ist es egal, ob sie technischer oder krimineller Natur sind.

Es darf keinen Unterschied machen, ob es sich bei den untersuchten Geräten um OT-, IIoT- oder IT-Geräte handelt. Sämtliche Sicherheitsrisiken müssen im Netzwerk erkannt, klassifiziert und dargestellt werden. Entscheider sollten das im Hinterkopf haben, wenn sie nach einer Anwendung für die transparente Darstellung ihrer Assets Ausschau halten.

* Will Stefan Roth ist Sales Director DACH, Eastern Europe & Baltics bei Nozomi Networks.

(ID:47435607)