Übertragung von Protokollen, Warnmeldungen und Telemetriedaten über eine Datendiode

Erfahren Sie, wie
Wir verwenden künstliche Intelligenz für Website-Übersetzungen, und obwohl wir uns um Genauigkeit bemühen, kann es sein, dass sie nicht immer 100%ig präzise sind. Wir danken Ihnen für Ihr Verständnis.

Datendioden und IEC 62443: Der Schlüssel zur Einhaltung der Vorschriften

Jetzt teilen

In Industrie- und Fertigungsumgebungen sindIndustrial (ICS) weit verbreitet; diese Systeme wurden jedoch auf Sicherheit, deterministische Ergebnisse und Betriebsverfügbarkeit ausgelegt – nicht auf Cyber-Sicherheit. SPSen, HMIs, Historien-Systeme und verteilte Steuerungssysteme sind oft im Dauerbetrieb und vertragen keine Unterbrechungen.

Gleichzeitig stehen Hersteller unter dem Druck, eine werksübergreifende zentrale Überwachung zu gewährleisten, indem sie OT-Daten in IT- und SOC-Plattformen integrieren, um Fernüberwachung, Ferndiagnose und sogar den Zugriff auf sensible Netzwerke zu ermöglichen. Diese Konvergenz birgt Risiken an den Grenzen zwischen den Zonen.

Normen wie die IEC 62443 gehen davon aus, dass Fehler bei der Segmentierung nicht nur zu einer Offenlegung von Daten, sondern unmittelbar zu einem Betriebsrisiko führen. In OT-Umgebungen können Cybervorfälle verschiedene katastrophale Folgen haben. Produktionsausfälle gehören zu den häufigsten: Der Ransomware-Angriff auf Colonial Pipeline im Jahr 2021 erzwang eine sechstägige Stilllegung der größten Pipeline für raffinierte Kraftstoffe in den Vereinigten Staaten, was zu Kraftstoffengpässen in 17 Bundesstaaten und zur Ausrufung des Notstands durch den Präsidenten führte, während der LockerGoga-Angriff auf Norsk Hydro im Jahr 2019 die automatisierte Aluminiumproduktion in 40 Ländern zum Erliegen brachte und Kosten in Höhe von 70 bis 80 Millionen US-Dollar verursachte.

Auch Sachschäden sind eine reale Gefahr: Angreifer, die 2014 in ein deutsches Stahlwerk eindrangen, gelangten vom Unternehmensnetzwerk in die Produktionssteuerung und verhinderten die sichere Abschaltung eines Hochofens, was zu massiven Sachschäden führte – nach Stuxnet war dies erst der zweite bestätigte Cyberangriff, der physischen Schaden verursachte.

Sicherheitsvorfälle stellen die besorgniserregendste Kategorie dar: Die 2017 gegen Petro Rabigh eingesetzte Malware „TRITON“ – weithin als erste Malware angesehen, die darauf ausgelegt war, Menschenleben zu fordern – nutzte eine fehlerhaft konfigurierte Firewall aus, um in sicherheitsrelevante Systeme einzudringen, und hätte zu Freisetzungen von giftigem Schwefelwasserstoff oder Explosionen führen können, wäre der Angriff nicht aufgrund eines Programmierfehlers gescheitert.

Auswirkungen auf die Umwelt und die öffentliche Sicherheit zeigen sich auch in Vorfällen wie dem Cyberangriff auf den polnischen Energiesektor im Jahr 2025, bei dem Angreifer HMI-Daten zerstörten, OT-Firmware manipulierten und den Verlust der Sichtbarkeit und Kontrolle zwischen Anlagen und Netzbetreibern verursachten. Noch wichtiger ist, dass bestimmte Regionen die Norm IEC 62443 gesetzlich verankern: die NIS2-Richtlinie der EU, für die ISA/IEC 62443 als primäres Compliance-Rahmenwerk für industrielle Infrastruktur gilt, sieht für kritische Einrichtungen Geldstrafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor, verbunden mit einer persönlichen Haftung der Führungskräfte – was bedeutet, dass jeder Verstoß gegen die Vorschriften erhebliche finanzielle und rechtliche Konsequenzen für kritische Einrichtungen nach sich ziehen kann, verbunden mit einer persönlichen Haftung der Führungskräfte – was bedeutet, dass jeder Verstoß gegen die Vorschriften erhebliche finanzielle und rechtliche Konsequenzen nach sich ziehen kann.

Zwar werden industrielle Firewalls und VLAN-basierte Segmentierung häufig eingesetzt, um solche Risiken zu mindern, doch stellen sie die Betreiber auch vor erhebliche Herausforderungen. Diese Lösungen sind während des gesamten langen Lebenszyklus der Systeme streng auf eine korrekte Konfiguration angewiesen, während die Unterstützung für ältere OT-Protokolle nicht immer gegeben ist und es oft an ausreichender Authentifizierung oder Validierung mangelt. Aufgrund ihrer Funktionsweise ermöglichen Firewalls zudem eine bidirektionale Kommunikation, sodass Malware vertrauenswürdige Rückwege nutzen kann.

Eine logische Segmentierung ist hilfreich, sorgt jedoch nicht für eine zwingende Trennung. Wenn IT- oder externe Netzwerke die Kommunikation in OT-Zonen initiieren können, entstehen gleichzeitig erhebliche Risiken: Malware kann von der IT in Produktionssysteme vordringen, wo Überwachungspfade missbraucht werden können, um mit kompromittierten Anmeldedaten Steuerungsdaten zu übertragen und so die Segmentierung zu umgehen.

Die Norm IEC 62443 ist eindeutig: Zonen müssen durch zwangsläufige Übertragungswege geschützt werden. Eine Datendiode erzwingt eine Einwegkommunikation auf der physikalischen Ebene und bietet damit eine hervorragende Möglichkeit – quasi einen „Fast Pass“ –, um diese Anforderungen zu erfüllen: Daten können eine untergeordnete OT-Zone verlassen, aber nicht zurückkehren, unabhängig vom Softwarezustand oder einer möglichen Kompromittierung. Dies unterstützt direkt die Grundsätze der IEC 62443 hinsichtlich klarer Zonengrenzen, deterministischer Übertragungswege und des Verzichts auf implizites Vertrauen zwischen Sicherheitsstufen.

Mithilfe einer Datendiode können Hersteller Produktionskennzahlen exportieren, Historien replizieren, Alarme und Protokolle streamen und eine zentralisierte Überwachung ermöglichen, ohne dass eingehender Datenverkehr in Kontrollzonen gelangt. Dies vereinfacht den Prozess der Sicherheitsrisikobewertung gemäß Teil 3-2.

Bei näherer Betrachtung von Teil 3-3 bezüglich der Sicherheitsstufen entspricht der Einsatz einer Diode in der Designarchitektur in hohem Maße den Anforderungen von SR 5.2 – Schutz von Zonen- und Leitungsgrenzen, SR 5.1 – Netzwerksegmentierung, SR 3.1 – Kommunikationsintegrität und SR 7.6 – Netzwerksegmentierung zur Gewährleistung der Verfügbarkeit. Dioden tragen nicht nur dazu bei, Angriffsflächen zu verringern, indem sie den physischen und logischen Zugriff auf Systeme und Netzwerke einschränken, sondern segmentieren auch Netzwerke und steuern den Datenverkehr zwischen ihnen deterministisch. Dies ermöglicht es Herstellern, eine Methode der tiefgestuften Verteidigung anzuwenden, indem sie neue Schutzschichten in einige der kritischsten, aber unveränderbaren Netzwerkperimeter einfügen, ohne dass ein massiver Umbau erforderlich wird.

Der Schwerpunkt verlagert sich von der logischen Segmentierung hin zur physischen Durchsetzung. Die Transparenz bleibt erhalten, während die Kontrolle nicht geteilt wird.

Dadurch werden ausgehende Daten überwacht, während die Kontrollsysteme isoliert bleiben und eine Umgehung der Zonengrenzen unmöglich gemacht wird. Aus Sicht der Sicherheitslage werden eingehende Angriffswege unterbunden, das Risiko lateraler Bewegungen verringert und ein hervorragender Schutz vor Fehlkonfigurationen und Protokollmissbrauch geboten.

Durch diesen Ansatz können Hersteller die Betriebskontinuität gewährleisten, ohne dass die Echtzeitsteuerung beeinträchtigt wird oder eine Abhängigkeit von der Sicherheit veralteter Protokolle entsteht, und einen stabilen, vorhersehbaren Betrieb sicherstellen. Zudem ebnet dies den Weg für die Einhaltung der Anforderungen der Norm IEC 62443 hinsichtlich Zonen und Leitungskanälen, vereinfacht die Dokumentation und Validierung und sorgt für eine umfassende Bereitschaft durch eine fundierte, wiederholbare Architektur.

In industriellen Umgebungen, in denen die Trennung von Zonen nicht nur vorausgesetzt, sondern zwingend erforderlich ist, setzen sich zunehmend hardwaregestützte Lösungen für den einseitigen Datentransfer durch. MetaDefender Optical Diode verhindert physisch jeglichen Rückweg in das geschützte Netzwerk – nicht durch Regeln oder Richtlinien, sondern durch das Fehlen eines Lichtwegs, der eingehenden Datenverkehr übertragen könnte.

Lösungen wie MetaDefender Optical Diode entwickelt, um eine industrietaugliche, normkonforme Isolierung zu gewährleisten, ohne den Betrieb zu beeinträchtigen.

Bleiben Sie auf dem Laufenden mit OPSWAT!

Melden Sie sich noch heute an, um die neuesten Unternehmensinformationen zu erhalten, Geschichten, Veranstaltungshinweise und mehr.