'Defense in depth'-Strategien

Grundschutz für die Fabrikautomation

Die Absicherung von Steuer- und Regelungstechnik von industriellen Anlagen bringt ihre ganz eigenen Anforderungen an Cyber-Sicherheit mit sich, die am besten schon bei der Installation berücksichtigt werden sollen. Einen umfassenden Ansatz zum Anlagenschutz vor Sicherheitsbedrohungen stellt die 'Defense-in-depth' dar, die auch der Standard IEC 62443 beschreibt. Eine zentrale Rolle zur Absicherung kritischer Verbindungspunkte kommt dabei Firewalls und Routern mit Sicherheitsfunktionen zu.

Bild: Moxa Europe

Ein Steuer- und Regelungsnetzwerk zu installieren erfordert das Abwägen zwischen Kosten- und Risikomanagement. Angriffe durch Malware sind einfacher und kostengünstiger abzuwehren, wogegen es wiederum schwieriger ist, sich gegen Hacker abzusichern. Die meistgenutzten Maßnahmen zum Schutz von Steuer- und Regelungsnetzwerken sind die verstärkte Wachsamkeit und die Einführung von Methoden, die den Angriffsprozess so stark verkomplizieren, dass es für Hacker uninteressant wird. Diese Methoden bilden das Herz der sogenannten ‚Defense-in-depth‘-Strategie, die auch für den Einsatz in der Industrie eignet.

Industriespezifischer Standard für Cyber-Sicherheit

Das American National Standards Institute (Ansi) und die International Society of Automation (ISA) tragen den besonderen Sicherheitsanforderungen von Steuer- und Regelungsnetzwerken mit ihren Standards ANSI/ISA-99 beziehungsweise IEC 62443 Rechnung. Im Zentrum dieses Standards steht das ‚Zone and Conduit‘-Sicherheitsmodell – frei übersetzt als ‚Zone und Leitung‘, das mit einer Defense in depth-Strategie implementiert wird: Im ANSI/ISA-99 Modell werden die Geräte in Steuer- und Regelungsnetzwerken in voneinander unabhängige Zonen segmentiert, welche aus miteinander verbundenen Geräten bestehen, die zur Erfüllung einer spezifischen Funktion zusammenarbeiten. Während die Kommunikation innerhalb einer Zone weniger restriktiv gehandelt wird, gilt für die verschiedenen Zonen die Anforderung, dass sie nur durch einen einzigen Punkt, Conduit oder Leitung genannt, miteinander kommunizieren dürfen. Dieser Punkt wird üblicherweise durch einen Secure Router oder eine Firewall geschützt. Conduits sind damit so abgesichert, dass sie nur spezifische Daten, die für die Koordination von Funktionen der verschiedenen Zonen erforderlich sind, durchlassen. Jegliche Kommunikation, die für die Funktion einer bestimmten Zone irrelevant ist, wie zum Beispiel HTTP-Verkehr zu einer Modbus TCP-Zone, wird vom Secure Router blockiert.

Hängebahn per Industrial WLAN

Welche Form der Kommunikation ist für Einschienenhängebahnen die beste? Ein deutscher Autobauer hat sich für Industrial Wireless LAN-Lösungen entschieden und Siemens Professional Services für industrielle Netzwerke mit deren Planung, Inbetriebnahme und Fein-Tuning betraut.‣ weiterlesen

Herausforderungen bei der Implementierung

Der kritischste Bereich des ISA-99-Sicherheitsmodells ist demnach eben der ‚Conduit‘, welcher durch einen Secure Router geschützt wird und eine Vielzahl von Verantwortlichkeiten besitzt:

Hohe Netzwerkleistung: Als Kontaktpunkt zwischen den Netzwerkzonen muss der Secure Router die nötige Netzwerkleistung haben, um den gesamten Datenverkehr zeitgerecht filtern und liefern zu können, sodass die Netzwerkleistung nicht beeinträchtigt wird. Jedes Gerät, das Sub-Netzwerke verbindet, erfährt ein hohes Datenaufkommen. Ansi/ISA-99-Conduit-Geräte fungieren damit effektiv als Backbone-Geräte, die verschiedene Subnetzwerke verbinden. Moderne Steuer- und Regelungsnetzwerke benötigen zudem eine immer größere Bandbreite, um fortschrittliche Anwendungen, wie Video, zu unterstützen. Zusätzlich dazu erfordern manche verteilten Steuer- und Regelungsnetzwerke oder ‚Distributed Control Systems‘ (DCS) gigabitbasierte Netzwerke für die effiziente Kommunikation. Um die Netzwerkverfügbarkeit zu erhalten, muss ein Zonen-Conduit stets den notwendigen Service bieten, während er als Firewall fungiert und unpassende Daten ohne Kompromisse bei der Leistung filtert.
Deep Packet Inspection: Als ‚Hüter der Sicherheit‘ zwischen benachbarten Zonen muss der Secure Router in der Lage sein, den Inhalt der Datenpakete von Industrieprotokollen akkurat auf Abnormitäten und Sicherheitsbedrohungen zu untersuchen. Eine herkömmliche Firewall reicht nicht für die besonderen Kommunikationsanforderungen eines Steuer- und Regelungsnetzwerks aus, da sie für die Inhalte industrieller Kommunikationsprotokolle – wie Modbus TCP – ‚blind‘ ist. Dies ist ein besonders kritisches Problem, da industrielle Kommunikationsprotokolle im Allgemeinen nur eine schlechte Sicherheit bieten: Industriegeräte antworten in der Regel einfach auf jedes Paket, das sie erhalten, einschließlich Abfragen, Ausschaltbefehlen, Firmware-Updates und Steuerbefehlen. Der Netzwerk-Conduit muss den Inhalt eines Pakets analysieren können. Nur so lassen sich sichere Pakete, wie das Lesen von Abfragen, von potenziell unsicheren Paketen, wie Ausschalt- oder Löschbefehlen, unterscheiden.
Komplexe Installation: Die Installationsdichte von Secure Routern für gut geschützte Steuer- und Regelungsnetzwerke erfordert einen zusätzlichen Aufwand in der Wartung von Ethernet Switches für die Netzwerkinfrastruktur sowie Secure Routern für die Firewall. Die herkömmliche Art zur Installation von Cyber-Sicherheit in Steuer- und Regelungsnetzwerken ist das Hinzufügen von Secure Routern oder Firewalls, die als sichere Conduits fungieren, also ein Zusatz zur bestehenden Netzwerk-Hardware, wie zum Beispiel Layer 2-Switches. Um eine Produktionsfläche zu schützen, genügen in der Regel ein oder zwei Hochleistungs-Secure Router aus, während der Schutz aller Netzwerkzonen schnell den zehnfachen Aufwand an Router-Integration erfordern kann. Nun empfehlen viele Regelwerke zur Cyber-Sicherheit, dass die Sicherheit auf Geräte-Zellen-Ebene implementiert werden muss. Das bedeutet, dass unter Umständen hunderte von Routern oder Firewalls auf der Feldebene installiert werden müssen. Eine solche Gerätestruktur zu installieren und zu verwalten, erfordert nicht nur hohe Kosten, sondern auch einen entsprechenden personellen und zeitlichen Aufwand.

Moxa stellt zur Absicherung von industriellen Netzwerken den Router EDR 810 mit Sicherheitsfunktionen zur Verfügung. Die Hardware verfügt über eine Firewall, bietet Router- und Switchfunktionen in einem Gerät und unterstützt auch die Analyse von Datenpaketen im Formad Modbus TCP. Bild: Moxa Europe

Router mit Sicherheitsfunktionen für die Industrie

Moxa bietet vor diesem Hintergrund seine aktuelle EDR-Serie von industriellen Secure Routern an. Die Geräte wurden entwickelt, um Administratoren von Steuer- und Regelungsnetzwerken alle Werkzeuge zu bieten, welche das Fachpersonal für die Installation eines mehrschichtigen Sicherheitskonzepts benötigen, das die ANSI/ISA-99-Richtlinien erfüllt. So verfügt die Gerätefamilie etwa über Gigabit-Uplinks, außerdem wurde die Hardware darauf ausgelegt, große Datenmengen einfach und sicher verarbeiten zu können. So sollen die Systeme auch bei hohem Datenaufkommen oder eines ‚Denial-of-service‘-Angriffs (DDOS) ausreichend Durchsatz bieten, um sogar eine nahtlose Videoleistung zu gewährleisten. Zusätzlich zur Firewall-, VPN- und NAT-Funktion bietet die Baureihe EDR-810 auch eine ‚Packetguard‘-Funktion für die Deep Packet Inspection von Modbus TCP-Datenpaketen. Zum Erstellen einer sicheren Zone weisen die Geräte zudem einen integrierten Switch und unterschiedliche Sicherheitsfunktionen auf. Die Ports dieses Routers können frei der WAN- oder der LAN-Seite zugeordnet werden. Auf diese Weise erhält man ein sehr flexibles Gerät, das je nach Wunsch eher mehr als Router oder als Switch eingesetzt werden kann. Auf Basis einer solchen, integrierten Lösung, welche Router- und Switch-Funktionen in einem Gerät kombiniert, lässt sich nicht nur die erforderliche Geräte-Konnektivität erreichen, sondern auch das Schutzniveau gegen ungewollte Zugriffe oder die Übertragung von Schadsoftware aus externen Netzwerken erhöhen.

Datum:19. Mai 2014

Autoren:

Themen: Hardware und Infrastruktur, Industrielle IT

Schlagwörter: Infrastruktur und Hardware, Netzwerksicherheit, Netzwerktechnik

Webseite: www.moxa.com

Das könnte Sie auch interessieren:

Fertigungsnahe IT

Durchgängige Lieferkette mit SAP-Software
Von der Batch-Produktion bis zur Verpackung

Konsumgewohnheiten ändern sich. Mit der Marke Frosch hat die Werner & Mertz GmbH, traditionsreicher Hersteller von Reinigungs- und Pflegeprodukten mit knapp 1.000 Beschäftigten, neben ihrer traditionsreichen Erdal-Schuhcreme seit langem eine Vielzahl weiterer bekannter Produkte im Sortiment. Zuletzt brachte das Unternehmen unter der Marke Frosch kosmetische Artikel auf den Markt. Um ihre Produktion für diese große Vielfalt an Artikeln optimal auf neue Marktanforderungen anpassen zu können, bildet Werner & Mertz sämtliche Herstellprozesse seit vielen Jahren mit SAP MII (Manufacturing Integration & Intelligence) ab. Eine SAP MES-Lösung, die von IGZ, dem SAP Projekthaus für Produktion mit Sitz im oberpfälzischen Falkenberg, an den beiden Fertigungsstandorten in Mainz und im österreichischen Hallein eingeführt wurde. Im nächsten Schritt werden für die produktionsnahen Materialflüsse und Lagerhaltung für die Fertigwarenlogistik sowie die Verplanung von Transportkapazitäten die SAP Module SAP EWM und SAP TM eingeführt. Damit schafft das Mainzer Unternehmen auf Basis von SAP Standardsoftware systemische Durchgängigkeit in der operativen und digitalen Supply Chain von der Batch-Produktion über die Intralogistik und Verpackung bis hin zum Versand.‣ weiterlesen

Neuheiten

Produktionsmittel per Funk im Blick

Der neue Neoception Asset Tracker von Pepperl+Fuchs bietet eine cloudbasierte Überwachung von Produktionsmitteln in der Fertigung. RFID-Lesegeräte des Funksystems IdentControl des gleichen Herstellers identifizieren mithilfe eines Transponders sogenannte Assets, deren objektspezifische Informationen über ein Gateway an die Firmen-Cloud Neoception gesendet werden.‣ weiterlesen

Industrie 4.0 / IoT

Fachartikelserie GPS Digital, Teil 2: Industrie 4.0 in der Praxis
Roboter bauen mit Masterplan

Roboter, die Roboter produzieren - diese Vision hat Kuka bereits weitreichend umgesetzt. Für unsere Serie GPS Digital hat das Ulmer Softwarehaus untersucht, wie es um die Industrie 4.0-Konzepte in der Fertigungsstätte des Augburger Unternehmens steht.‣ weiterlesen

Mit den Anlagen Lasertec 65 3D und Lasertec 65 3D Hybrid von DMG Mori lassen sich komplexe Werkstücke mittels Laserauftragsschweißen herstellen und reparieren. Das eröffnet vom Prototypenbau über die Serienfertigung bis hin zu Multi-Material-Anwendungen ganz neue Einsatzmöglichkeiten.‣ weiterlesen

Produktionsmanagement

Von der Applikation zur Innovation
Partner als Schlüssel zum intelligenten Unternehmen

Nutzer erwarten von Technologien wie dem Internet der Dinge, der Cloud, Big Data oder maschinellem Lernen, greifbare geschäftliche Vorteile zu erlangen. Hier kommen die Partner von Technologieführern wie SAP ins Spiel. Sie verstehen die Anforderungen ihrer Kunden genau und können maßgeschneiderte Lösungen bereit stellen. Doch das funktioniert nur, wenn die Partner ihrerseits unterstützt werden - von der Entwicklung bis zur Vermarktung. Dafür müssen die IT-Hersteller zu echten Teamplayern werden.‣ weiterlesen

Reihe Wissen Kompakt

MES Manufacturing Execution Systems

Um alle Potenziale eines MES umfassend ausnutzen zu können, beleuchten unsere Autoren in der Serie von MES Wissen Kompakt die erfolgskritischen Faktoren, um Fertigungsunternehmen präventiv zu steuern. Darüber hinaus präsentiert MES Wissen Kompakt ein breites Spektrum an Firmenportraits, Produkt- neuheiten und Dienst- leistungen im MES-Umfeld.
ERP und CRM

Ein Unternehmen, das sich mit der Auswahl eines ERP- Systems befasst, muss sich gleichsam mit einem viel- schichtigen Software-Markt und unklaren Interessen- lagen an interne Abwick- lungsprozesse auseinander- setzen. Guter Rat bei der Investitionsentscheidung ist teuer. ERP/CRM Wissen Kompakt unterstützt Sie bei der gezielten Investition in die IT-Infrastruktur.
PRODUKTENTWICKLUNG

Ingenieure stehen im Epizentrum der betrieblichen Wertschöpfung und Digitalisierung gleichermaßen. Die Sonderausgabe "Produktentwicklung Wissen Kompakt" berichtet auf mehr als 70 Seiten, wie Entwicklungsabteilungen agil werden, wie Fertigungssdaten Produkte verbessern und Computer Routineaufgaben erledigen helfen.

Partner-Netzwerke

SAP-Partner

Auf der Suche nach Innovation, nach neuen Lösungen und der Abgrenzung zum Mitbewerb vernetzen sich zunehmend mehr Unternehmen mit externen Experten und Partnern. SAP hat mit dem SAP Ecosystem ein Netzwerk aufgebaut, das ein Forum für den Aufbau von Partnerschaften, Zugang zu Ressourcen und einen Rahmen für Dialoge und Kooperationen bietet.
PTC Partner

Mit der Ausweitung des Geschäftsmodells von PTC und durch Akquisitionen wie Thingworx, Kepware oder Vuforia entstanden zuletzt vollkommen neue sowie komplementäre Partnernetzwerke. Auch verändern sich durch die Digitalisierung Rollen und Ziele in den Partnernetzwerken spürbar. Der amerikanische Softwarehersteller hat deshalb sein Partner Netzwerk neu ausgerichtet, um für produzierende Unternehmen von Creo bis ThingWorx das Beste aus dem PTC-Portfolio herauszuholen.
Microsoft Partner

Mittelständische Unternehmen investieren selbst in schwierigen Zeiten in Microsoft-Technologien, weil sie überzeugt sind, dass ihre Produktivität steigt und sich ihre Kostenstruktur bessert. Microsoft hat mit dem Microsoft-Partner-Network ein Netz werk aufgebaut, das ein Forum für den Aufbau von Partnerschaften, Zugang zu Ressourcen und einen Rahmen für Dialoge und Kooperationen bietet.