- IT&Production - https://www.it-production.com -

Cyber-Sicherheit für Steuer- und Regelungsnetzwerke

Cell Zone Site-Konzept

Cyber-Sicherheit für Steuer- und Regelungsnetzwerke

Steuer- und Regelungsnetzwerke in Produktionsbetrieben vor unbefugten Zugriffen zu schützen, ist eine Herausforderung. Das gilt insbesondere im Hinblick auf das Konzept der Industrie 4.0, in dessen Zentrum die stärkere Vernetzung intelligenter Komponenten steht. Hier gewinnt der Schutz einzelner Bereiche an Wichtigkeit, denn mit deren Funktionstüchtigkeit steht oder fällt das Ergebnis am Ende der Wertschöpfungskette.

Bild: Moxa Europe

Obwohl die Netzwerke in der Fabrik teilweise dieselben Technologien und Geräte nutzen wie herkömmliche IT-Systeme, unterscheidet sich ihre Sicherheit doch in drei Aspekten: dem Schutz von Geräten, den zu filternden Inhalten und der Betriebsumgebung. Wer den Diebstahl oder Verlust von geistigem Eigentum oder allgemeine Fehlfunktionen durch Viren oder andere Verursacher verhindern und Cyber-Sicherheit sicherstellen will, kommt nicht um den Einsatz entsprechender Hard- und Software in Steuer- und Regelungsnetzwerken herum. Obwohl kein einzelnes Gerät vor den cleversten Hackern schützen kann, reduziert der Einsatz der richtigen Hardware in Kombination mit umfassenden Sicherheitsregeln das Risiko.

Eine auf die Bedürfnisse von Steuer- und Regelungsnetzwerken in der Automatisierung abgestimmte Lösung ist das ‚Cell Zone Site‘-Konzept. Es besagt nichts anderes, als eine abgestufte Kompartimentierung, ein Schottenkonzept. Dabei wird das Fabrik-Netzwerk in Unterbereiche aufgeteilt, die gemeinsam – Zellen in Zonen und Zonen in Sites – noch einmal geschützt werden. So wird es schwieriger, von einer Zelle in die andere zu gelangen oder gar in die gesamte Site. Das Cell Zone Site-Konzept bezieht sich auf den Schutz der verschiedenen Ebenen innerhalb eines Automatisierungsnetzwerkes:

Auf jeder Ebene werden unterschiedliche Industrial Secure Router eingesetzt, um die entsprechenden Bereiche zu schützen. Moxa bietet hierfür mit dem Modell EDR-G903 Hochleistungs-Secure Router, kosteneffiziente Router-Lösungen mit der Hardware EDR-G902 sowie kombinierte Secure Router-/Switch-Geräte der Baureihe EDR-810 an. Durch den Schutz kritischer Geräte oder ‚Critical Device Protection‘ lassen sich zusätzlich zum Cell Zone Site-Konzept die Teilbereiche weiter vor absichtlicher oder unabsichtlicher Datenkorrumpierung schützen. Viele Ingenieure in der Industrie sind sich der Wichtigkeit von Netzwerksicherheit bisher jedoch nicht bewusst. Jüngste Ereignisse und Informationen über Regierungen, die Hacker sogar dabei unterstützen, in industrielle Steuer- und Regelungsnetzwerke einzudringen, zeigen jedoch, dass Cyber-Sicherheit und Netzwerksicherheit heutzutage absolut kritisch sind.

Bedrohungen für die Cyber-Sicherheit begegnen

Im Prinzip gibt es fünf wichtige Szenarien im Zusammenhang mit Cyber-Sicherheit:

Wider Erwarten tritt Szenario Nummer drei am häufigsten ein: Der klassische Fall in der Fabrikautomation ist nicht ein bösartiger Angreifer, sondern es sind alltägliche Aufgaben wie das Aufspielen neuer Software, die ein Netzwerk lahmlegen können. Das kann ein simples Windows-Update sein, das sich bis auf Geräteebene ausbreitet und Konfigurationen überschreibt. Jeder, der am Netz arbeitet, ist daher permanent in der Gefahr, etwas falsch zu machen. Die meisten Menschen denken, dass die Mehrheit der Hacker unterwegs ist, um Chaos zu verbreiten oder Störungen hervorzurufen, wie zum Beispiel das Hacken von Verkehrsleitsystemen.

Solche Aktionen sind zwar höchst bedenklich; es gibt aber auch Daten in Industrienetzwerken, die wertvoll sind und geschützt werden müssen – nämlich das geistige Eigentum. Wenn Millionen auf dem Spiel stehen, wird das Thema schnell zur Regierungssache. In den USA hat Präsident Obama beispielsweise verfügt, dass Bundesbehörden Informationen über Cyberattacken mit den Unternehmen aus der Privatwirtschaft teilen müssen. Dies ist – zumindest im amerikanischen Markt – ein erster Schritt dahingehend, dass sich Privatunternehmen Gesetzen zur Cyber-Sicherheit fügen müssen.




Grafik 1: Beispiel einer Zelle in einem segmentierten Netzwerk. Der blaue Kasten zeigt ein segmentiertes Sub-Netz. Bild: Moxa Europe

Schutz gegen externe Störungsbestrebungen

Viele Hollywood-Streifen zeigen Hacker als Jugendliche, die zum Spaß oder aus Neugier in Computersystemen herumschnüffeln. In der Realität ist es jedoch meist so, dass eine geringe Anzahl erfahrener Hacker es sich zum Ziel gesetzt hat, sich illegalen Zutritt zu Computersystemen und Netzwerken zu verschaffen. Firewalls bieten dabei einen minimalen Basis-Schutz gegen externe Eindringlinge, die Systeme versprechen aber keine umfassende Sicherheit, sobald ein Unternehmen über eine Internetverbindung verfügt.

Obwohl keine Hardware das gesamte System eines Industriebetriebes gegen die fortschrittlichsten Hacker schützen kann, kann der Einsatz der passenden Hardware, gemeinsam mit umfassenden Sicherheitsregeln, das Risiko deutlich senken. Die Realität ist leider, dass tausende von industriellen Steuerungssystemen bisher nicht ausreichend geschützt sind: Es besteht ein beträchtlicher Mangel an Sicherheit in der Industrie, unter anderem, weil Netzwerksicherheit meist nicht notwendig erscheint, so lange nichts Schlimmes passiert ist. Zu umfassenden Sicherheitsmaßnahmen, um das gesamte Netzwerk für den Fall zu schützen, dass es ein Hacker ‚hinter die Frontlinie‘ schafft, zählen

Schutz gegen Informationsdiebstahl

Um sich abzusichern, sollten industrielle Anwender zumindest eine Firewall beziehungsweise einen Router einsetzen, um das IT-Netzwerk vom Automatisierungsnetzwerk zu trennen. Nutzer aus dem Office-Bereich sollten zudem keinen Zugang zu kritischen Daten haben, auch nicht IT-Administratoren. Auf der zweiten Abwehr-Ebene ist sicherzustellen, dass jede ‚Wide Area Network‘-Verbindung (WAN) auch eine Firewall besitzt, die das WAN von der LAN-Seite trennt. Zusätzlich dazu sollte Fernzugriff nur dann erlaubt werden, wenn zumindest ein mit 128-Bit verschlüsseltes ‚Virtual Private Network‘ (VPN) zum Schutz der Daten und für die Zugangskontrolle zum Automatisierungsnetzwerk existiert. Neben Verschlüsselung und Authentifizierung sollte der VPN-Zugang auch mit starken Passwörtern geschützt werden. Diese können zum Beispiel von einem Passwort-Generator abgeleitet werden, der die Passwörter gemäß Nist- beziehungsweise Enisa-Standard gestaltet.

Schutz gegen unbeabsichtigte Störungen

Obwohl die Mitarbeiter eines Unternehmens in der Regel keinen Schaden anrichten wollen, kommt es sehr oft vor, dass dies ungewollt passiert. Meist werden Störungen von Geräten hervorgerufen, die nicht korrekt konfiguriert wurden. Denn viele Mitarbeiter sind technisch nicht so gut ausgebildet, dass sie die entsprechenden Aufgaben fehlerfrei beherrschen. Der beste Schutz dagegen ist die Segmentierung von Sub-Netzwerken: Jede Zelle sollte über ihr eigenes kleines, geschütztes Netzwerk verfügen. Genauer gesagt, sollte dieses Netzwerk zufällige Zugriffe nur bei zielgerichteter Absicht ermöglichen. Darüber hinaus schützt diese Art der Segmentierung gegen Datenüberflutung, etwa durch eine Fehlkonfiguration aus dieser Zelle. Diese Segmentierung lässt sich durch den simplen Einsatz eines Routers in jeder Zelle erreichen. Um kritische Störungen an Geräten zu verhindern, sollten vor den wichtigsten Geräten außerdem industrielle Firewalls integriert werden, zum Beispiel zwischen einer Produktionszelle und dem Rest des Netzwerks oder einer Gruppe kritischer Steuerungs-SPSen. Diese können dahingehend konfiguriert werden, nur industrielle Steuerungsnachrichten durchzugelassen. Die Firewall kann zum Beispiel so eingerichtet werden, dass nur Ethernet/IP-Kommunikation erlaubt wird, und diese nur von definierten Absendern.

Obwohl dies normalerweise einfach durch Segmentierung des Netzwerks in Sub-Netzwerke erledigt werden kann, ist diese Methode allein nicht annähernd so sicher wie der gemeinsame Einsatz von Segmentierung und Firewall-Schutz. Um vor dem Diebstahl geistigen Eigentums zu schützen, ist der Einsatz von Firewalls, die in der Lage sind ‚Deep Packet Inspection‘ (DPI) durchzuführen, vor den betriebskritischen Geräten sinnvoll. Im Rahmen von DPI werden die eigentlichen Daten geprüft – zum Beispiel spezielle Befehle oder Anfragen – um zu entscheiden, ob sie durch die Firewall gelassen werden sollen oder nicht. So lassen sich auf Feldbusebene Datenpakete schützen. DPI ist so aufgebaut, dass SPSen nicht versehentlich Konfigurationen ändern oder Pakete senden können, die nur unnötigen Datenverkehr verursachen. Unschädliche, tägliche Anfragen zuzulassen wird im Tagesgeschäft notwendig sein, mit DPI ist es jedoch möglich, das Netzwerk gegen nicht autorisierte Ingenieure zu schützen, die Befehle ausgeben, welche sie nicht nutzen sollten. Manche industrielle Firewalls sind bereits DPI-fähig. Die Beispiele zeigen: Sichere industrielle Hardware und grundlegende Methoden können zur Absicherung hilfreich sein. Einzelmaßnahmen allein sind jedoch nicht geeignet, um Steuerungs- und Regelungsnetzwerke umfassend zu schützen.