Fernzugriff auf die Automatisierungstechnik

Zero Trust stärkt Zellenschutz

Homeoffice und Fernzugriff - was viele Hersteller IT-seitig bereits umsetzen, weckt auf Werks- und Konstruktionsebene noch oft Begehrlichkeiten. Doch auch hier können Aufgaben extern erledigt werden. Für solche Projekte kooperieren Siemens und Zscaler Inc., um einen duchgängigen Zero Trust-Sicherheitsansatz für OT/IT zu ermöglichen.
Klassischer perimeter-basierter Ansatz mit Fernzugriff über Rendezvous Server und Jump Host auf segmentiertes OT-Netzwerk mit separaten, über eigene Firewalls abgesicherten, vertrauenswürdigen Zellen.
Klassischer perimeter-basierter Ansatz mit Fernzugriff über Rendezvous Server und Jump Host auf segmentiertes OT-Netzwerk mit separaten, über eigene Firewalls abgesicherten, vertrauenswürdigen Zellen. Bild: Siemens AG

Es war eine Frage der Zeit, bis das aus der Bürowelt kommende mobile Arbeiten – aus dem Homeoffice oder der Ferne allgemein – auch auf die Welt der Operational Technology (OT) abstrahlen würde. Zumal sich beide Spähren ohnehin mehr und mehr verzahnen. Die Pandemie hat den Wunsch vieler Prozess- und Anlagenbetreiber nach Zugriffsmöglichkeiten von außen, über die Fernwartung hinaus, weiter verstärkt. Diese Marktanforderung bewogen die beiden Unternehmen Siemens und Zscaler Inc, einen durchgängigen Zero-Trust-Sicherheitsansatz für OT/IT zu erarbeiten.

OT ist nicht IT!

Heterogene, oft über Jahre gewachsene industrielle Kommunikationsnetzwerke stellen in mehrfacher Hinsicht andere Anforderungen als reine IT-Lösungen. Daten in der Produktion müssen vielfach deterministisch in Echtzeit kommuniziert werden. Zudem sind oft Safety-Funktionen, Verfügbarkeit und Knowhow-Schutz sicherzustellen. Hinzu kommt, dass ältere Komponenten mitunter gänzlich offen und unverschlüsselt kommunizieren. Um Cyberangriffe abwehren zu können, wurden auf die Industrie abgestimmte Schutzkonzepte entwickelt, wie das Defense-in-Depth-Konzept, die tiefengestaffelte Verteidigung nach IEC62443. Die Netzwerksicherheit fußt dabei auf einer individuellen Risikobewertung und segmentierten Netzwerken mit separat über eigene Firewalls geschützten Produktionszellen. Der Austausch mit dem Büronetzwerk oder Internet läuft in einem solchen perimeterbasierten Netzwerk über eine sogenannte demilitarisierte Zone (DMZ) oder spezielle Rendezvous Server und Jump Hosts. In Büronetzwerken mit ihren vielen meist neueren Devices und ständigen Veränderungen hat sich dagegen häufig ein Schutzkonzept etabliert, bei dem keinem Teilnehmer per se vertraut wird (never trust, always verify). Dieser Zero-Trust-Ansatz setzt voraus, dass alle Netzwerkteilnehmer – Benutzer wie Geräte – erst ihre Identität und Integrität nachweisen, bevor die Kommunikation mit der Zielressource aufgebaut wird. Weil viele Automatisierungskomponenten und Netzwerkinfrastrukturen damit überfordert wären, lässt sich dieses zentral verwaltete Konzept nicht ohne Anpassungen vollständig auf industrielle Netzwerke übertragen.

Scalance LPE ist eine klein und robust ausgelegte lokale Verarbeitungsplattform etwa für Edge-Anwendungen.
Scalance LPE ist eine klein und robust ausgelegte lokale Verarbeitungsplattform etwa für Edge-Anwendungen.Bild: Siemens AG

Konvergente Lösungen

Um OT und IT dennoch zu integrieren, haben Siemens und Zscaler ihre Systemkompetenzen so gebündelt, dass ein Zero-Trust-Sicherheitsansatz für OT/IT-Umgebungen möglich wird. Als rubuste Hardware an oder in den Fertigungszellen dient die lokale Verarbeitungsplattform Scalance LPE (Local Processing Engine) von Siemens. Deren Kernaufgabe ist das Sammeln von Daten und deren Vorverarbeitung nahe am Prozess. Dazu wird das Gerät via Ethernet in ein Zellennetzwerk eingebunden. Das Edge-Device mit einem Betriebssystem auf Linux-Basis führt den App Connector des cloud-basierten Remote Access-Service Zscaler Private Access (ZPA) aus, der sich als Docker-Container installieren lässt. Über den App Connector können die Edge-Devices von Siemens in der Zero-Trust-Exchange-Cloud-Plattform aufgenommen und konfiguriert werden. Anschließend fungiert sie als Zero-Trust-Gateway für ihre Zelle, die in sich als vertrauenswürdig betrachtet wird. Die Plattform überwacht die für den Zugriff notwendigen Regelsätze und stellt die Schnittstellen für Identity Provider bereit. Sie lässt nur identifizierte und autorisierte Teilnehmer auf die für diese freigegebenen Ressourcen zugreifen. So können unternehmensweit administrierte Anwender aus der Ferne und abgesichert auf lokale Produktions- oder Entwicklungssysteme zugreifen. Spezifische Berechtigungskonzepte unterstützen die Anforderungen von Echtzeit- oder Safety-Anwendungen wie der Verfügbarkeit und des Knowhow-Schutzes. Dabei soll das zentrale Management in der Plattform ermöglichen, zusätzliche Verbindungen für das Zusammenspiel von OT und IT einzurichten und gleichzeitig die Firewall-Regelsätze restriktiver zu konfigurieren.

Administratoren können in der Cloud-Plattform Zugriffsregeln definieren.
Administratoren können in der Cloud-Plattform Zugriffsregeln definieren.Bild: Siemens AG

Anwender mit Zscaler- und Siemens-Infrastruktur gesucht

Nachdem Siemens das Konzept in den eigenen Netzwerken mit hunderttausend Zscaler-Teilnehmern getestet hat, will man nun weitere geeignete Anwendungen im Produktions- und Entwicklungsumfeld definieren und Lösungen dafür umzusetzen. Im Fokus stehen zunächst Unternehmen, die IT-seitig bereits auf die Zscaler-Plattform und in der Produktion auf Netzwerktechnik von Siemens setzen. Diese können den neuen Ansatz ohne großen Aufwand und grundlegende Veränderungen an der Netzwerkinfrastruktur implementieren.

Lösungen weiter nutzbar

Bestehende Defense-in-Depth-Konzepte bleiben beim Griff zum neuen Angebot weiterhin bestehen und werden lediglich um Zero-Trust-Funktionalitäten erweitert. Auch klassische VPN-basierte Fernzugriffe sowie die dazugehörige Management-Plattform sollen weiterentwickelt werden. Je nach Branche, Anwendungsfall und Unternehmensrichtlinie bieten beide Konzepte Vorteile. Doch langfristig gesehen könnten Zero-Trust-Konzepte nicht nur Betriebskosten senken, sondern auch zu einer höheren Cybersicherheit im Produktionsumfeld beitragen.

www.siemens.de

Das könnte Sie auch Interessieren

Bild: Flexco Europe GmbH
Bild: Flexco Europe GmbH
„Anlagen verdienen während der Wartung kein Geld“

„Anlagen verdienen während der Wartung kein Geld“

Ausgelöst durch den wachsenden E-Commerce müssen Bandförderanlagen immer mehr leisten, gleichzeitig steigen die Sicherheitsanforderungen. Der Wettbewerbsdruck bei den Versandhändlern und den KEP- (Kurier-, Express- und Paket-) Diensten nimmt damit enorm zu. Strategic Account Manager Tobias Haardt und Produkt Manager Harry Schiminski von Flexco Europe kennen die Herausforderungen ihrer Kunden und präsentierten auf der Logimat effiziente Lösungen.

Bild: Bachmann electronic GmbH / ©bill2499/stock.adobe.com
Bild: Bachmann electronic GmbH / ©bill2499/stock.adobe.com
Bachmann mit neuem Beratungsangebot für Condition Monitoring

Bachmann mit neuem Beratungsangebot für Condition Monitoring

Die Besitzer und Betreiber von Windenergieanlagen stehen zunehmend unter Druck, ihre Produktivität zu steigern, erschwingliche Energie zu liefern und höhere Renditen für Investoren zu erzielen. Die Informationen, die zur Optimierung der Wartung, für Kostensenkungen und die Reduzierung von Ausfallzeiten benötigt werden, sind in den standardisierten, täglichen Zustandsüberwachungsdaten ihrer Windkraftanlagen zu finden.

Bild: Sybit GmbH
Bild: Sybit GmbH
Field Service Management als Innovationsfaktor

Field Service Management als Innovationsfaktor

Falsche Ersatzteile, lange Wartezeiten, ineffiziente Planung. Im Field Service kann einiges schief gehen. Das große Problem: Die ganze Marke leidet, wenn Kunden nicht zufrieden sind mit einem Technikereinsatz. Beim Sybit Expert Talk Service diskutierten drei Experten vor über 50 Gästen, wie man es besser macht – und den Kundenservice von der Kostenstelle in einen Umsatztreiber verwandeln kann.

Bild: Coresystems AG
Bild: Coresystems AG
KI-gestützte Datenanalyselösung

KI-gestützte Datenanalyselösung

Coresystems hat das Produkt InsightLoop neu auf den Markt gebracht. Dabei handelt es sich um eine KI-gestützte Datenanalyselösung, die es Unternehmen ermöglichen soll, tiefe Einblicke in ihre Aussendiensttätigkeiten zu gewinnen um so die Effizienz und Kundenzufriedenheit steigern zu können.

Bild: ABB AG
Bild: ABB AG
Den Gerätestatus genau kennen

Den Gerätestatus genau kennen

Unternehmen werden zunehmend digitaler. Viele versprechen sich von der Digitalisierung, ihre unterschiedlichen Herausforderungen schneller, einfacher und häufig auch besser lösen zu können. Dabei macht es Sinn, besonders Antriebe transparent zu machen, die eine Schlüsselrolle in der Produktion spielen.