Aufbau eines nachhaltigen und sicheren SCADA-Systems

Building-a-Sustainable-and-Secure-SCADA-System-Feature-Image

Um das SCADA-System Ihres Wasserversorgungsunternehmens langfristig erfolgreich zu machen, ist eine nachhaltige Architektur erforderlich. So dass Ihr SCADA-System im Hinblick auf Cybersicherheit gerüstet ist, um sich gegen die zunehmenden Sicherheitsbedrohungen zu schützen.

Aufbau eines nachhaltigen und sicheren SCADA-Systems

Um das SCADA-System Ihres Wasserversorgungsunternehmens langfristig erfolgreich zu machen, ist eine nachhaltige Architektur erforderlich, die es ermöglicht, das System weiterzuentwickeln und zu skalieren. Außerdem ist es wichtig, dass Sie Ihr SCADA-System im Hinblick auf Cybersicherheit gerüstet ist, um sich gegen die zunehmenden Sicherheitsbedrohungen zu schützen.

Wir haben fünf einfache Schritte für ein nachhaltiges SCADA-System und drei wichtige Empfehlungen zur SCADA-Sicherheit zusammengestellt. Zusammen bilden diese Richtlinien einen Ansatz, der den Weg in eine weniger problematische, rentablere und besser geschützte Zukunft weist.

Nachhaltiges SCADA: 5 praktische Schritte zur langfristigen Verbesserung

Wasserversorgungsunternehmen stehen vor vielen Herausforderungen, sei es der Druck, neue Technologien mit schrumpfenden Ressourcen einzuführen, eine alternde Infrastruktur oder veraltete Technologien. Um in diesem Umfeld erfolgreich zu sein, ist der Umgang mit seinem SCADA-System entscheidend.

Das herkömmliche Denken über SCADA ist, dass die Technologie ein geschlossenes System ist, das 15 bis 20 Jahre lang verwendet wird, bis es ersetzt werden muss. Die Anforderungen ändern sich jedoch unweigerlich, und die Versorgungsunternehmen suchen oft nach kurzfristigen, budgetfreundlichen Lösungen. Dies kann zu willkürlichen Zusatztechnologien und Hardware von mehreren Anbietern führen, was oft teure und langfristige Folgen hat.

„Was am Anfang vielleicht ein wirklich schnelles, zusammenhängendes System war, ist am Ende so verworren, dass es unmöglich zu warten ist“, sagt Kent Melville, Sales Engineering Manager bei Inductive Automation. Das Versorgungsunternehmen muss dann das SCADA-System ersetzen, und der Prozess beginnt von vorne. Anstelle eines Rip-and-Replace-Ansatzes mit kurzfristigen Zwischenlösungen empfiehlt Melville eine nachhaltige Architektur, die es dem SCADA-System ermöglicht, sich mit der Zeit anzupassen und zu wachsen. Mit den folgenden fünf Schritten können Versorgungsunternehmen Zeit und Geld sparen und gleichzeitig die Betriebszeit und Zuverlässigkeit verbessern.

Building-a-Sustainable-and-Secure-SCADA-System-Step-1

Schritt 1: Effizientere Datenerfassung an entfernten Standorten

Der erste Schritt auf dem Weg zu einem nachhaltigeren SCADA-System ist die Festlegung eines Standardprotokolls für PLCs. Durch die Auswahl von Geräten, die ein bestimmtes Protokoll unterstützen, können alle Geräte dasselbe Protokoll verwenden, und die Software lässt sich leichter austauschen. Um Flexibilität zu gewährleisten, empfiehlt Melville ein offenes Protokoll wie OPC, MQTT oder Modbus anstelle eines proprietären Protokolls.

Neben der Wahl eines neuen Standardprotokolls sollten auch Fragen wie Bandbreite, Latenz und Verbindung geklärt werden, die sich auf die Datenerfassung von entfernten Standorten auswirken können. Melville empfiehlt nachdrücklich die Installation von Edge-Geräten an entfernten Standorten, die lokal abfragen und nach Ausnahmen berichten. Auf diese Weise gehen keine Daten verloren, wenn das Netzwerk ausfällt, da Daten, die lokal abgefragt werden, zwischengespeichert werden können.

Building-a-Sustainable-and-Secure-SCADA-System-Step-2

Schritt 2: Zeit- und Geldersparnis mit einer Server-zentrierten Architektur

Ein nachhaltiges SCADA-System sollte eine serverzentrierte Architektur haben. Anstatt viele Installationen auf vielen Rechnern zu unterhalten, muss bei einem Server-zentrierten System nur die Software auf einem zentralen Server installiert werden. Da die gesamte Datenerfassung und -visualisierung über diesen Server läuft, stellt er einen Single Point of Failure dar, so dass Redundanz der Schlüssel zur Aufrechterhaltung der Betriebszeit im Falle eines Serverausfalls ist.

Ein wichtiges Merkmal der Server-zentrierten Architektur sind die Lizenzierungsmöglichkeiten, die sie bieten, wobei das System für den Server lizenziert wird und für alles andere unbegrenzt. Derzeit gibt es mehrere Optionen für SCADA-Systeme, die nach dem Server lizenziert werden. Melville empfiehlt Ihnen, mit Ihrem SCADA-Anbieter zu sprechen, um ein System zu finden, das Ihren spezifischen Größenanforderungen entspricht.

Building-a-Sustainable-and-Secure-SCADA-System-Step-3

Schritt 3: Vermeiden von Upgrade-Kopfschmerzen mit plattformübergreifendem SCADA

Herkömmliche SCADA-Systeme, die an bestimmte Betriebssysteme gebunden sind, können Versorgungsunternehmen vor Probleme stellen, wenn diese Versionen irgendwann ihr Lebensende erreichen und Unternehmen zu kostspieligen Upgrades zwingen.

Um dieses Problem zu vermeiden, empfiehlt Melville den Einsatz eines SCADA-Systems, das vollständig plattformübergreifend ist. Das System kann dann unter Linux, Mac oder einer beliebigen Windows-Version laufen. „In einer nachhaltigen SCADA-Architektur sollten sowohl das Betriebssystem als auch das SCADA-System unabhängig voneinander aufgerüstet werden können“, so Melville.

Um dies zu erreichen, sollten neuere Versionen von .NET, Java oder anderen Programmiersprachen eingesetzt werden, die von Anfang an plattformübergreifend sind. „Dann laufen sie in einer virtualisierten Umgebung auf dem Computer und nicht direkt auf dem OS“, sagte er. „Mit jeder OS-Version, die auf den Markt kommt, werden bereits Tests durchgeführt, um sicherzustellen, dass die virtualisierte Umgebung konsistent und kompatibel mit der Programmiersprache ist, die im Hintergrund verwendet wird. Da es gegen die virtualisierte Umgebung und nicht gegen das eigentliche OS läuft, hat man jetzt etwas mehr Flexibilität, so dass die Dinge nicht so oft kaputt gehen.“

Building-a-Sustainable-and-Secure-SCADA-System-Step-4

Schritt 4: Mehr Daten mit IIoT

Beim industriellen Internet der Dinge (IIoT) geht es vor allem darum, wie Sie Ihre Daten erhalten. Um große Datenmengen von entfernten Standorten zu erhalten, die über Funk, Satellit oder Mobilfunk verbunden sind, ist ein leichtes Protokoll erforderlich. Hier kommt MQTT ins Spiel.

Durch die Verwendung von Edge-Geräten kann das System Daten mit MQTT veröffentlichen, einem ultraleichten Protokoll, das nur einen Overhead von zwei Byte hat. MQTT ist sehr sicher und verwendet ein Pub/Sub-Protokoll, bei dem die Veröffentlichung ausnahmsweise erfolgt. Außerdem verwendet es die Sparkplug-Spezifikation für die Speicherung und Weiterleitung sowie die automatische Erkennung von Tags.

Auf zentraler Ebene ist ein MQTT-Broker erforderlich, in dem die Daten veröffentlicht werden und von dem aus die Geschäftsanwendungen (einschließlich SCADA) diese Daten abonnieren können. Das Ergebnis ist wirklich leistungsfähig, so Melville, da Sie Ihr Daten-Backbone von Ihren Anwendungen entkoppeln können.

„Wenn Ihr SCADA-System ersetzt oder ausgetauscht wird oder eine andere Anwendung ausgetauscht wird, wird die Kette des Daten-Backbones nicht unterbrochen, da Sie Ihre Infrastruktur wieder von Ihren Anwendungen entkoppelt haben“, so Melville.

Building-a-Sustainable-and-Secure-SCADA-System-Step-5

Schritt 5: Aufrechterhaltung des Systems mit Alarmierungs- und Reporting-tools

Ein nachhaltiger SCADA-Ansatz erfordert eine schnelle Reaktion, wenn etwas schiefläuft. Die beste Benachrichtigung ist eine Textnachricht oder ein Telefonanruf, da die Mitarbeiter sofort benachrichtigt werden können, egal ob sie vor Ort oder zu Hause sind. Melville empfiehlt auch eine Alarm-Pipeline, die Benachrichtigungen erhöht, wenn auf Alarme nicht innerhalb eines bestimmten Zeitrahmens reagiert wird.

Die Effizienz der Berichterstattung ist ebenfalls ein wichtiger Schlüssel. Viele Unternehmen arbeiten noch immer mit der manuellen Datenerfassung, die mit menschlichen Fehlern behaftet sein kann.

Die automatische Berichterstattung reduziert Fehler und ermöglicht es, Berichte sofort zu erhalten, was Zeit spart. Unternehmen können immer noch manuelle Kontrollen durchführen, um sicherzustellen, dass die Maschinen die Daten korrekt erfassen. Wenn sich ein Unternehmen jedoch für diesen Weg entscheidet, empfiehlt Melville, dass die Mitarbeiter ein Tablet verwenden, mit dem sie die Daten direkt in das System eingeben können, anstatt die Informationen aufzuschreiben und zu übertragen, um die Anzahl der Arbeitsschritte zu verringern.

3-Security-Recommendations-to-Elevate-Your-SCADA-System

3 Sicherheitsempfehlungen zur Verbesserung Ihres SCADA-Systems

Die Umsetzung von Best Practices im Bereich der Cybersicherheit war für Wasser- und Abwasserversorger noch nie so wichtig wie heute. Kürzlich hat die EPA mit der Einführung ihrer Industrial Systems Cybersecurity Initiative – Water and Wastewater Sector Action Plan (Initiative zur Cybersicherheit von Industriesystemen – Aktionsplan für den Wasser- und Abwassersektor) neue Aufmerksamkeit auf dieses Thema gelenkt.

Die Notwendigkeit der Wachsamkeit bei Wasserversorgern ist offensichtlich. Eine Umfrage zum Stand der Wasserwirtschaft im Jahr 2021 unter US-Wasserversorgern ergab jedoch, dass nur 20 % der Befragten irgendeine Form von Plan zum Schutz vor Cyberangriffen vollständig umgesetzt hatten.

Nicht nur in den USA ist das Thema Cybersecurity in den Abwasserbetrieben brandaktuell, auch hier in der Schweiz existieren Standards Branchendokumente zu diesem Thema.
Der Verband Schweizer Abwasser- und Gewässerschutzfachleute hat zum Beispiel den IKT-Minimalstandard für Abwasserbetriebe heraus gegeben. Darin wird erläutert was zu beachten ist im Hinblick auf die Sicherheit.

Planen Sie Sicherheit in Ihr SCADA-System ein

Die Verfügbarkeit Ihres SCADA-Systems ist entscheidend für die Überwachung und Steuerung Ihrer Systeme. Mit der zunehmenden Konvergenz von OT und IT ist es wichtiger denn je, genau darauf zu achten, wer Zugriff auf die von Ihrem System bereitgestellten Daten haben soll und wer nicht. UX-Design umfasst heute viel mehr als nur Design und Fluss; es ist jetzt auch eine entscheidende Komponente für effektive Cybersicherheit. Aus diesem Grund sollte ein solides Cybersicherheitssystem in Ihr UI- und UX-Design integriert werden.

 

Nachfolgend finden Sie drei wichtige Schritte, die bei der Entwicklung eines Systems zu beachten sind, das berechtigten Benutzern sicheren Zugriff auf Daten bietet.

 

1. Verstehen Sie alle Verbindungen und wie Sie sie sichern können

Beginnen Sie mit der Identifizierung aller Verbindungspunkte in Ihrem System in einem frühen Stadium des Entwurfsprozesses. Dies können Sie tun, indem Sie ein Architekturdiagramm erstellen, welches alle Verbindungspunkte sowie alle Router und Switches enthält. Führen Sie dann ein umfassendes Audit aller Verbindungen durch – zu Mitarbeitern, Clients, Datenbanken, Anwendungen, dem SCADA-System, SPS und mehr -, damit Sie festlegen können, wie sie verschlüsselt werden sollen.

TIPP: Bei Anwendungen, auf die ein Client zugreift, müssen Sie HTTPS einsetzen. Ohne diese Sperre ist Ihre Verbindung nicht sicher.

Wenn Sie genau wissen, wie alles funktioniert, können Sie die zum Schutz des Netzwerks erforderlichen Firewalls besser einrichten.

Um sicherzustellen, dass Ihr Betriebssystem geschützt ist, gehen Sie wie folgt vor:

  • Aktivieren Sie Firewalls, um den Netzwerkverkehr einzuschränken.
  • Entfernen Sie alle Programme, die nicht benötigt werden
  • Begrenzen Sie die Ports in Ihrem System
  • Schließen Sie alle nicht benötigten Ports in der Firewall (offene Ports, die nicht verwendet werden, sind anfällig für Angriffe)

TIPP: Achten Sie darauf, alle Patches und Dienste auf dem neuesten Stand zu halten. Es gibt viele Automatisierungstools, die Ihnen dabei helfen können.

Führen Sie regelmäßige Systemprüfungen durch, um sicherzustellen, dass Sie einen detaillierten Überblick über Ihren Netzwerkverkehr haben und verdächtige Aktivitäten schnell erkennen können.

TIPP: Es gibt viele Tools, mit denen Sie Ihr Netzwerk scannen und Berichte über Aktivitäten erhalten können. Sie können zwar teuer sein, bieten aber erhebliche Vorteile, insbesondere wenn die Systeme immer komplexer werden.

 

2. Verwenden Sie Zwei-Faktor-Authentifizierung und Single Sign-On

Wenn Benutzer auf Ihre Systeme oder Anwendungen zugreifen, sollten sie über die höchstmögliche Berechtigung verfügen. Sie können eine zusätzliche Sicherheitsebene hinzufügen, indem Sie von den Benutzern verlangen, dass sie ein Kennwort und einen zweiten Authentifizierungsfaktor für ein separates Gerät angeben.

TIPP: Es gibt viele Identitätsanbieter, die branchenführende Verschlüsselungsprotokolle zur Unterstützung von Zwei-Faktor-Authentifizierung und Single Sign-On (SSO) verwenden, darunter Ping Identity, Okta, Duo Security und ADFS.

 

3. Nutzen Sie ein DMZ-Netzwerk

Ein DMZ-Netzwerk (Demilitarized Zone) ist ein Perimeternetzwerk, welches das lokale Netzwerk von nicht vertrauenswürdigen Netzwerken trennt. Dies bietet viele Vorteile, einschließlich der verbesserten Sicherheit, die sich daraus ergibt, dass der Datenverkehr daran gehindert wird, in verschiedene Netzwerksegmente einzudringen, sowie verbesserter Zugriff, Kontrolle, Überwachung, Leistung und Eindämmung.

TIPP: Wenn ein Risiko erkannt wird, können Sie die DMZ abschalten oder eliminieren und die Sicherheit und lokale Funktionalität aufrechterhalten.

 

Sicherer Zugriff auf Daten

Je wichtiger Daten für den Betrieb von Wasserversorgungsunternehmen werden, desto mehr müssen Sie einen schnellen und effizienten Zugriff auf diese Daten gewährleisten und gleichzeitig sicherstellen, dass Ihre Systeme sicher sind. Die gute Nachricht ist, dass es Technologien gibt, die OT- und IT-Abteilungen dabei helfen können, diese Schritte zur Anwendung von Best Practices im Bereich der Cybersicherheit gemeinsam zu unternehmen – und davon zu profitieren.

 

Erweitern Sie Ihr SCADA-System

Bei der Schaffung eines nachhaltigen und sicheren SCADA-Systems ist die Wahl der richtigen Software von entscheidender Bedeutung. Die Ignition-Software von Inductive Automation ist eine ideale Option, da es sich um eine offene, skalierbare Universalplattform mit einem unbegrenzten Lizenzierungsmodell handelt, die moderne Cybersicherheitsprotokolle unterstützt.

Um mehr darüber zu erfahren, wie Ignition Ihnen helfen kann, ein sicheres SCADA-System aufzubauen, das den Test der Zeit übersteht, klicken Sie hier.

 

Quellenangabe: https://inductiveautomation.com/resources/article/building-a-sustainable-and-secure-scada-system