Schutz im Netz

Security – Das Einfallstor über die IT ist in Zeiten zunehmender Datenflut gefährlich weit geöffnet. Zum Glück machen sich immer mehr Anbieter Gedanken darüber, wie Netzwerke sicher bleiben.

19. Juni 2019
Schutz im Netz
Die Anomalie-Erkennung durch den tiefen Blick in die Datenkommunikation bringt Sicherheitsvorteile und erhöht die Produktivität deutlich. (© Mdex)

von Michael Kleine

War im Maschinen- und Anlagenbau beim Thema Sicherheit meist »Safety«, also die Unversehrtheit von Mensch und Maschine, im Fokus, bekommt mit fortschreitender Digitalisierung »Security«, also der Schutz der Daten, einen immer größeren Stellenwert. In letzter Zeit sprießen darum vermehrt konkrete Lösungen, Untersuchungen und Strategien, die sich lohnen, betrachtet zu werden.

Um die Gefahrenquellen kümmert sich der Moskauer Sicherheitsspezialist Kaspersky. Demzufolge ist die Fertigungsindustrie im Visier der Cyberkriminellen. 50 Prozent der Befragten beklagen Vorfälle mit geschäftsschädigender Wirkung, 20 Prozent bemerken einen Anstieg von Cyberattacken und in 28 Prozent der Fälle hinterließen die Angreifer keine Spuren. Ganz konkret hat Kaspersky sieben Schwachstellen in der industriellen IoT-Plattform ThingsPro Suite von Moxa lokalisiert, die dann vom Hersteller behoben wurden. »Trotz des großen Fachwissens und der Erfahrung des Unternehmens wies das Produkt eine Reihe von Schwachstellen auf. Dies zeigt, wie wichtig es ist, geeignete Tests zur Cybersicherheit durchzuführen«, betont Alexander Nochvay, Sicherheitsforscher im Kaspersky Lab.

Als Ergebnis stehen Empfehlungen zur Sicherung industrieller Steuerungssysteme. Demnach sollten IIoT-Gateways nur eingeschränkt Zugriff auf OT-Komponenten, das IT- sowie Unternehmensnetzwerk sowie das Internet haben. Ein Monitoring des Remote-Zugangs zum OT-Netzwerk und einzelnen Komponenten muss gewährleistet sein. Es wird zudem geraten, Lösungen zur Analyse des Netzwerk-Traffics sowie des Monitorings einzusetzen, um Attacken vorzubeugen.

Dies gilt auch Schutzlösungen gegen Malware und Cyberangriffe, denn laut Kirill Kruglov, Sicherheitsforscher bei Kaspersky Lab ICS Cert, werden die meisten industriellen Computer nicht über einen zielgerichteten Angriff, sondern über weitverbreitete Malware infiziert, also über Schädlinge, die versehentlich über das Internet, USB-Sticks oder E-Mails in industrielle Systeme gelangen. »Ein Großteil dieser Angriffe kann aber durch Schulung und Sensibilisierung und der Belegschaft verhindert werden«, ergänzt Kruglov.

Das Netzwerk orchestrieren

Fast dramatisch spricht Belden von einer notwendigen Netzwerk-Orchestrierung in industriellen Netzwerken und fordert mehr Transparenz, sicherere Authentifizierung und eine punktgenaue Zugriffssteuerung. Die Bedrohungsszenarien für industrielle Netzwerke würden sich mit zunehmender Vernetzung und Komplexität ständig verändern, es gebe ständig neue Herausforderungen. Darum sei die Einführung neuer Verteidigungsstrategien dringend notwendig.

Ein Beispiel für eine am Markt verfügbare Umsetzung einer abgestimmten Netzwerk-Orchestrierung für Industrienetzwerke ist die Kooperation der Belden-Tochter Hirschmann und Forescout, bei der deren Plattform als übergreifende Engine dient und in Echtzeit eine Vielzahl von Gerätevariablen wie Geräteidentität, Benutzer, Integrität und Sicherheitsstatus bewertet. Entscheidungen über den Zugriff auf das Netzwerk werden in detaillierte Zugangs- und Autorisierungsregelwerke übersetzt, die die Hirschmann-Geräte im Produktionsbereich und an den Netzwerkeintrittspunkten durchsetzen. So lassen sich moderne Sicherheitskonzepte umsetzen, während bewährte industrielle Funktionen wie Zuverlässigkeit und Verfügbarkeit erhalten bleiben.

Die letzte sichere Linie

Hima plädiert für einen ganzheitlichen Ansatz für eine sichere letzte Verteidigungslinie und präsentiert als Kern der Lösung den selbst entwickelten »Secure Safety Core«. Dieser umfasst die gesamte Steuerung und zugehörige Feldanschlüsse. Die integrierten Komponenten umfassen Schutzmaßnahmen wie die Zwei-Faktor-Authentifizierung, die den unautorisierten Zugriff unterbindet, aber auch den Aufbau einer DMZ-Funktionalität, die den Schutz vor direktem Zugriff auf Remote-IO unterbindet, oder eine Portfilterung, die nur konfigurierte Kommunikation zulässt.

Die Kommunikation zwischen den CPUs und den Kommunikationsprozessoren (COM) wird über ein dediziertes Gateway geleitet, das vollständig von der CPU gesteuert wird. Um mit der Außenwelt zu kommunizieren, verfügen CPU und COM jeweils über einen Ethernet-Switch. Diese Switches sind vollständig unabhängig voneinander. Der Secure Safety Core ist vor den angeschlossenen Feldgeräten aufgebaut. Ein direkter Zugang zu den Feldgeräten bleibt externen Komponenten verwehrt. Mittels dieser Schutzmaßnahmen wird gewährleistet, dass Sicherheitsfunktionen auch bei Angriffen aufrechterhalten werden können.

Aus der Sicht des Anwenders ist es also sinnvoll, eine komplette und abgestimmte Sicherheitsumgebung aus einer Hand wie die von Hima zu nutzen, die sowohl die Anforderungen hinsichtlich der funktionalen Sicherheit als gleichermaßen auch der IT-Sicherheit berücksichtigt.

Was ist normal, was nicht?

Die Erkennung von Anomalien hat sich die Mdex GmbH auf die Fahnen geschrieben, denn Maschinen und Anlagen seien aktuell den gleichen Gefahren ausgesetzt wie alle anderen vernetzten IT-Systeme. Das Unternehmen wagt den »tiefen Blick« in die Datenkommunikation durch »Deep Packet Inspection«. Dies bringt der Industrie nicht nur einen erheblichen Sicherheitsvorteil, sondern erkennt Anomalien, also Vorgänge, die von der Norm abweichen, was die Produktivität deutlich erhöhen kann. Neue Kommunikationsteilnehmer und Protokolle sowie Messwerte, die sich außerhalb eines definierten Rahmens bewegen, werden in Echtzeit erkannt. So kann sehr schnell auf einen Angriff oder einen sich einschleichenden, noch unbekannten Fehler reagiert werden, bevor ein Schaden entsteht.

»Viele Angriffe können durch gute Schulung verhindert werden.«

— Kirill Kruglov, Sicherheitsforscher, Kaspersky Lab ICS Cert

Die Verinselung von Altgeräten im Netzwerk und damit deren gefahrlose Weiternutzung betreibt der Wuppertaler Netzwerkspezialist Wiesemann & Theis und hat dazu die industrietaugliche »Microwall« entwickelt. Sie wird zwischen den Geräten und bestimmten Segmenten, in die das Netz unterteilt ist, installiert und überwacht, steuert und protokolliert den dort anfallenden Datenverkehr anhand einer Positivliste erlaubter Kommunikationsfälle. Jeglicher anderer Datenverkehr wird strikt unterbunden.

Die Verinselung mit der Microwall eignet sich allgemein zum Schutz und zur Isolation von potenziell unsicheren oder nicht vertrauenswürdigen Systemen. Dazu gehören neben Altgeräten auch nicht sorgfältig entwickelte IoT-Devices und eingebettete Systeme sowie Rechner mit nicht vertrauenswürdiger Software.

Erschienen in Ausgabe: 05/2019
Seite: 4 bis 59