Fernzugriff auf die Automatisierungstechnik
Zero Trust stärkt Zellenschutz
Homeoffice und Fernzugriff - was viele Hersteller IT-seitig bereits umsetzen, weckt auf Werks- und Konstruktionsebene noch oft Begehrlichkeiten. Doch auch hier können Aufgaben extern erledigt werden. Für solche Projekte kooperieren Siemens und Zscaler Inc., um einen duchgängigen Zero Trust-Sicherheitsansatz für OT/IT zu ermöglichen.
Klassischer perimeter-basierter Ansatz mit Fernzugriff über Rendezvous Server und Jump Host auf segmentiertes OT-Netzwerk mit separaten, über eigene Firewalls abgesicherten, vertrauenswürdigen Zellen.
Klassischer perimeter-basierter Ansatz mit Fernzugriff über Rendezvous Server und Jump Host auf segmentiertes OT-Netzwerk mit separaten, über eigene Firewalls abgesicherten, vertrauenswürdigen Zellen. Bild: Siemens AG

Es war eine Frage der Zeit, bis das aus der Bürowelt kommende mobile Arbeiten – aus dem Homeoffice oder der Ferne allgemein – auch auf die Welt der Operational Technology (OT) abstrahlen würde. Zumal sich beide Spähren ohnehin mehr und mehr verzahnen. Die Pandemie hat den Wunsch vieler Prozess- und Anlagenbetreiber nach Zugriffsmöglichkeiten von außen, über die Fernwartung hinaus, weiter verstärkt. Diese Marktanforderung bewogen die beiden Unternehmen Siemens und Zscaler Inc, einen durchgängigen Zero-Trust-Sicherheitsansatz für OT/IT zu erarbeiten.

OT ist nicht IT!

Heterogene, oft über Jahre gewachsene industrielle Kommunikationsnetzwerke stellen in mehrfacher Hinsicht andere Anforderungen als reine IT-Lösungen. Daten in der Produktion müssen vielfach deterministisch in Echtzeit kommuniziert werden. Zudem sind oft Safety-Funktionen, Verfügbarkeit und Knowhow-Schutz sicherzustellen. Hinzu kommt, dass ältere Komponenten mitunter gänzlich offen und unverschlüsselt kommunizieren. Um Cyberangriffe abwehren zu können, wurden auf die Industrie abgestimmte Schutzkonzepte entwickelt, wie das Defense-in-Depth-Konzept, die tiefengestaffelte Verteidigung nach IEC62443. Die Netzwerksicherheit fußt dabei auf einer individuellen Risikobewertung und segmentierten Netzwerken mit separat über eigene Firewalls geschützten Produktionszellen. Der Austausch mit dem Büronetzwerk oder Internet läuft in einem solchen perimeterbasierten Netzwerk über eine sogenannte demilitarisierte Zone (DMZ) oder spezielle Rendezvous Server und Jump Hosts. In Büronetzwerken mit ihren vielen meist neueren Devices und ständigen Veränderungen hat sich dagegen häufig ein Schutzkonzept etabliert, bei dem keinem Teilnehmer per se vertraut wird (never trust, always verify). Dieser Zero-Trust-Ansatz setzt voraus, dass alle Netzwerkteilnehmer – Benutzer wie Geräte – erst ihre Identität und Integrität nachweisen, bevor die Kommunikation mit der Zielressource aufgebaut wird. Weil viele Automatisierungskomponenten und Netzwerkinfrastrukturen damit überfordert wären, lässt sich dieses zentral verwaltete Konzept nicht ohne Anpassungen vollständig auf industrielle Netzwerke übertragen.

Scalance LPE ist eine klein und robust ausgelegte lokale Verarbeitungsplattform etwa für Edge-Anwendungen.
Scalance LPE ist eine klein und robust ausgelegte lokale Verarbeitungsplattform etwa für Edge-Anwendungen.Bild: Siemens AG

Konvergente Lösungen

Um OT und IT dennoch zu integrieren, haben Siemens und Zscaler ihre Systemkompetenzen so gebündelt, dass ein Zero-Trust-Sicherheitsansatz für OT/IT-Umgebungen möglich wird. Als rubuste Hardware an oder in den Fertigungszellen dient die lokale Verarbeitungsplattform Scalance LPE (Local Processing Engine) von Siemens. Deren Kernaufgabe ist das Sammeln von Daten und deren Vorverarbeitung nahe am Prozess. Dazu wird das Gerät via Ethernet in ein Zellennetzwerk eingebunden. Das Edge-Device mit einem Betriebssystem auf Linux-Basis führt den App Connector des cloud-basierten Remote Access-Service Zscaler Private Access (ZPA) aus, der sich als Docker-Container installieren lässt. Über den App Connector können die Edge-Devices von Siemens in der Zero-Trust-Exchange-Cloud-Plattform aufgenommen und konfiguriert werden. Anschließend fungiert sie als Zero-Trust-Gateway für ihre Zelle, die in sich als vertrauenswürdig betrachtet wird. Die Plattform überwacht die für den Zugriff notwendigen Regelsätze und stellt die Schnittstellen für Identity Provider bereit. Sie lässt nur identifizierte und autorisierte Teilnehmer auf die für diese freigegebenen Ressourcen zugreifen. So können unternehmensweit administrierte Anwender aus der Ferne und abgesichert auf lokale Produktions- oder Entwicklungssysteme zugreifen. Spezifische Berechtigungskonzepte unterstützen die Anforderungen von Echtzeit- oder Safety-Anwendungen wie der Verfügbarkeit und des Knowhow-Schutzes. Dabei soll das zentrale Management in der Plattform ermöglichen, zusätzliche Verbindungen für das Zusammenspiel von OT und IT einzurichten und gleichzeitig die Firewall-Regelsätze restriktiver zu konfigurieren.

Administratoren können in der Cloud-Plattform Zugriffsregeln definieren.
Administratoren können in der Cloud-Plattform Zugriffsregeln definieren.Bild: Siemens AG

Anwender mit Zscaler- und Siemens-Infrastruktur gesucht

Nachdem Siemens das Konzept in den eigenen Netzwerken mit hunderttausend Zscaler-Teilnehmern getestet hat, will man nun weitere geeignete Anwendungen im Produktions- und Entwicklungsumfeld definieren und Lösungen dafür umzusetzen. Im Fokus stehen zunächst Unternehmen, die IT-seitig bereits auf die Zscaler-Plattform und in der Produktion auf Netzwerktechnik von Siemens setzen. Diese können den neuen Ansatz ohne großen Aufwand und grundlegende Veränderungen an der Netzwerkinfrastruktur implementieren.

Lösungen weiter nutzbar

Bestehende Defense-in-Depth-Konzepte bleiben beim Griff zum neuen Angebot weiterhin bestehen und werden lediglich um Zero-Trust-Funktionalitäten erweitert. Auch klassische VPN-basierte Fernzugriffe sowie die dazugehörige Management-Plattform sollen weiterentwickelt werden. Je nach Branche, Anwendungsfall und Unternehmensrichtlinie bieten beide Konzepte Vorteile. Doch langfristig gesehen könnten Zero-Trust-Konzepte nicht nur Betriebskosten senken, sondern auch zu einer höheren Cybersicherheit im Produktionsumfeld beitragen.

www.siemens.de

Das könnte Sie auch Interessieren

Bild: Indu-Sol GmbH
Bild: Indu-Sol GmbH
Verschleiß dauerhaft überwachen, Schäden frühzeitig erkennen

Verschleiß dauerhaft überwachen, Schäden frühzeitig erkennen

Nicht nur Motoren und Pumpen sind in Produktionsanlagen dem Verschleiß unterworfen, sondern auch die Datenleitungen der Maschinen- und Anlagennetzwerke einschließlich der Kabel und Stecker. Dauernde Wechselbiegebeanspruchungen, Erschütterungen sowie Oxidation und Korrosion lassen der Alterung und dem Verschleiß ungehinderten Lauf. Doch während der mechanische Verschleiß mit den Sinnesorganen analog wahrnehmbar ist, macht sich der Verschleiß einer Datenleitung erst im Extremfall bemerkbar: dem Ausfall. Um dem entgegenzuwirken, sind intelligente managed Switches vonnöten, mit denen der physikalische Zustand der Datenleitung digitalisiert und somit sichtbar wird.

Bild: ©Chlorophylle/stock.adobe.com
Bild: ©Chlorophylle/stock.adobe.com
Steigendes Interesse an Ersatzteilmanagement auf Knopfdruck

Steigendes Interesse an Ersatzteilmanagement auf Knopfdruck

Volle Auftragsbücher und dennoch Sorgenfalten im mittelständischen Maschinen- und Anlagenbau aufgrund brüchiger Lieferketten, dazu Entlassungswellen und zunehmende Zurückhaltung bei Investitionen in junge Technologieunternehmen: Der Wind wird rauer. Zugleich aber zeigen vor allem junge B2B-Plattformanbieter wie PartsCloud auch in der Krise ein robustes Wachstum, da sie viele der aktuell im Fokus stehenden Herausforderungen adressieren.

Bild: Lünendonk & Hossenfelder GmbH
Bild: Lünendonk & Hossenfelder GmbH
Lühnendonk-Studie: Industrieservice-Unternehmen in Deutschland 2022

Lühnendonk-Studie: Industrieservice-Unternehmen in Deutschland 2022

Die zehn führenden Industrieservice-Unternehmen in Deutschland sind um 9,5 Prozent gegenüber dem Vorjahr gewachsen. Damit generieren die Marktführer ein noch stärkeres Wachstum als die 20 Unternehmen der Lünendonk-Liste, die im Durchschnitt um 6,6 Prozent gegenüber dem Vorjahr wuchsen. Diese Entwicklung ist u.a. auf Aufholeffekte nach dem pandemiebedingten Krisenjahr 2020 zurückzuführen, von dem der Industrieservice besonders stark betroffen war.