Digitale Bedrohung

Sicherheit für Steuernetze

Industrielle Produktions- und Steueranlagen werden immer stärker vernetzt. Das Ergebnis sind effizientere Abläufe, aber auch erhöhte Angreifbarkeit – intern wie extern. Die bewährten Sicherheitssysteme wie Virenscanner und Firewall kommen dabei an ihre Grenzen und können in Steuernetzen oft nicht eingesetzt werden. Ein vielversprechender Ansatz sind intelligente Überwachungssysteme auf Basis der Deep Packet Inspection-Technologie.

Bild: Rhebo AG

Wie bei allen IT-Systemen, macht die Vernetzung von Steueranlagen diese auch zum Ziel für Angriffe aus dem Internet – oft nur zufällig aufgrund ihrer öffentlichen Erreichbarkeit. Zwischen 2012 und 2014 untersuchte die Forschergruppe von Infracritical mit dem Projekt Shine, wie viele Steuersysteme aus dem Internet erreichbar sind. Am Ende fanden sie 2,2 Millionen Steuersysteme, die über das Internet auffindbar und potentiell zugänglich waren – oftmals ohne Wissen ihrer Betreiber. 15 Prozent der gefundenen Steuerungen befanden sich in Deutschland. Aber auch nicht ans Internet angeschlossene Hardware ist potentiell gefährdet, wie der BSI-Bericht ‚Industrial Control System Security: Top 10 Bedrohungen und Gegenmaßnahmen‘ von 2014 aufzeigt:

• privat genutzte (Wartungs-)Laptops

• gezielte Spear Phishing-Attacken

• Zugriff auf das WLAN in Produktionshallen per Richtantenne

• Fernwartung per häufig ungesichertem Virtual Private Network (VPN)

• unzufriedene oder gutgläubige Mitarbeiter, die durch Social Engineering
zur Datenweitergabe motiviert werden

• unbedacht verwendete Fremd-Laufwerke wie USB-Sticks.

Alte Gefahren

Selbst eine vollkommen isolierte Anlage bietet keine absolute Sicherheit vor netzwerkbedingten Störungen. Mit steigendem Grad der Konnektivität von Maschinen und Steuerungen untereinander erhöht sich die Komplexität und damit die Wahrscheinlichkeit eines Ausfalls. Zudem kann es – anders als bei busbasierten Systemen – bei paketorientierter Kommunikation zu Überlastzuständen kommen. So kann etwa das tägliche Hochladen von Logdaten auf einen FTP-Server eine erhebliche Last verursachen, die zu Störungen führen kann, wenn zeitgleich zeitkritische Kommunikation auf dem Medium läuft. Problemen dieser Art auf die Spur zu kommen, ist mit herkömmlichen Tools nahezu unmöglich, da die üblichen Industrie-Protokolle von gängiger Netzwerkdiagnose-Software kaum unterstützt werden. Industriespezifische Protokoll-Analyzer wiederum sind nicht hinreichend auf das Auswerten von Informationen der unteren Protokollschichten (Ethernet und IP) ausgerichtet.

Hängebahn per Industrial WLAN

Welche Form der Kommunikation ist für Einschienenhängebahnen die beste? Ein deutscher Autobauer hat sich für Industrial Wireless LAN-Lösungen entschieden und Siemens Professional Services für industrielle Netzwerke mit deren Planung, Inbetriebnahme und Fein-Tuning betraut.‣ weiterlesen

Zwei Schwächen

Aktuell wird für den Netzwerkschutz auf Virenscanner und Firewalls zurückgegriffen. Diese weisen zwei entscheidende Schwächen auf: Erstens erkennen sie nur bereits bekannte Anomalien (sogenannter ‚Black Listing‘-Ansatz). Bei täglich rund 17.000 neuen Bedrohungen (Quelle: viruslist.com) kommt keine dieser Lösungen hinterher. Zweitens überwachen sie nur die externen Schnittstellen. Wie der BSI-Bericht zeigt, erfolgt die Mehrzahl der Angriffe mittlerweile jedoch von intern oder über authorisierte Schnittstellen (zum Beispiel über VPN-Clients). Die Situation wird durch die Nutzung von Betriebssystemen verschärft, für die teils keine Sicherheits-Updates mehr bereitgestellt werden, wie seit 2014 für Windows XP. Auch werden in Steuerungen immer wieder Lücken gefunden. Die Open-Source Vulnerability Database (OSVDB) weist einen achtfachen Anstieg zwischen 2009 und 2014 aus.

Auf einen Blick

Angesichts der zunehmenden Komplexität und der sich entwickelnden Bedrohungslage sind neue Lösungen gefordert. Industrial Protector der Firma Rhebo verfolgt deshalb einen neuartigen Ansatz, der eine lückenlose Unterscheidung zwischen erlaubter und nicht erlaubter Netzwerkaktivität ermöglicht. Grundlage für die Funktion sind die deterministischen Prozesse, die in einer Produktionsanlage geplant laufen und folglich in einer deterministischen Kommunikation im Netzwerk resultieren. Industrial Protector erlernt diesen erlaubten Kommunikationsprozess, um Abweichungen – oder Anomalien – davon jederzeit und unmittelbar zu erkennen und zu melden. Diese Meldungen machen alle Probleme im Steuernetz, die zu einer Beeinträchtigung des Betriebs führen können, direkt sichtbar. Darunter fallen unter anderem Fehlkonfigurationen oder Fehlfunktionen einzelner Komponenten, Überlastungen und Kommunikationsausfälle, aber auch gezielte und ungezielte Angriffe von innen oder außen.

Kommunikation erlernen

Das Erlernen des normalen Kommunikationsverhaltens erfolgt mittels einer vollständigen Überwachung, Erkennung und Dekodierung des Datenverkehrs. Dabei werden die Fernwirk- und Feldbusprotokolle bis auf Befehlsebene mittels Deep-Packet-Inspection-Technologie analysiert und validiert. Jeder Befehlsaustausch zwischen Komponenten im Steuernetz (zum Beispiel Steuerungen, Sensoren, Aktoren) wird von Industrial Protector in der Lernphase als Normverhalten registriert. Jede Abweichung von diesem Normverhalten erzeugt im späteren Betrieb eine Meldung. Damit wird zum Beispiel erkannt:

• ob ein nicht authorisiertes Gerät auf das Netzwerk zugreift

• ob über ein neues oder unbekanntes Protokoll kommuniziert wird

• ob ein Wartungslaptop auf eine Steuerung zugreift, mit der er zuvor noch
nicht kommuniziert hat

• ob eine Malware das Netz scannt

• ob die Rate zyklischer Ereignisse sich verändert oder

• auf ein Gerät schreibend zugegriffen wird, wo zuvor nur lesend zugegriffen
wurde

Kurz: Alle Anomalien im Netzwerk werden unmittelbar angezeigt – inklusive aller für die Auswertung notwendigen Daten. Unbekannte Aktivitäten können so umgehend bewertet und als ‚gefährlich‘ blockiert oder als ‚unbedenklich‘ freigegeben werden. Die Sicherheitslösung blockiert dabei nicht automatisch alle unbekannten Vorgänge, sondern überlässt dem Betreiber die Entscheidung und Netzwerkhoheit. So lassen sich Ausfallzeiten drastisch reduzieren und in vielen Fällen ganz vermeiden. Überwacht werden MAC- und IP-Adressen, das Anwendungsprotokoll (zum Beispiel Profinet, Ethercat, Modbus, S7, aber auch SNMP oder NTP sowie etwa 50 weitere industriespezifische und Standardprotokolle), der Nachrichtentyp (Synchronisation, Authentisierung, Datenübertragung, Fehlermeldungen und so weiter) und die daraus resultierenden Kombinationen.

Zwei Komponenten

Industrial Protector besteht aus zwei Komponenten: Einem zentralen Server und optional mehreren Sensoreinheiten, die zum Beispiel im Schaltschrank an der Hutschiene montiert werden können und dort mittels Netzwerk-Tap oder Spiegelport vollkommen passiv Daten abgreifen. Installationsaufwand und Wartung sind minimal. Die Anlernphase dauert oft nur wenige Minuten bis Stunden, die Konfiguration ist automatisiert und im Normalbetrieb ist nicht mit Fehlalarmen zu rechnen. Installationen von Industrial Protector im Umfeld der deutschen Automobilindustrie konnten ohne Produktionsunterbrechnung umgesetzt werden. Erste Ergebnisse zeigen ein reibungsloses und effizientes Kommunikationstracking.

Die Anforderungen steigen

Betreiber kritischer Infrastruktur wie Energieversorger oder Wasser- und Abwasserbetriebe werden durch das neue IT-Sicherheitsgesetz angehalten, sich angemessen nach aktuellem Stand der Technik vor Angriffen zu schützen und darüber hinaus erhebliche IT-Sicherheitsvorfälle zu melden. Aber auch in produzierenden Betrieben ist damit zu rechnen, dass entsprechende Anforderungen steigen, sei es durch konzerninterne Richtlinien oder Auflagen von Versicherern. Hier können Deep-Packet-Inspection-Technologien wie Rhebo Industrial Protector sinnvolle Dienste leisten, denn sie machen Sicherheitsvorfälle unmittelbar sichtbar und liefern die zur forensischen Analyse eines Angriffs oder einer Störung notwendigen Daten im PCAP-Format gleich mit.

Datum:21. April 2016

Autoren:

Themen: Hardware und Infrastruktur, Industrielle IT

Schlagwörter: Deep Paket Inspection, Netzwerksicherheit, Sicherheits- und Überwachungssysteme

Webseite: www.rhebo.com

Das könnte Sie auch interessieren:

Fertigungsnahe IT

Durchgängige Lieferkette mit SAP-Software
Von der Batch-Produktion bis zur Verpackung

Konsumgewohnheiten ändern sich. Mit der Marke Frosch hat die Werner & Mertz GmbH, traditionsreicher Hersteller von Reinigungs- und Pflegeprodukten mit knapp 1.000 Beschäftigten, neben ihrer traditionsreichen Erdal-Schuhcreme seit langem eine Vielzahl weiterer bekannter Produkte im Sortiment. Zuletzt brachte das Unternehmen unter der Marke Frosch kosmetische Artikel auf den Markt. Um ihre Produktion für diese große Vielfalt an Artikeln optimal auf neue Marktanforderungen anpassen zu können, bildet Werner & Mertz sämtliche Herstellprozesse seit vielen Jahren mit SAP MII (Manufacturing Integration & Intelligence) ab. Eine SAP MES-Lösung, die von IGZ, dem SAP Projekthaus für Produktion mit Sitz im oberpfälzischen Falkenberg, an den beiden Fertigungsstandorten in Mainz und im österreichischen Hallein eingeführt wurde. Im nächsten Schritt werden für die produktionsnahen Materialflüsse und Lagerhaltung für die Fertigwarenlogistik sowie die Verplanung von Transportkapazitäten die SAP Module SAP EWM und SAP TM eingeführt. Damit schafft das Mainzer Unternehmen auf Basis von SAP Standardsoftware systemische Durchgängigkeit in der operativen und digitalen Supply Chain von der Batch-Produktion über die Intralogistik und Verpackung bis hin zum Versand.‣ weiterlesen

Neuheiten

Produktionsmittel per Funk im Blick

Der neue Neoception Asset Tracker von Pepperl+Fuchs bietet eine cloudbasierte Überwachung von Produktionsmitteln in der Fertigung. RFID-Lesegeräte des Funksystems IdentControl des gleichen Herstellers identifizieren mithilfe eines Transponders sogenannte Assets, deren objektspezifische Informationen über ein Gateway an die Firmen-Cloud Neoception gesendet werden.‣ weiterlesen

Industrie 4.0 / IoT

Fachartikelserie GPS Digital, Teil 2: Industrie 4.0 in der Praxis
Roboter bauen mit Masterplan

Roboter, die Roboter produzieren - diese Vision hat Kuka bereits weitreichend umgesetzt. Für unsere Serie GPS Digital hat das Ulmer Softwarehaus untersucht, wie es um die Industrie 4.0-Konzepte in der Fertigungsstätte des Augburger Unternehmens steht.‣ weiterlesen

Mit den Anlagen Lasertec 65 3D und Lasertec 65 3D Hybrid von DMG Mori lassen sich komplexe Werkstücke mittels Laserauftragsschweißen herstellen und reparieren. Das eröffnet vom Prototypenbau über die Serienfertigung bis hin zu Multi-Material-Anwendungen ganz neue Einsatzmöglichkeiten.‣ weiterlesen

Produktionsmanagement

Von der Applikation zur Innovation
Partner als Schlüssel zum intelligenten Unternehmen

Nutzer erwarten von Technologien wie dem Internet der Dinge, der Cloud, Big Data oder maschinellem Lernen, greifbare geschäftliche Vorteile zu erlangen. Hier kommen die Partner von Technologieführern wie SAP ins Spiel. Sie verstehen die Anforderungen ihrer Kunden genau und können maßgeschneiderte Lösungen bereit stellen. Doch das funktioniert nur, wenn die Partner ihrerseits unterstützt werden - von der Entwicklung bis zur Vermarktung. Dafür müssen die IT-Hersteller zu echten Teamplayern werden.‣ weiterlesen

Reihe Wissen Kompakt

MES Manufacturing Execution Systems

Um alle Potenziale eines MES umfassend ausnutzen zu können, beleuchten unsere Autoren in der Serie von MES Wissen Kompakt die erfolgskritischen Faktoren, um Fertigungsunternehmen präventiv zu steuern. Darüber hinaus präsentiert MES Wissen Kompakt ein breites Spektrum an Firmenportraits, Produkt- neuheiten und Dienst- leistungen im MES-Umfeld.
ERP und CRM

Ein Unternehmen, das sich mit der Auswahl eines ERP- Systems befasst, muss sich gleichsam mit einem viel- schichtigen Software-Markt und unklaren Interessen- lagen an interne Abwick- lungsprozesse auseinander- setzen. Guter Rat bei der Investitionsentscheidung ist teuer. ERP/CRM Wissen Kompakt unterstützt Sie bei der gezielten Investition in die IT-Infrastruktur.
PRODUKTENTWICKLUNG

Ingenieure stehen im Epizentrum der betrieblichen Wertschöpfung und Digitalisierung gleichermaßen. Die Sonderausgabe "Produktentwicklung Wissen Kompakt" berichtet auf mehr als 70 Seiten, wie Entwicklungsabteilungen agil werden, wie Fertigungssdaten Produkte verbessern und Computer Routineaufgaben erledigen helfen.

Partner-Netzwerke

SAP-Partner

Auf der Suche nach Innovation, nach neuen Lösungen und der Abgrenzung zum Mitbewerb vernetzen sich zunehmend mehr Unternehmen mit externen Experten und Partnern. SAP hat mit dem SAP Ecosystem ein Netzwerk aufgebaut, das ein Forum für den Aufbau von Partnerschaften, Zugang zu Ressourcen und einen Rahmen für Dialoge und Kooperationen bietet.
PTC Partner

Mit der Ausweitung des Geschäftsmodells von PTC und durch Akquisitionen wie Thingworx, Kepware oder Vuforia entstanden zuletzt vollkommen neue sowie komplementäre Partnernetzwerke. Auch verändern sich durch die Digitalisierung Rollen und Ziele in den Partnernetzwerken spürbar. Der amerikanische Softwarehersteller hat deshalb sein Partner Netzwerk neu ausgerichtet, um für produzierende Unternehmen von Creo bis ThingWorx das Beste aus dem PTC-Portfolio herauszuholen.
Microsoft Partner

Mittelständische Unternehmen investieren selbst in schwierigen Zeiten in Microsoft-Technologien, weil sie überzeugt sind, dass ihre Produktivität steigt und sich ihre Kostenstruktur bessert. Microsoft hat mit dem Microsoft-Partner-Network ein Netz werk aufgebaut, das ein Forum für den Aufbau von Partnerschaften, Zugang zu Ressourcen und einen Rahmen für Dialoge und Kooperationen bietet.