zuruck zur Themenseite

Artikel und Hintergründe zum Thema

Moxa

Philipp Jauch,

Risiken in der Feldebene absichern

Maschinenbauer müssen im Rahmen des Cyber Resilience Act Sicherheitsrisiken systematisch bewerten und minimieren. Beispiele aus der OT-Praxis zeigen typische Schwachstellen und mögliche Gegenmaßnahmen auf der Feldebene.

© Viktor/stock.adobe.com

Der CRA betrifft elektronische Zukaufskomponenten, die digitale Funktionen erfüllen und über Netzwerkschnittstellen kommunizieren, wie SPSen, HMIs, Frequenzumrichter, Switches, Firewalls oder Gateways. Vereinfacht gesagt: Geräte mit Ethernet- oder Funkanbindung gelten als digitale Elemente im Sinne des CRA. Dieser erfordert eine nachvollziehbare Risikoanalyse sowie die Ableitung geeigneter Maßnahmen zur Risikominderung über den gesamten Produktlebenszyklus hinweg. Diese Aktivitäten sind durch eine entsprechende technische und organisatorische Dokumentation zu begleiten.

Die kontinuierliche Risikoanalyse umfasst insbesondere die Identifikation von Bedrohungen und Schwachstellen, die Bewertung von Eintrittswahrscheinlichkeit und potenziellen Auswirkungen sowie die Priorisierung konkreter Maßnahmen. Dazu zählen unter anderem sichere Voreinstellungen ("secure by default"), Schutzmechanismen gegen unbefugten Zugriff, regelmäßige Sicherheitsupdates sowie Prozesse zum Umgang mit Schwachstellen.

Die IEC-62443-4-2-zertifizierten Managed Switches der Serien ‚EDS-4000/G4000‘ von Moxa unterstützen den Aufbau kompletter Gigabit-Netzwerkarchitekturen sowie deren Zertifizierung nach IEC 62443-3-3 auf Security Level 2. © Moxa

In der begleitenden Dokumentation halten Hersteller nachvollziehbar fest, wie Risiken bewertet wurden, welche Maßnahmen ergriffen wurden und wie deren Wirksamkeit sichergestellt wird. Sie dient sowohl der internen Qualitätssicherung als auch als Nachweis gegenüber Dritten. Die Dokumentation bildet die Grundlage für Transparenz, Auditierbarkeit und Vertrauen in die Produktsicherheit.

Anzeige

Die folgenden hypothetischen Beispiele aus der Praxis der OT-Hardware-Vernetzung und -Kommunikation illustrieren, wie Maschinenbauer diese Anforderungen des CRA umsetzen können. Zusammen mit den sogenannten "Evil User Stories", also bewusst missbräuchlichen oder unbeabsichtigten Nutzungsszenarien zur Identifikation sicherheitsrelevanter Risiken, können sie als Inspiration für eigene Maschinen und Anlagen dienen.

Viele Sicherheitsmaßnahmen lassen sich zwar teilweise auf IT-Ebene umsetzen, etwa wenn Zugriffe auf die OT über zentrale IT-Systeme erfolgen. In der Praxis zeigt sich jedoch, dass Schutzmechanismen auf der Feldebene häufig unzureichend berücksichtigt werden, obwohl dort ein direkter Zugang zu Maschinen und Anlagen besteht.

Beispiel 1: Einfach zugänglicher Schaltschrank

Situation: Ein Schaltschrank lässt sich einfach öffnen und über freie Ports eines Switches kann direkt auf die Maschine und das OT-Netzwerk zugegriffen werden.

Evil User Story: Ein Mitarbeiter aus der Fertigung verbindet sich während der Nachtschicht unbemerkt über einen freien Port mit der Maschine. Über seinen Laptop erhält er Zugriff auf alle angebundenen elektronischen Geräte und kann diese manipulieren oder sabotieren. Wenn er geschickt vorgeht, lässt sich dies kaum nachweisen. Der Vorfall bleibt zunächst unentdeckt und führt entweder unmittelbar oder zeitverzögert zu einem Produktionsstillstand.

Risiko: Für den Maschinenbauer besteht das Risiko darin, dass der Angriff nicht eindeutig nachweisbar ist und der Produktionsausfall als technischer Defekt der Maschine interpretiert wird. Schadensersatzforderungen des Betreibers können erhebliche wirtschaftliche Folgen nach sich ziehen. Die Eintrittswahrscheinlichkeit dieses Szenarios ist vergleichsweise gering, die potenziellen Auswirkungen sind jedoch hoch.

Mögliche Maßnahmen zur Risikominderung: Das gezielte Deaktivieren ungenutzter Ethernet-Ports stellt eine einfache technische Maßnahme dar, die im Rahmen einer CRA-orientierten Risikoanalyse und Konfigurationsdokumentation nachvollziehbar beschrieben werden kann. Maschinenbauer, die Unmanaged Switches einsetzen, können durch den Einsatz von Managed Switches ungenutzte Ports gezielt deaktivieren und so einen unbemerkten Zugriff erschweren. Ergänzend kann der physische Zugriff auf den Schaltschrank eingeschränkt werden, etwa durch geeignete Schließmechanismen und organisatorische Vorgaben zur Schlüsselverwaltung. Diese Vorgaben müssen jedoch Bestandteil der vertraglichen Vereinbarungen mit dem Maschinenbetreiber sein.

Für Fälle, in denen Managed Switches nicht infrage kommen, gibt es physische Alternativen. Spezialschlüssel für den Schaltschrank können ebenfalls eingesetzt werden. Dabei muss sichergestellt werden, dass diese vor Ort sicher verwahrt und verwaltet werden. So kann der physische Zugriff erschwert werden.

Dieses Szenario verdeutlicht die Notwendigkeit, physische und logische Zugriffe auf Edge-Komponenten auf der Feldebene systematisch zu bewerten und zu dokumentieren.

Beispiel 2: Unverschlüsselte Kommunikation über Legacy-Geräte

Situation: In einer Anlage sind ältere Endgeräte mit seriellen Schnittstellen im Einsatz, die über Serial-to-Ethernet-Gateways an das OT-Netzwerk angebunden sind. Diese Kommunika-tion zur Leitebene erfolgt häufig unverschlüsselt.

Evil User Story: Ein externer Angreifer, zum Beispiel ein Hacker oder eine Gruppe Cyberkrimineller, verschafft sich Zugriff auf das OT-Netzwerk und manipuliert die Kommunikation mittels Spoofing, also der Vortäuschung einer falschen Identität oder Herkunft. Aufgrund der fehlenden Verschlüsselung lassen sich Identitäten oder Dateninhalte vergleichsweise leicht verfälschen.

Risiko: Der Angreifer kann Betriebsdaten manipulieren oder Prozesse gezielt sabotieren. Werden solche Eingriffe geschickt durchgeführt, kann es lange dauern, bis die Ursache erkannt wird.

Mögliche Maßnahmen zur Risikominderung: Unverschlüsselte Kommunikation stellt im CRA-Kontext ein relevantes Risiko für Vertraulichkeit und Integrität dar und muss im Rahmen der Risikoanalyse berücksichtigt werden. Viele aktuelle Gateways unterstützen verschlüsselte Kommunika- tionsmechanismen, erfordern jedoch eine entsprechende Konfiguration. Durch den Einsatz moderner Gateway-Generationen können Maschinenbauer bestehende Anlagen im Rahmen eines Retrofittings sicherer anbinden, ohne komplette Maschinen ersetzen zu müssen.

Beispiel 3: Industrie-PC mit altem Betriebssystem

Situation: In bestehenden Maschinen im Feld kommen häufig HMIs zum Einsatz, deren Betriebssysteme nicht mehr mit Sicherheitsupdates versorgt werden. Denn die Lebensdauer vieler Maschinen übersteigt den Supportzeitraum der verwendeten Betriebssysteme deutlich.

Evil User Story: Ein Servicetechniker schließt seinen Laptop an das OT-Netzwerk an, ohne zu wissen, dass dieser mit Schadsoftware infiziert ist. Der Schadcode verbreitet sich im Netzwerk und nutzt ungepatchte Schwachstellen der HMIs aus, um diese funktionsunfähig zu machen.

Risiko: Es handelt sich um eine unbeabsichtigte Sabotage. Aufgrund regelmäßig genutzter Servicezugänge ist die Eintrittswahrscheinlichkeit erhöht, während die Auswirkungen bis hin zum vollständigen Produktionsstillstand reichen können.

Mögliche Maßnahmen zur Risikominderung: Der vollständige Austausch betroffener HMIs ist in vielen Fällen sehr aufwändig und kostenintensiv. Industrielle Firewalls mit Funktionen wie Virtual Patching ermöglichen es, Schwachstellen in Edge-nahen HMIs auch dann abzusichern, wenn keine Betriebssystem-Updates mehr verfügbar sind. Dabei wird das Muster eines bekannten Exploits oder Virus erkannt und blockiert. Die Datenpakete werden nicht an das HMI zugestellt, sondern verworfen. Auf diese Weise sichern Firewalls auch Bestandssysteme risikobasiert ab und tragen zu einer risikobasierten Absicherung im CRA-Kontext bei.

Systematisch Sicherheitsrisiken minimieren

Der Autor: Philipp Jauch ist Industry Market Manager Industrial Automation bei Moxa Europe. © Moxa

Die Beispiele zeigen, dass sich insbesondere auf der Feldebene mit überschaubaren technischen und organisatorischen Maßnahmen Sicherheitsrisiken an Maschinen- und Anlagenkomponenten reduzieren lassen. Gleichzeitig entsteht eine belastbare Grundlage für eine spätere CRA-orientierte Dokumentation im Rahmen der Produktentwicklung und -betreuung.

Redaktion: Andrea Gillhuber

  • Xing Icon
  • LinkedIn Icon
Anzeige
zurück zur Themenseite
Anzeige

Das könnte Sie auch interessieren

Anzeige
Anzeige
Anzeige
Anzeige

Illumio

Warum IT/OT-Grenzen neu gedacht werden müssen

Smart Factories verbinden Produktionsanlagen, Steuerungen und IT-Systeme über gemeinsame Netzwerke – eine Entwicklung, die die Effizienz zwar steigert, aber auch zusätzliche Angriffsflächen schafft. Um diese Risiken zu beherrschen, müssen...

mehr...

Axians

Fünf unbequeme Wahrheiten über OT‑Security

Firewalls kaufen kann jeder. OT-Security machen die wenigsten wirklich. Timmi Hopf, Business Development Manager OT Cybersecurity bei Axians, benennt in seinem Kommentar fünf unbequeme Wahrheiten aus der Praxis und erklärt, warum der erste Schritt...

mehr...
Anzeige
Anzeige
Anzeige

Parasoft

So entspricht Software der EU-Verordnung

Neue gesetzliche Vorgaben zur Cybersicherheit betreffen nahezu alle Anbieter digitaler Produkte im EU-Markt. Die Cyberresilienz-Verordnung definiert verbindliche Standards und Meldepflichten. Dieser Beitrag gibt einen strukturierten Überblick über...

mehr...
Jetzt Newsletter abonnieren