Loading
Blog

Der Patch Management-Prozess für Operations

Woman holding laptop standing infront of big device

Smart Manufacturing war gut für die Produktion, aber schlecht für die Sicherheit von Industriesteuerungssystemen. Sehen wir uns an, wie die Lebensmittel- und Getränkeindustrie gegensteuert.

Bei der Cyber-Hygiene hat die Lebensmittel- und Getränkeindustrie einiges erreicht. Das ist gut, denn das ist die entscheidende Grundlage für Cybersicherheit im Zusammenhang mit Industriesteuerungssystemen (Industrial Control Systems, ICS). Bislang drehte sich alles um die Netzwerkinfrastruktur, doch jetzt rücken Verfahren und Strategien hinsichtlich der Cybersicherheit in den Mittelpunkt. Doch wie hat die Entwicklung eigentlich angefangen?

Geschaffen wurde das Problem schon vor 20 bis 30 Jahren. Damals hat die Lebensmittel- und Getränkeindustrie in rascher Folge neue, proprietäre Technologien in ihre Fertigungsanlagen integriert. Da es sich um geschlossene und isolierte Systeme handelte, war Cybersicherheit einfach kein Thema.  

In den vergangenen 10 Jahren hat dann die Verbreitung von ICS und über Ethernet vernetzten Geräten zuvor kaum vorstellbare Verbesserungen bei Produktivität, Qualität, Compliance und Schnelligkeit der Markteinführung ermöglicht. Im gleichen Zug ist auch die Vernetzung dieser Legacy-Systeme untereinander sowie die Anbindung neuer Systeme wesentlich einfacher geworden. Diese offene Kommunikation über das standardmäßige Ethernet-Protokoll hat jedoch auch Sicherheitslücken hervorgebracht und ein ganz neues Problem: das Patch Management für Legacy-Systeme.

Eine aktueller Bericht des Food Protection and Defense Institute führt aus, wie veraltete Legacy-Systeme Angriffe auf Ihr Unternehmen begünstigen. Die Folge sind Betriebsunterbrechungen, die Beschädigung von Ausrüstung sowie Gefahren für die Sicherheit von Mitarbeitern und Produkten. Unternehmen benötigen also unbedingt ein umfassendes Cybersicherheitsprogramm. Dem Patch Management kommt hierbei eine zentrale Rolle zu.

WEBINAR: Was Lebensmittel- und Getränkehersteller über Cybersicherheit wissen müssen. Registrieren Sie sich für diese erste Folge einer vierteiligen Reihe zu Best Practices in Zusammenhang mit Cybersicherheit.

Nur Bekanntes lässt sich patchen

Eine Geräteinventur ist keine neue Idee. Vielleicht haben Sie bereits intern Inventuren durchgeführt oder sogar ein externes Unternehmen hiermit beauftragt. Wirklich alles zu erfassen, ist jedoch leichter gesagt als getan. Viele Unternehmen haben hierbei Schwierigkeiten.

Es gibt zwei Inventurverfahren. Um die Sicherheit von Industriesteuerungssystemen zu gewährleisten, müssen beide durchgeführt werden.

  • Den größten Teil erledigen elektronische Inventur-Tools, die ihr Netzwerk scannen und Geräte automatisch ermitteln.
  • Der Rest wird manuell ermittelt. Dies erfordert eine herkömmliche Inventur durch Mitarbeiter vor Ort.

Ausarbeiten einer umfassenden Patching-Strategie

Aus der Inventur ergibt sich unter Umständen, dass Sie sich um Tausende Geräte kümmern müssen. Zum Glück sind nicht alle Geräte gleich. Der nächste Schritt besteht in einer Risikoanalyse. Hierbei wird anhand von Bedeutung, Gefährdung, Alter, Risikoprognose usw. ermittelt, welche Geräte unbedingt gepatcht werden müssen. Einige Anlagen haben überhaupt keine Netzanbindung. Sind sie wirklich gefährdet?

Es gibt zwei Arten von Patches, um die Sie sich kümmern müssen.

  1. Das Betriebssystem-Patching ist seit langem eine Routineaufgabe in der IT. Sie müssen das OS-Patching im Fertigungsbereich auf geplante Ausfallzeiten abstimmen, um die Beeinträchtigungen so gering wie möglich zu halten. In vielen Fällen bietet sich hier eine proaktive Zusammenarbeit zwischen IT und OT an.
  2. Patching auf Anwendungsebene ist ein anderes Thema. Mitunter geht es hier um Hunderte Anwendungen von unterschiedlichen Anwendern mit jeweils eigenen Patches. Sie müssen die Patches von den Anbieterwebsites zusammensuchen, sich über die zugehörigen Sicherheitslücken informieren und entscheiden, ob Sie die Patches benötigen.

Weil die Anwendungen jeweils eigene Konfigurationen aufweisen, erfordert das Patching auf Anwendungsebene ein wohlüberlegtes, konsistentes Testverfahren. Dieses muss vor der Implementierung im Fertigungsbereich in einer Testumgebung durchgeführt werden, da es andernfalls zu ungewollten Betriebsunterbrechungen kommen kann.

E-BOOK: Informieren Sie sich über die Dos und Don’ts beim Schutz von Netzwerken und Anlagen vor dem Hintergrund einer dynamischen Bedrohungslandschaft (PDF).

Systematisches Patch Management

Die Lebensmittel und -Getränkeindustrie agiert viel zu häufig nach dem Motto „Augen zu und durch“. Dabei mangelt es häufig nicht am Willen, sondern an den passenden Ressourcen und Spezialisten. Im Allgemeinen wird nur reagiert. Das heißt, wenn die Verfügbarkeit eines wichtigen Patches gemeldet wird, muss die Produktion eben unterbrochen werden.

Der Ablauf sieht häufig so aus:

  • Operations beauftragt die IT mit dem OT-Patching.
  • Die IT übernimmt, jedoch fehlt es an Kenntnis des Industriesteuerungssysstems und den Mitarbeitern zum Adressieren der spezifischen Anforderungen und Einschränkungen.
  • Also werden Mitarbeiter eingestellt, die IT- und OT-Rollen zugleich erfüllen können oder es erfolgt ein Outsourcing an Unternehmen wie Rockwell Automation.

Wenn Sie sich für einen Drittanbieter entscheiden, sollten Sie sich einen Partner mit umfassender Erfahrung im Bereich Operations suchen. Entscheidend ist beispielsweise die im Service Level Agreement (SLA) angegebene Reaktionszeit. Herkömmliche IT-Anbieter messen ihre Reaktionszeit in Stunden. In der Konsumgüterindustrie würden derartige Ausfallzeiten Verluste in Millionenhöhe bedeuten. Operations benötigt SLA-Reaktionszeiten in Minuten.

Das Endspiel um die Sicherheit von Industriesteuerungssystemen

Patch Management ist ein Schritt beim Aufbau eines Security Operations Center (SOC). Ein SOC bietet einen umfassenden Überblick über die Sicherheitslage, übernimmt die Disaster Recovery und gewährleistet den optimalen Betrieb ihrer vernetzten Anlage.

Zusätzlich stehen „Whitelisting“-Lösungen für den Schutz von Endgeräten zur Verfügung.  Diese Lösungen können das Patching zwar nicht vollständig ersetzen, bieten jedoch während der Entwicklung einer Patching-Strategie ausreichend Zeit.

Es gibt kein Patentrezept für Cybersicherheit. Genau deswegen benötigen Sie eine Defense-In-Depth-Strategie. Auch weil mehr als nur der Unternehmensgewinn auf dem Spiel steht, ist „Augen zu und durch“ keine annehmbare Vorgehensweise. Es geht um die Sicherheit von Lebensmitteln und Mitarbeitern. Wenn Sie Hilfe bei der Ausarbeitung oder Weiterentwicklung eines eigenen Programms benötigen, sind wir selbstverständlich für Sie da.

Veröffentlicht 13. Mai 2020

Mark Cristiano
Mark Cristiano
Global Commercial Director, Lifecycle Services, Rockwell Automation
Mark Cristiano is an expert in the field of critical infrastructure. With over 30 years of experience in IT, Mark has spent the past 15 years leading manufacturing systems on the front lines of IT/OT. Currently, Mark is a trusted advisor to manufacturers in securing their OT infrastructure.
Subscribe

Subscribe to Rockwell Automation and receive the latest news, thought leadership and information directly to your inbox.

Subscribe

Recommended For You

Loading