Nur mit einer systematischen Planung schaffen...
  • Seite
  • 1
  • 2

Nur mit einer systematischen Planung schaffen Sie ein solides Fundament für Ihre IT-Infrastruktur

laptop_mit_speichermedien.jpg Das Hauptproblem der meisten IT-Systeme in Produktionsbetrieben ist der langjährige Entwick- lungsprozess. Dabei ist fast immer die folgende Historie zu erkennen:

1. Im Verwaltungsbereich werden erste EDV- Anlagen angeschafft, die autark arbeiten.

2. In der Produktion halten Steuerungscomputer und Regelanlagen Einzug, die ebenfalls ohne Verbindung nach außen ihren Dienst tun.

3. Die EDV-Rechner werden zu kleinen Einheiten vernetzt, ein Anschluss nach außen existiert noch nicht.

4. Das Internet gewinnt an Bedeutung und die ersten Intranetze werden mit der Außenwelt verknüpft.

5. Auch die Produktionssysteme werden ins Intranet (und damit indirekt auch ins Internet) integriert, um die Fertigungsdaten für die Produktions-steuerung verfügbar zu machen. Außerdem erlangen Fernwartungs- dienste immer mehr Bedeutung.

Rasante Entwicklung verhindert sichere Strategien

Die Entwicklungsgeschwindigkeit im IT-Sektor ist extrem hoch.
Eine sichere und gut durchdachte Planung mit den dafür notwendigen Komponenten braucht aber ihre Zeit. Diese beiden Tatsachen lassen
sich kaum unter einen Hut bringen. Erschwerend kommt hinzu, dass die heutigen Sicherheitsprobleme erst mit einem erheblichen Zeitverzug erkannt wurden. Die ersten Skeptiker wurden meist als Fantasten belächelt, und auf ihre Warnungen wurde nicht gehört.

Es hilft nur eins: von Grund auf neu planen und überarbeiten

Nachbessern, Sicherheitslücken schließen, Schutzprogramme installieren – all das entwickelt sich zu einem Fass ohne Boden, wenn Sie nicht Ihre gesamte Infrastruktur auf den Prüfstand stellen und neu konzipieren.

Wenn Sie den Stand der Technik im Bereich der Datensicherheit mit der Realität in den Betrieben vergleichen, ergibt sich ein erschreckendes Bild. Aus diesem Grund hat das Bundesministerium für Sicherheit in der Informationstechnik (BSI) 2005 den Umsetzungsplan KRITIS ins Leben gerufen, der kritische Infrastrukturen vor Angriffen schützen soll.

1. Schritt: Erfassen Sie alle informationstechnischen Systeme im Betrieb

Als Erstes brauchen Sie ein Kataster für alle informations- und kommunikationstechnischen Systeme. Gehen Sie dabei in einem Top-down-Verfahren vor, d. h., Sie erfassen zunächst die großen, offensichtlichen Anlagen und gehen dann immer weiter ins Detail.
Sie können dieses Kataster grafisch erfassen und einen Gebäude- grundriss als Basis wählen, oder Sie nehmen alle Daten in Tabellen- form oder als Datenbank auf.

Ideal ist die Kombination aus beiden Lösungen, allerdings müssen Sie dann beide Systeme synchronisieren. Wenn Sie sich für nur eine Variante entscheiden wollen, bietet eine Tabelle Vorteile. Eine Grafik wird schnell unübersichtlich, und auch das nachträgliche Einfügen von Komponenten ist nicht immer möglich, wenn Sie von vornherein nicht genügend Platz vorsehen. Sortierungen, Auswertungen und eine gezielte Bericht- erstellung sind ebenfalls nur mit einer Tabelle oder einer Datenbank realisierbar.

Frage: Was ist eine informations- und kommunikationstechnische Komponente?

Damit Sie eine sinnvolle Eingrenzung vornehmen können und wirklich nur die Geräte erfassen, die für die Sicherheit eine gewisse Relevanz haben, können Sie folgende Definition anwenden:

Das System

  • erfasst und speichert Daten,
  • verfügt über eine Möglichkeit des Datenaustauschs

und

  • speichert die Daten in einem Format, das einen Rückschluss auf die Art der Information zulässt.

Alle 3 Forderungen müssen erfüllt sein, damit ein Gerät ins Kataster aufgenommen wird. Mit der letzten Bedingung ist Folgendes gemeint: Wenn das Gerät z. B. lediglich reine Zahlen (Binärdaten) erfasst und speichert, aber die Zuordnung und Formatierung dieser Daten erst in einem speziellen Anwendungsprogramm erfolgt, sind die Daten sicher- heitstechnisch nicht relevant. Ein möglicher Datendieb weiß weder, um welche Messgröße es sich handelt, noch, in welchem Zahlenformat die Daten real vorlagen.

Das Kataster sollte für jede Komponente die folgenden Mindestangaben enthalten:

  • Hersteller
  • Modell
  • Seriennummer (falls vorhanden)
  • Typ: Um welche Art von Gerät handelt es sich? Mögliche Angaben wären: PC, Server, Switch, Feldbusgerät, Messwerterfassung etc.
  • Ort: In welchem Raum steht das Gerät? Ist es keinem festen Raum zugeordnet, erfolgt der Eintrag: „mobil“.
  • Netzadresse: Häufig werden mehrere Geräte zu kleinen Subnetzen zusammengefasst, z. B. ein WLAN oder eine Bluetooth-Gruppe. Nummerieren Sie alle Netze durch.
  • Teilnehmeradresse: Innerhalb des Netzes hat wiederum jeder Teilnehmer eine eigene Adresse. Vergeben Sie auch hier wieder Werte von 1 bis n für jeden Teilnehmer. Aus der Kombination „Netzadresse → Teilnehmeradresse“ erhalten Sie nun einen eindeutigen Wert für jeden Teilnehmer im gesamten Betrieb.

Hinweis:
Orientieren Sie sich bewusst nicht an den tatsächlichen Netzwerk- adressen (z. B. IP-Adressen). Ein einheitliches System ist nicht gewährleistet, wenn Sie die jeweiligen Adressformate der einzelnen Protokolle nutzen.

  • Nachbarnetze: Tragen Sie hier ein, ob der Netzteilnehmer über eine netzverbindende Komponente (z. B. Gateway) mit anderen Netzen verbunden ist. Geben Sie hier die Netznummer(n) an, oder vermerken Sie eine 0, falls das Netz separat betrieben wird.
  • Schnittstelle: Mögliche Angaben wären hier: Ethernet, USB, Firewall, RS-232, ISDN, DSL, WLAN, Bluetooth etc. Erfolgt ein Datenaustausch lediglich über einen Datenträger, geben Sie dessen Format an (SD-Card, USB-Stick, 3,5-Zoll-Diskette etc.)
  • Protokoll: Gleiche Schnittstellen sind lediglich eine notwendige Hard- ware-Bedingung, damit 2 Teilnehmer miteinander kommunizieren können. Sie müssen aber auch dieselbe Sprache sprechen. Verbreitete Protokolle sind u. a.: TCP/IP, Modbus, Profibus.
  • Sicherheitsmechanismen: Wie ist der Teilnehmer selbst und innerhalb des Netzes abgesichert? Eigensicherungen könnten z. B. eine ver- schlüsselte Datenwandlung oder ein Passwortschutz sein. Im Netz kann ein Adressfilter, eine Firewall oder eine zeitgesteuerte Netzfrei- gabe zum Einsatz kommen.
  • Sicherheitspriorität: Vergeben Sie hier einen Wert von 1 (höchste Sicherheitsstufe) bis 4 (geringe Sicherheitsrelevanz).

2. Schritt: Reduzieren Sie mögliche Netzverbindungen

Häufig ist der Nutzen einer Vernetzung bestimmter Komponenten sehr gering. In vielen Fällen wird die Verbindung überhaupt nicht aktiv genutzt. Über die Netz- und die Teilnehmeradresse sowie das Nachbarnetz können Sie nun sehr einfach ermitteln, wer mit wem in Verbindung steht. Arbeiten Sie hierfür die unten stehende Checkliste durch.

Experten-Tipps per E-Mail erhalten
Sichern Sie sich die besten Praxistipps zur Planung, Überwachung und ständigen Optimierung Ihrer Produktionsprozesse.

Datenschutzhinweis


 
 
Dieser Artikel ist nur für registrierte Nutzer zugänglich.