Cybersicherheit in Industrieanlagen mit IIoT

Immer, wenn eine IIoT-Lösung in einer Industrieanlage implementiert wird, sind darin sensible Daten enthalten, die besonders geschützt werden müssen. Darüber hinaus erfordert die Verbindung zum Internet ständige Aufmerksamkeit und Betreuung. Die Technologie entwickelt sich in rasantem Tempo, und jedes System muss ständig mit der Weiterentwicklung der Cybersicherheit mithalten – in einer Industrieanlage ebenso wie überall sonst.

Für ein zuverlässiges Informationssicherheitsmanagement reicht es nicht aus, nur die Daten zu verschlüsseln. Gefordert ist vielmehr ein Gesamtkonzept, das unter anderem umfasst:

• Einhaltung von Gesetzen und Normen: Die einschlägigen gesetzlichen Vorgaben und empfohlenen Normen sollten erfüllt werden (z. B. ISO 27001, ISO 27017, DSGVO etc.).
• Datensicherheit: Es versteht sich von selbst, dass eine IIoT-Lösung sensible Daten enthält. Diese müssen sorgsam und unter strikter Einhaltung der festgelegten Prozesse behandelt werden.
• Server-Standorte: In allen Bereichen, in denen die Technologie des Cloud-Computing zum Einsatz kommt, werden Daten auf den vom Provider gehosteten Servern gespeichert. Je nach lokalem Rechtssystem entspricht der Standort der Server einem höheren bzw. niedrigeren Niveau von Cybersicherheit. Europäische Standorte bieten dank der dort geltenden Datenschutzgesetze die höchsten Standards.
• Organisatorische Prozesse: Cybersicherheit ist nicht möglich ohne die Anwendung organisatorischer Prozesse, die definieren, welche Daten von wem, auf welche Weise und zu welchem Zeitpunkt zu verarbeiten sind.
• Transparenz: Vertrauenswürdige Anbieter digitaler Lösungen verfügen über ein klares und transparentes Support-System, das dem Kunden zu jeder Zeit den Status seiner Anfrage anzeigt.
• Anwendungsfunktionen: Alle Anforderungen der ISO 27001 und ISO 27017 wurden von Endress+Hauser umgesetzt. Insgesamt 121 Maßnahmen decken den gesamten Betrieb des Unternehmens ab. Sie werden kontinuierlich überwacht und bei Bedarf aktualisiert.

Wenn eine IIoT-Technologie bereitgestellt wird, müssen alle diese Punkte berücksichtigt, umgesetzt und regelmäßig überprüft werden. Bestehende Regelwerke für Audits und Standardisierung, Gesetze und Best Practices können während der Implementierung praktische Unterstützung bieten.

Endress+Hauser hat sein IIoT-Ökosystem Netilion von unabhängigen Zertifizierungsstellen bewerten lassen und damit nachgewiesen, dass es höchste Standards für Informationssicherheit erfüllt. Von Anfang an wurde den Kriterien, die das Informationssicherheitsmanagement betreffen, höchste Aufmerksamkeit geschenkt. Sie dienen als nützliche Richtlinie für die Implementierung digitaler Services und die Gewährleistung einer guten Cybersicherheit in der Industrie.

• Einhaltung von Gesetzen und Normen: Durch die Einrichtung eines professionellen Informationssicherheitsmanagements unter Verwendung von IIoT-Technologien erhielt Endress+Hauser die folgenden Zertifizierungen für das Management von Netilion:
• ISO 27001 Informationssicherheitsmanagement
• ISO 27017 Anwendungsleitfaden für Informationssicherheitsmaßnahmen für Cloud Dienste
• ISO 9001 Qualitätsmanagementsystem
• Datensicherheit: Die im Netilion-Ökosystem gespeicherten und verarbeiteten Kundendaten werden immer mit größter Sorgfalt behandelt. Benutzer haben das Recht, ihre Daten einzugeben, über ihre Daten Auskunft zu erhalten sowie ihre Daten zu aktualisieren und zu löschen. Alle Maßnahmen erfüllen die Anforderungen der DSGVO.
• Server-Standorte: Die Server, auf denen das Netilion-Ökosystem untergebracht ist, stehen in Frankfurt und Dublin. Aus Sicht der Cybersicherheit gelten Server mit Standorten in der Europäischen Union als sehr sicher.
• Organisatorische Prozesse: Endress+Hauser hat Prozesse eingerichtet, die in Notfällen, in denen die Datensicherheit gefährdet werden könnte, ein schnelles Reagieren gewährleisten. Alle Prozesse erfüllen die DSGVO. Die Betroffenen werden umgehend informiert, und Gegenmaßnahmen werden ergriffen.
• Transparenz: Endress+Hauser hat einen transparenten Support-Prozess implementiert, der den Kunden klar und verständlich darüber informiert, wie seine Anfrage behandelt wird.
• Anwendungsfunktionen: Die Benutzeroberfläche des Netilion IIoT-Ökosystems verfügt über alle notwendigen Funktionen, u. a. eine Passwortrichtlinie auf dem Stand der Technik, automatisierte Passwortverwaltung, zeitgesteuerte Abmeldung und Exportfunktionen.

Es gibt eine Reihe von Kriterien, die für ein professionelles Informationssicherheitsmanagement als unerlässlich angesehen werden. Alle diese Kriterien werden vom Netilion-Ökosystem abgedeckt:

• Verschlüsselung sensibler Informationen: Das IIoT-Ökosystem Netilion von Endress+Hauser bietet einen professionellen Schutz für Informationen:
• Passwörter werden mit „bcrypt + salt + pepper“ verschlüsselt.
• Die Benutzeridentifizierung arbeitet mit OAuth2-fähigen tokenisierten Verfahren.
• Die Kommunikation erfolgt https-verschlüsselt.
• Übertragung von Prozessdaten über Gateways: Ein Punkt, der im Hinblick auf die Cybersicherheit in Industrieanlagen höchste Aufmerksamkeit erfordert, ist das Gateway, denn das Gateway ist der Zugangspunkt. Bei Netilion-fähigen Gateways erfolgt die Kommunikation stets nur in eine Richtung: Felddaten werden vom Gateway weitergeleitet und an die Cloud gesendet, eine Kommunikation in die andere Richtung ist dagegen verboten. Diese Architektur ist so konzipiert, dass sie das Feld vor Manipulation schützt.
• Zertifizierung: Eine unabhängige Zertifizierungsstelle hat bestätigt, dass das IIoT-Ökosystem Netilion die Anforderungen der ISO 27017 erfüllt. Diese internationale Norm enthält Anforderungen an Cloud-Plattformen. Die Konformität mit ISO 27017 stellt sicher, dass Kunden darauf vertrauen können, dass das Netilion-Ökosystem einen sicheren Hafen für ihre Daten bietet. Außerdem hat Endress+Hauser Digital Solutions, das Unternehmen, das das IIoT-Ökosystem Netilion entwickelt, die Zertifizierung nach ISO 27001 für Informationssicherheit erhalten.