Cybersicherheit

Einführung

Cybersicherheit ist ein Zweig der Netzwerkadministration, der sich mit Angriffen auf oder durch Computersysteme und über Computernetzwerke befasst, die zu versehentlichen oder absichtlichen Störungen führen können.

Das Ziel der Cybersicherheit ist es, einen erhöhten Schutz von Informationen und physischen Gütern vor Diebstahl, Beschädigung, Missbrauch oder Unfällen zu gewährleisten bei gleichzeitiger Aufrechterhaltung des Zugangs für die jeweiligen Benutzer.

Kein einzelner Ansatz der Cybersicherheit ist angemessen. Schneider Electric empfiehlt einen „Defense-in-Depth“-Ansatz. Dieser von der National Security Agency (NSA) konzipierte Ansatz nutzt mehrere Netzwerkschichten mit Sicherheitsfunktionen, Appliances und Prozessen.

Die grundlegenden Komponenten des „Defence-in-Depth“-Ansatzes von Schneider Electric sind:

Risikobewertung. Eine systematische Sicherheitsanalyse der Einsatzumgebung und der damit verbundenen Systeme.
Ein Sicherheitsplan, der auf den Ergebnissen der Risikobewertung aufbaut.
Eine aus mehreren Phasen bestehende Schulungskampagne.
Netzwerktrennung und -segmentierung. Die physische Trennung des Steuerungsnetzwerks von anderen Netzwerken durch eine DMZ (demilitarisierte Zone) und die Aufteilung des Steuerungsnetzwerks selbst in Segmente und Sicherheitszonen.
Systemzugriffssteuerung. Steuerung des logischen und physischen Zugriffs auf das System mit Firewall, Authentifizierung, Autorisierung, VPN und Virenschutzsoftware. Diese Bemühungen umfassen auch herkömmliche physische Sicherheitsmaßnahmen wie Videoüberwachung, Zäune, verschlossene Türen und Tore sowie verschlossene Geräteschränke.
Gerätehärtung, der Prozess der Konfiguration eines Geräts in Bezug auf kommunikationsbasierte Bedrohungen. Zu den Maßnahmen der Gerätehärtung gehören die Deaktivierung nicht genutzter Netzwerk-Ports, die Passwortverwaltung, die Zugriffssteuerung sowie die Deaktivierunga aller nicht notwendigen Protokolle und Dienste.
Netzwerküberwachung und -wartung. Eine effektive „Defence-in-Depth“-Kampagne erfordert die kontinuierliche Überwachung und Systemwartung, um auf neue Bedrohungen zu reagieren, wenn sich diese entwickeln.

In diesem Kapitel werden die Elemente definiert, die Ihnen helfen, ein System zu konfigurieren, das weniger anfällig für Cyberangriffe ist.

Nähere Informationen zum „Defense-in-Depth“-Ansatz finden Sie im Dokument Reduce Vulnerability to Cyber Attacks in the Control Room auf der Website von Schneider Electric.

Um eine Frage zur Cybersicherheit zu übermitteln, Sicherheitsprobleme zu melden oder die neuesten Nachrichten von Schneider Electric zu erhalten, besuchen Sie die Website von Schneider Electric.

Sichern und Wiederherstellen der Softwarekonfiguration

Um Ihre Daten zu schützen, empfiehlt Schneider Electric, die Gerätekonfiguration zu sichern und Ihre Sicherungsdatei an einem sicheren Ort aufzubewahren. Das Backup ist im Geräte-DTM verfügbar, wobei die Funktionen zum „Laden vom Gerät“ und zum „Speichern auf dem Gerät“ verwendet werden.

Dezentraler Zugriff auf das Gerät

Wenn der dezentrale Zugriff zwischen einem Gerät und dem Motormanagement-Controller verwendet wird, stellen Sie sicher, dass Ihr Netzwerk sicher ist (VPN, Firewall…).

Maschinen, Steuerungen und dazugehörige Geräte sind in der Regel in das Netzwerk integriert. Nicht autorisierte Personen und Malware können sich über unzureichend gesicherten Zugang zu Software und Netzwerken Zugriff auf die Maschine oder andere Geräte im Netzwerk/Feldbus der Maschine und in verbundenen Netzwerken verschaffen.

WARNUNG
UNBERECHTIGTER ZUGRIFF AUF DIE MASCHINE ÜBER SOFTWARE UND NETZWERK Berücksichtigen Sie in Ihrer Gefahren- und Risikoanalyse alle Gefahren, die durch den Zugriff auf und den Betrieb im Netzwerk/Feldbus entstehen können, und entwickeln Sie ein geeignetes Cyber-Sicherheitskonzept. Stellen Sie sicher, dass sowohl die Hardware- und Softwareinfrastruktur, in die die Maschine integriert wird, als auch die Organisationsmaßnahmen und -richtlinien den Zugriff auf diese Infrastruktur umfassen, indem diese auch die Ergebnisse der Gefahren- und Risikoanalyse in Betracht ziehen, nach bewährten Praktiken und Standards implementiert werden und die IT- und Cyber-Sicherheit erfassen (z. B.: ISO/IEC 27000, Gemeinsame Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik, ISO/IEC 15408, IEC 62351, ISA/IEC 62443, NIST Cybersecurity Framework, Information Security Forum – Standard of Good Practice for Information Security). Stellen Sie die Effektivität Ihres IT- und Cyber-Sicherheitssystems sicher, indem Sie entsprechende, bewährte Methoden verwenden. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben.

WARNUNG

UNBERECHTIGTER ZUGRIFF AUF DIE MASCHINE ÜBER SOFTWARE UND NETZWERK

Berücksichtigen Sie in Ihrer Gefahren- und Risikoanalyse alle Gefahren, die durch den Zugriff auf und den Betrieb im Netzwerk/Feldbus entstehen können, und entwickeln Sie ein geeignetes Cyber-Sicherheitskonzept.
Stellen Sie sicher, dass sowohl die Hardware- und Softwareinfrastruktur, in die die Maschine integriert wird, als auch die Organisationsmaßnahmen und -richtlinien den Zugriff auf diese Infrastruktur umfassen, indem diese auch die Ergebnisse der Gefahren- und Risikoanalyse in Betracht ziehen, nach bewährten Praktiken und Standards implementiert werden und die IT- und Cyber-Sicherheit erfassen (z. B.: ISO/IEC 27000, Gemeinsame Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik, ISO/IEC 15408, IEC 62351, ISA/IEC 62443, NIST Cybersecurity Framework, Information Security Forum – Standard of Good Practice for Information Security).
Stellen Sie die Effektivität Ihres IT- und Cyber-Sicherheitssystems sicher, indem Sie entsprechende, bewährte Methoden verwenden.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben.

Beschränkung des Datenflusses

Um den Zugriff auf das Gerät zu steuern und den Datenfluss zu beschränken, ist der Einsatz einer Firewall erforderlich (z. B. eine ConneXium Tofino-Firewall).

Die ConneXium TCSEFEA Tofino-Firewall ist eine Sicherheitsvorrichtung, die industriellen Netzwerken, Automatisierungssystemen, SCADA-Systemen und Prozesssteuerungssystemen ein hohes Maß an Schutz vor Cyberbedrohungen bietet.

Diese Firewall ist so konzipiert, dass die Kommunikation zwischen Geräten, die mit dem externen Netzwerkanschluss der Firewall verbunden sind, und den Geräten, die mit dem internen Netzwerkanschluss verbunden sind, zugelassen oder verweigert wird.

Die Firewall kann den Netzwerkverkehr auf der Grundlage benutzerdefinierter Regeln einschränken, die nur autorisierte Geräte sowie bestimmte Kommunikationstypen und Dienste zulassen.

Die Firewall enthält eingebaute Sicherheitsmodule und ein Offline-Konfigurationstool zur Erstellung von Zonen innerhalb einer industriellen Automatisierungsumgebung.