Serverschränke für die Industrie 4.0: Wie viel Sicher­heit in In­dustrie-Schalt­schränken steckt

Mit der (I)IoT-Ver­netzung steigt das Ver­letzungs­risiko. Das gilt so­wohl „di­gi­tal“ als auch ganz hand­fest: Es gibt Online-Hacker und es gibt Schalt­schränke, die direkt an der Mon­tage­zeile stehen. DCIM-Systeme, die kri­ti­sche IT-Pa­ra­me­ter über­wachen, müs­sen außer­dem selbst gegen An­grif­fe ge­sichert sein.

Dieser Beitrag ist mehr als 5 Jahre alt.
© Rittal GmbH & Co. KG
Bild: © Rittal GmbH & Co. KG

Monitoring mit Selbstverteidigung

Von Bernd Hanstein, Rittal

Für IT-Verantwortliche wird es immer aufwendiger, die Cybersicherheit von IT-Systemen zu gewährleisten. Längst hat die IT alle Funktionsbereiche einer Organisation durchdrungen, parallel dazu hat auch die Internet-Kriminalität kräftig zugenommen. Laut Bundeslagebild Cybercrime des BKA sind die polizeilich erfassten Fälle von Cyberkriminalität von 29.000 im Jahr 2006 auf über 82.000 Fälle im Jahr 2016 in Deutschland gestiegen. Das bedeutet, dass sich die Zahl in zehn Jahren fast verdreifacht hat. Dies sind nur die bekannten Fälle – Experten gehen von einer hohen Dunkelziffer aus. Dazu kommen noch die zahlreichen internationalen Hackerangriffe, denen deutsche Unternehmen permanent ausgesetzt sind. Cyberkriminelle können heute alle möglichen Instrumente für Cyberattacken im Internet kaufen, von Sicherheitslücken über gestohlene Kennwörter bis zu stundenweise abgerechnete DoS-Attacken. Kurz gesagt: Jeder halbwegs technisch begabte Anwender mit einem Internet-Zugang ist heute in der Lage, eine Karriere als Cybergangster zu starten.

Um die Cybersicherheit zu stärken, verabschiedete die Bundesregierung im Jahr 2016 das IT-Sicherheitsgesetz. Die sogenannte KRITIS-Verordnung galt für erste Sektoren wie Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung. Im Juni 2017 wurde sie für die Bereiche Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen erweitert. Die betroffenen Betreiber sind damit verpflichtet, innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen.

Sicherheitstipps für die Praxis

Aber auch ohne Vorschriften des Gesetzgebers sind Organisationen auf ausfallsichere IT-Systeme angewiesen. Fällt ein Webshop, ein Buchungssystem oder ein Servicecenter aus, führt dies schnell zu Umsatz- und Vertrauensverlusten. Eine Bitkom-Umfrage unter mehr als 1000 Geschäftsführern und IT-Experten hat ergeben, dass nur vier von zehn Unternehmen auf Cyberangriffe vorbereitet sind. Der Veeam Availability Report 2017 beziffert eindrucksvoll das wirtschaftliche Risiko eines IT-Ausfalls: Tritt in Deutschland eine IT-Störung auf, stehen die Systeme durchschnittlich für 45 Minuten still, die Kosten für den Ausfall liegen im Schnitt bei rund 20,4 Millionen Euro pro Unternehmen. Die Zahlen belegen, wie wichtig eine permanente und vorausschauende Kontrolle der eigenen IT-Landschaft ist. Zu diesem Zweck gibt es geeignete IT-Monitoring-Systeme.

Eine erste Bestandsaufnahme hilft dabei, den IT-Sicherheitsbedarf im eigenen Haus zu ermitteln. Zentrale Fragen sind beispielsweise: Welche IT-Systeme sind geschäftskritisch und daher besonders wichtig? Welche administrativen Aufgaben müssen an den IT-Systemen permanent ausgeführt werden? Steht ständig IT-Fachpersonal zur Verfügung? Gibt es nur einen IT-Standort oder gibt es mehrere bzw. wie sind IT-Systeme in Fabrikhallen in die Überwachung eingebunden? – Anhand dieser und weiterer Fragen können Security-Experten im ersten Schritt den Sicherheitsbedarf einschätzen und daraus ein Cybersicherheitskonzept ableiten.

Fri141793800.jpg
Hauptaufgabe einer DCIM-Software ist die Echtzeitüberwachung der physischen Infrastruktur eines Rechenzentrums durch entsprechende Sensorik. Eine modular aufgebaute DCIM-Anwendung wie RiZone von Rittal ist auch in kleinen Umgebungen sinnvoll einsetzbar und schnell implementierbar. Bei Bedarf überwacht sie auch komplexe Infrastrukturen. (Bild: Rittal)

Data Center Infrastructure Management

Für das laufende Monitoring muss eine ganze Reihe von Parametern berücksichtigt werden. Dazu zählen unter anderem die Strom- und Kälteerzeugung, die Temperaturen an verschiedenen Messpunkten, die Energieversorgung, die Zugangssicherheit sowie der Brandschutz. Laufen bei einem älteren Gebäude Wasser- und Heizungsrohre durch den gleichen Raum, in dem Serverschränke stehen, ist ein Leckagemelder eine sinnvolle Investition. Wichtig ist nicht zuletzt das Monitoring der kompletten Stromeinspeisung inklusive USV bis hin zum Server.

Ergänzend lassen sich Sensoren für weitere Betriebsparameter wie den Öffnungsstatus von Schranktüren integrieren. Über standardisierte Schnittstellen beispielsweise zu BACnet, einem Netzwerkprotokoll für die Gebäudesicherheit, kann eine Monitoring-Software auch das Facility Management mit anbinden. Aus dem Gesamtbild der Daten lässt sich ein sehr genaues, aktuelles Abbild der gesamten Infrastruktur zusammenstellen.

Ein DCIM (Data Center Infrastructure Management) hilft dabei, die genannten Parameter zusammenzuführen und eine Brücke zwischen den aktiven IT-Komponenten und der übrigen Infrastruktur zu schlagen. In der Praxis arbeitet ein DCIM parallel neben hochspezialisierten Monitoring-Tools, die beispielsweise Netzwerke, Datenbanken oder Applikationsserver überwachen. Am anderen Ende des Spektrums wird in einer heterogenen und komplexen IT-Landschaft noch ein übergreifendes Monitoring-Werkzeug am IT-Leitstand benötigt, das den übersichtlichen Blick aufs Ganze ermöglicht.

Rechenzentren 2018-03.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe „Rechen­zentren und Infra­struktur“. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Ausgetestete Security-Analysen

Da eine solche DCIM-Lösung eine Vielzahl von Schnittstellen besitzt und vielfältige Protokolle unterstützt, könnte aber auch diese Anwendung selbst Cyberangriffen ausgesetzt sein und sollte daher entsprechend gehärtet sein. So hat Rittal bei seiner Lösung RiZone verschiedene Tests mit Security-Tools durchgeführt, beispielsweise mit OpenVAS: Mit diesem Werkzeug gelingt eine umfangreiche Analyse auf eventuelle Schwachstellen eines IP-basierten Systems. Herzstück ist dabei ein NVT-Scanner (Network Vulnerability Test), der das Netzwerk auf Schwachstellen absucht. Bei der Überprüfung einer DCIM-Software mit OpenVAS lassen sich Gefährdungen feststellen, die auf das zugrunde liegende Betriebssystem zurückzuführen sind. Über Änderungen an der Windows-Firewall lassen sich diese Schwachstellen komplett eliminieren.

Ein weiteres Test-Werkzeug ist Nessus. Diese Software identifiziert Schwachstellen und Sicherheitslücken durch ein Vulnerability-Scannen der Netzwerkkomponenten, Applikationen, Datenbanken und Betriebssysteme. Das Scan-Ergebnis liefert Hinweise auf Schwachstellen, sodass gezielt die betroffenen Schnittstellen gesichert werden können. Die gleichen Tests und Härtungen sollten Unternehmen für alle aktiven Komponenten in der physischen Infrastruktur durchführen, um höchstmögliche Cybersicherheit zu erzielen.

Fri172015200.jpg
Physische Sicherheit für die IT: Die Micro Data Center von Rittal sorgen für bedarfsgerechten Schutz bis F90 und IP56. (Bild: Rittal)

Ummantelte Sicherheitsracks

Unternehmen können aber auch auf Rack-Ebene den Schutz der IT-Komponenten weiter ausbauen, etwa indem sie Sicherheitssafes verwenden. Diese bieten eine zusätzliche Schutzhülle um den Serverschrank und steigern dadurch den physikalischen Schutz. Ein solches Konzept wird beispielsweise in modernen Industrie-4.0-Fabrikumgebungen immer wichtiger, da hier IT-Schränke für die Industrieautomation auch direkt in der Produktionshalle stehen.

Bernd-Hanstein-Rittal.jpg

Bernd Hanstein ist Hauptabteilungsleiter Produktmanagement IT bei Rittal. Das Unternehmen der inhabergeführten Friedhelm Loh Group mit Sitz im hessischen Herborn ist ein weltweit führender Systemanbieter für Schaltschränke, Stromverteilung, Klimatisierung, IT-Infrastruktur sowie Software und Service. Systemlösungen von Rittal kommen in nahezu allen Branchen, vorwiegend in der Automobilindustrie, in der Energieerzeugung, im Maschinen- und Anlagenbau sowie in der ITK-Branche zum Einsatz. Zum Leistungsspektrum gehören Infrastrukturlösungen für modulare und energieeffiziente Rechenzentren mit innovativen Sicherheitskonzepten zur physischen Daten- und Systemsicherung.

Rittal GmbH & Co. KG, Auf dem Stützelberg, 35745 Herborn, Tel.: 02772-505-0, info@rittal.de, www.rittal.de

Ein IT-Safe schützt je nach Sicherheitsklasse die IT-Komponenten vor äußeren Einflüssen und unbefugtem Zugriff. Die am Markt verfügbaren Edge-Lösungen bieten ganz unterschiedliche Ausstattungen vom Einbruchschutz bis zur Brandfrüherkennung. Für Unternehmen ist es wichtig, die Tragfähigkeit des Gebäudes am gewünschten Stellplatz zu beachten, da diese Systeme den Boden mit bis zu 1000 kg belasten können. Außerdem bieten einige Hersteller auch eine nachträgliche Sicherung bestehender IT-Racks durch eine zusätzliche Schutzhülle an. Die Micro Data Center von Rittal sind z.B. in verschiedenen Sicherheitsstufen verfügbar und ermöglichen es, die IT in einem Schutzraum bis zur Widerstandsklasse 4 zu betreiben: Das Umhausungssystem richtet einen vollständigen Sicherheitsbereich um ein 19-Zoll-Rack ein.

Unterm Strich bleibt festzuhalten: Erst durch die Kombination von DCIM-Monitoring, Security-Analyse und physikalischem Schutz auch auf Rack-Ebene gelingt es, eine moderne IT-Infrastruktur nachhaltig zu sichern.

Nützliche Links