Newsletter Abonnieren
Newsletter
,

Getrennte Netzwerk-Topologien

Kein Allheilmittel gegen Sicherheitsrisiken

Zur Absicherung der Datenbestände und Steuerungen in industriellen Netzwerken wird immer wieder die Abschottung von Scada-Ebene und Unternehmens-IT gefordert. Während dieser Ansatz in der Theorie hohe Sicherheit verspricht, scheitert die konsequente Umsetzung vielfach an den Gegebenheiten in den Betrieben: Durch den Verzicht auf durchgängige Netzwerke öffnen Unternehmen Tür und Tor für den Informationstransport ‚zu Fuß‘ – und verlieren so die Kontrolle über den Datenverkehr.

Bild: Fotolia / gluke

Hartnäckig hält sich im Bereich der Scada-Sicherheit sowie im Umfeld integrierter Kontrollsysteme (ICS) die Vorstellung, dass so genannte ‚Air Gaps‘ oder ‚Luftspalten‘ zwischen Steuernetzwerken und der Außenwelt existieren: Der Begriff bezeichnet die vollständige, physikalische Trennung des Steuernetzes vom Unternehmensnetzwerk in einem ausgereiften System. Digitale Informationen können diesen Schutzgraben nicht überwinden. Damit wären unternehmenskritische Steuersysteme absolut sicher vor Gefahren – zum Beispiel im Fall von Hackerangriffen – durch die ‚Würmer‘ eingeschleust werden können. Daraus ergibt sich die Schlussfolgerung, dass Unternehmen, deren Systeme von Schadsoftware befallen werden, diesen Air Gap nicht ordentlich gestaltet haben und deshalb möglichen Befall selbst verschulden.

Kein Allheilmittel gegen Sicherheitsbedenken

Als Air Gaps werden mitunter Technologien wie unidirektionale Gateways oder Datendioden bezeichnet. Dabei handelt es sich allerdings nicht um eine physikalische Trennung, denn elektronische Informationen fließen weiterhin zwischen dem Steuersystem und dem Unternehmensnetz, wenn auch nur in eine Richtung. Dennoch vermitteln viele Systemanbieter den Eindruck, dass es diesen Air Gap tatsächlich gibt. So wird Woche für Woche eine neue Sicherheitslücke bei Scada und ICS gemeldet, und Anwender bekommen Stellungnahmen zu lesen, die vor allem auf nötige Schutzmaßnahmen zur Absicherung der Automatisierungsnetze vor unbefugtem Zugriff hinweisen – und dabei auch die Etablierung von Air Gaps empfehlen, die das System von anderen Netzwerken physikalisch trennen sollen.

Interessanterweise preisen vor allem die Unternehmen, die Air Gaps in ihren Sicherheitshinweisen aufführen, Lösungssuites mit dem Produktmerkmal ‚vollständiger Anlagenintegration‘ an. Sie legen dar, wie etwa Manufacturing Execution-Systeme oder Enterprise Resource Planning-Komponenten eine ’nahtlose Integration‘ mit ihren Steuersystemen im Produktionsbereich ermöglichen. Es ist allerdings nur schwer vorstellbar, wie eine so tiefe Integration über einen Air Gap hinweg realisiert werden kann. Entsprechend sagte auch Stefan Woronka, Siemens-Geschäftsführer der Industrial Security Services, auf dem Siemens Summit im Juni 2011 in den USA: „Vergessen Sie den Mythos vom Air Gap – das physikalisch vollständig getrennte Steuersystem ist Geschichte.“ Auch beim Blick auf Entwicklungs- und Produktunterlagen zu Systemarchitekturen namhafter Automationsanbieter lässt sich die viel beschworene Systemlücke nicht ausmachen – ungeachtet des Systemherstellers.

Digitale Kommunikation findet in jedem Fall statt

Es gibt einen guten Grund, warum Air Gaps in Entwicklungsunterlagen nicht auftauchen: Für theoretische Betrachtungen ist dieser Ansatz zwar bestens geeignet. In der betrieblichen Praxis funktioniert diese Trennung jedoch nicht. Zwar lässt sich die Verbindung zwischen Steuersystem und Unternehmensnetz grundsätzlich trennen, doch eines Tages liefert ein technischer Berater eine neue Logik, mit der möglicherweise ein Designfehler behoben wird, der dem Anwenderunternehmen beträchtliche Ausfallzeiten gekostet hat. Nur wenig später trifft dann beispielsweise eine Software-Aktualisierung aus dem Office-Bereich ein, mit der vielleicht eine kritische Sicherheitslücke in der PDF-Lesesoftware der technischen Dokumentation geschlossen wird. Anschließend wird aus dem Labor ein Verfahrensrezept zur Verbesserung der Produktqualität übertragen.

Diese Liste lässt sich weiter fortsetzen: Von Patches für das PC-Betriebssystem, Virenschutzsignaturen, Remote-Support- und System-Software – das alles muss beachtet werden. Als Ergebniss landen möglicherweise einige Dateien auf einem USB-Medium. mit dem der Techniker anschließend ins Werk geht – und genau diese Situation hat zur Verbreitung des Computer-Wurms Stuxnet geführt. Als Alternative bietet sich der Datentransport per Laptop an, doch auch Mobilcomputer können von Viren befallen sein. Selbst eine serielle Schnittstelle in Verbindung mit einem Modem verspricht wenig Abhilfe – denn so drang der Slammer-Wurm in einige Steuersysteme ein. Selbst die verlässliche CD lässt sich unbeabsichtigt in ein Medium mit Schadsoftware verwandeln. So sehr das Gegenteil auch wünschenswert wäre – moderne Steuersysteme benötigen einen ständigen Fluss von elektronischen Informationen aus der Außenwelt. Das Trennen der Netzwerkverbindung durch einen Air Gap schafft lediglich neue Übergänge – wie beispielsweise durch mobile Laptops und USB-Sticks, die schwieriger zu beherrschen sind und leichter infiziert werden können.

Absolute Sicherheit bleibt eine Wunschvorstellung

Die häufig beschworenen Air Gaps in Steuersystemen finden sich daher in der Regel nur in in trivialen Anwendungen: Ein digitaler Thermostat, der zu Haus die Wärmepumpe steuert, hat vielleicht einen echten Air Gap. Und möglicherweise sind Hochrisikosysteme, wie etwa Regelsysteme von Kernkraftwerken, tatsächlich durch einen Air Gap geschützt. Doch auf die Frage, ob eine verlässliche Systemtrennung bei allen Steuersystemen vorhanden ist, die unser Stromnetz, unsere Pipeline-Infrastruktur, unser Verkehrssystem, unser Wasser und unsere Fabriken verwalten, gibt etwa Sean McGurk, Direktor des Zentrums für Internetsicherheit des US-Heimatschutzministeriums (NCCIC), im Mai des Jahres 2011 die folgende Antwort: „Unsere Erfahrung bei der Bewertung von Hunderten von Sicherheitslücken in der Privatwirtschaft zeigt, dass wir bei keinem operativen Netzwerk, Scada-System oder Energiemanagementsystem eine Trennung vom Unternehmensnetzwerk feststellen konnten. Im Schnitt finden wir elf direkte Verbindungen zwischen diesen Netzwerken vor. In einigen Extremfällen haben wir bis zu 250 Verbindungen zwischen dem tatsächlichen Produktionsnetzwerk und dem Unternehmensnetzwerk identifiziert.“

Gefahrenquelle ungeregelter Datentransport

Das wirkliche Problem beim Air Gap-Konzept ist nicht die Technologie. Vielmehr sorgt die Erwartung dass sich industrielle Netzwerke komplett abschotten lassen dafür, dass Unternehmen sich in einem falschen Gefühl von Sicherheit wiegen. Durch die Trennung der Systemwelten wird aber vielfach lediglich den Informationsfluss über das Netzwerk, das Möglichkeiten zur Überwachung und Steuerung bietet, auf ungeregelte ‚Turnschuhnetzwerk‘-Kanäle wie USB-Sticks, CDs und Laptops umgeleitet. Den meisten Unternehmen geht im Laufe dieser Entwicklung die Kontrolle bei der Übertragung digitaler Informationen verloren. Verlässt sich ein Unternehmen auf diesen manuellen Weg zur Übertragung von Patches und Informationen auf das Steuersystem, ist die Sicherheit daher tatsächlich geringer als bei einem System, das ohne den so genannten Air Gap auskommt.

Die Anwender nicht ‚außen vor‘ lassen

Mitunter wird in diesem Zusammenhang darauf hingewiesen, dass das Problem mit dem Air Gap ausschließlich ein menschliches Problem sei. Begründet wird dies damit, dass lediglich leichtsinniges Handeln verhindert werden müsse, wie zum Beispiel das Verschieben von Dateien und Patches auf USB-Sticks – dann funktioniere die Trennung der Systeme gut. Diese Argumentation krankt allerdings daran, dass Fehler programmiert sind, wenn eine Technologie Handlungen vom Anwender verlangt, die ihm zu viel Aufwand abfordern. In diesem Zusammenhang weisen auch die Autoren des Papiers ‚Users are Not the Enemy‘ auf die zentrale Rolle des Anwenders hin: „Unsichere Geschäftspraktiken und geringes Sicherheitsdenken der Anwender kann durch Sicherheitsmechanismen und -richtlinien hervorgerufen werden, die Arbeitsmethoden, Organisationsstrategien und Anwenderfreundlichkeit außen vor lassen. Wenn in den Sicherheitsabteilungen nicht verstanden wird, wie die konzipierten Mechanismen in der Praxis umgesetzt werden, bleibt die Gefahr, dass Mechanismen, die auf dem Papier sicher erscheinen, in der Praxis versagen.“

Die Forderung nach getrennten Systemen ist ein Paradebeispiel für diesen Konflikt. Entwickler und Betreiber verfolgen vordringlich das Ziel, den Betrieb ihrer Fabriken und Einrichtungen sicher, zuverlässig und effizient zu gestalten. Sind Patches, IT-Rezepte und neue Logiken vorhanden, die Prozesse sicherer oder effizienter machen, wird angestrebt, diese im Produktionsbetrieb zu integrieren. Steht das Werk still und wird ein Experte per Fernwartung mit der Fehlerbehebung beauftragt, wird er zu 99 Prozent der Zeit auf das Netzwerk zugreifen können. Probleme sind dann programmiert, wenn der Betrieb vom Fachpersonal per Sicherheitsanweisung eine Handlungsweise einfordert, die dessen Arbeitsziel entgegensteht.

Den Kontakt zur Außenwelt in die Planung einbeziehen

Regierungen, Anbieter und Industrie müssen akzeptieren, dass sich die viel beschworenen Air Gaps in der betrieblichen Praxis nicht umsetzen lassen. Denn noch immer erwarten zu viele Anwender, dass Sicherheitsrisiken unter Kontrolle sind, weil ihre Systeme physisch voneinander getrennt sind. Effektive ICS- und Scada-Sicherheit ist nur möglich, wenn die Industrie den Mythos der Air Gaps komplett aufgibt und lernt, mit der Wirklichkeit umzugehen: Steuerungssysteme sind mit der Außenwelt verbunden. Möglicherweise nicht direkt, aber doch ganz sicher mit den vorhandenen Netzwerken. Auch bei Trennung einer Netzwerkverbindung fließen die Bits und Bytes weiterhin zum und vom Steuerungssystem. Abwehrmaßnahmen zur Cybersicherheit müssen dieser Tatsache Rechnung tragen.

News

News

das könnte sie auch interessieren