IoT-Gateway mit Schutzkonzept

24.08.2021 – Vernetzte Anlagen und Geräte geraten zunehmend ins Visier von Cyber­kriminellen. Doch es gibt Schutzkonzepte.

Die Digitalisierung von Prozessen und Anlagen ist in der Energiewirtschaft in vollem Gange: Zunehmend werden Daten von den unterschiedlichsten Sensoren und Messgeräten erhoben, die Auskunft über die Auslastung der Netze geben oder die Grundlage für vorausschauende Wartung bilden, auch Predictive Maintenance genannt.

freepik_cyber-security-concept_3808861
Grafik: freepik / freepik

Mit dem zunehmenden Vernetzungsgrad in den Unternehmen wächst allerdings auch das Risiko, Opfer einer Cyberattacke zu werden. Jeder einzelne Vernetzungspunkt stellt ein potentielles Sprungbrett für IT-Kriminelle dar, über das sie in die Netzwerke eindringen können, um Schadsoftware einzuschleusen. Neben dem zentralen IT-System wird auch zunehmend die Operational Technology (OT) zur Zielscheibe der Angreifer. Dabei handelt es sich um jene Systeme, die physische Prozesse innerhalb der Anlagen steuern.

„IT-Kriminelle nutzen die Tatsache aus, dass immer mehr Systeme miteinander verbunden sind“, erläutert Axel Noack, Business Development Director DACH beim IT-Sicherheitsanbieter Endian. „Schadprogramme sind heute überwiegend so konzipiert, dass sie erst mal eine Weile im Netzwerk verbleiben, bestehende Verbindungen ausspähen und sich unbemerkt weiterverbreiten. Durch ein solches Vorgehen können Angreifer beispielsweise mit einer Ransomware-Attacke viele Systeme auf einmal verschlüsseln, um dann Lösegeld für die Freigabe der Daten zu erpressen.“

Ganzheitliches IT-Sicherheitskonzept

Noack rät Energieversorgern daher, bei der Digitalisierungsstrategie von Anfang an ein ganzheitliches IT-Sicherheitskonzept mit einzuplanen. Die Kosten für die Schließung von Sicherheitslücken steigen nach seiner Erfahrung mit dem Fortschreiten des Projekts exponentiell an und manchmal sei eine nachträgliche Behebung von Schwachstellen überhaupt nicht mehr möglich. Endian unterstützt seit 2011 Unternehmen aus dem Bereich der kritischen Infrastrukturen bei der digitalen Transformation und hat eine sichere digitale Plattform entwickelt, mit der Unternehmen Vernetzung und IT-Sicherheit gleichzeitig etablieren können.

Sicheres IoT-Gateway

„Ob für Predictive Maintenance, Künstliche Intelligenz oder digitale Geschäftsmodelle – all diese Lösungen basieren auf Daten, die aus Geräten und Prozessen gewonnen und für die Auswertung und weitere Verarbeitung an eine oder mehrere zentrale Plattformen übertragen werden. IoT-Gateways sind daher für die zeitgleiche Vernetzung und Absicherung von Maschinen und Anlagen eine gute Lösung“, führt der Sicherheitsfachmann aus.

endian-4i-Edge-X_left
Das 4i Edge X IoT-Gateway von Endian sichert die Übertragung von Sensor- und Anlagendaten. Foto: Endian SRL

Moderne Gateways sind mit den unterschiedlichsten Konnektivitätsoptionen, wie beispielsweise Ethernet, Wifi, 4G oder 5G, ausgestattet, so dass auch Anlagen angebunden werden können, die keine durchgängige Internetverbindung aufweisen. „Weil bei Energieversorgern oft noch Anlagen im Einsatz sind, die vor dem digitalen Zeitalter gebaut wurden, kommen IoT-Gateways auch mit unterschiedlichen Kommunikationsprotokollen zurecht“, ergänzt Noack.

Endian hat mit dem 4i Edge X ein IoT-Gateway entwickelt, das verschiedene Sicherheitsfunktionen kombiniert. Diese sind so aufeinander abgestimmt sind, dass ein umfassender Schutz vor Cyberattacken entsteht: Eine End-to-End VPN-Verschlüsselung schützt die erhobenen Daten vor Diebstahl und Manipulation. Das ist nicht nur dort wichtig, wo es sich um sensible Kundendaten handelt – werden unkorrekte Daten von Analysesystemen ausgewertet, führt dies zwangsläufig zu falschen Entscheidungen. Die VPN-Verbindung ist zudem bilateral, so dass Techniker sie für einen Fernzugriff nutzen können. Darüber hinaus sichern weitere Funktionen wie Firewall, Anti-Virensoftware oder Intrusion Prevention Systeme (IPS) die Anlagen gegen Schadprogramme.

Mithilfe der Gateways lässt sich auch die wichtige Netzwerksegmentierung umsetzen. „So wie voneinander abgeschottete Segmente in einem Schiff das ungebremste Eindringen von Wasser verhindern, unterbindet die Segmentierung von Netzwerken die unkontrollierte Ausbreitung von Schadsoftware mittels Firewall“, erklärt Axel Noack. Eine effiziente Netzwerksegmentierung basiere dabei auf einer ganzheitlichen Betrachtung eines Netzwerks und seiner Kontaktpunkte innerhalb und außerhalb des Unternehmens. Darauf aufbauend werden Netzwerkbereiche mit vergleichbarem Schutzbedarf definiert und mithilfe der Gateways voneinander abgetrennt.

Zentrales IT-Management

Sind die Anlagen sicher vernetzt, kommt dem zentralen IT-Management eine Schlüsselfunktion zu. Darüber lassen sich regelmäßige Aktualisierungen der IoT-Gateways durchführen, damit die Sicherheitsfunktionen immer auf dem neuesten Stand sind – eine grundlegende Voraussetzung für die Wirksamkeit der Sicherheitsfunktionen, denn die Innovationszyklen in der Cybersicherheit sind kurz. Sicherheitsexperte Noack nennt ein weiteres Argument: „Die im OT-Bereich eingesetzte Hardware ist meist veraltet und damit schwer zu warten, weshalb die Segmentierung mittels IoT-Gateway umso wichtiger ist.“

endian-Switchboard-6-0_Secure-Remote-Access_3
Eine zentrale Plattform ermöglicht die Überwachung der Geräte und Anlagen. Foto: Endian SRL

Ein zentrales IT-Management bietet überdies die Möglichkeit, granulare Rechte und Berechtigungen einzuführen und zu verwalten. Damit erhält jeder Mitarbeiter nur Zugriff auf die Funktionen, die für seine Aufgabe relevant sind. Wechselt er die Abteilung oder verlässt er das Unternehmen, lassen sich die Rechte jederzeit anpassen oder löschen.

Monitoring und Analyse

Sobald die Anlagen über das Internet verbunden sind, lassen sich ihre Zustände kontrollieren. Die Endian Secure Digital Platform ermöglicht die einfache Integration von Monitoring-Funktionen zur Überwachung und schnellen Alarmierung bei jeder Art von Störung, so dass Unternehmen sofort auf potenzielle Probleme reagieren können. Sobald Unternehmen ihre Daten aggregiert haben, ist der nächste Schritt die Datenanalyse. Darüber lassen sich Muster und Anomalien identifizieren, die helfen können, Fehler und Sicherheitsprobleme vorherzusagen und zu lösen, bevor sie zu größeren Störungen führen.

Containering wird unterstützt

Jede Branche und jedes Unternehmen hat eigene Ziele und Herausforderungen, die es mit der Digitalisierung meistern möchte. Maßgeschneiderte Software dafür entwickeln zu lassen ist zeit- und kostenintensiv, Standardlösungen bieten bisweilen nicht die notwendige Flexibilität. Daher bietet Endian jetzt auch Energieversorgern die Möglichkeit, auf ein Verfahren zurückzugreifen, das in der IT schon lange Anwendung findet und sich momentan in der Industrie etabliert – die sogenannten Software-Container. Diese beinhalten Anwendungen einschließlich ihrer Konfiguration, Einstellungen und Abhängigkeiten. Das macht sie unabhängig vom zugrundeliegenden Betriebssystem. Individuelle Lösungen lassen sich aus einzelnen Containern nach dem Baukastenprinzip zusammenstellen. Dabei haben Unternehmen die Wahl, nach diesem Prinzip eigene Lösungen zu entwickeln oder auf bereits bestehende Open Source-Anwendungen zurückzugreifen, die, in Container verpackt, jedem zur Verfügung stehen. Das Gateway Endian 4i Edge X unterstützt den Einsatz von Containern über Docker, der aktuell wichtigsten Container Management Engine.

Axel Noacks Fazit: „Flexibilität, Tempo bei der Digitalisierung und IT-Sicherheit zusammenzubringen, ist derzeit eine der größten Herausforderung für Energieversorger. Mit einem ganzheitlichen Konzept können Unternehmen die Vorteile der Digitalisierung nutzen, ohne zum bevorzugten Ziel von Cyberattacken zu werden.“ (pq)

Endian SRL
Axel Noack
a.noack@endian.com
www.endian.com

Share