Bildergalerie
Ein unbefugter Eingriff auf eine Pumpstation könnte die Trink- und Abwasserversorgung in Gefahr bringen.
Traditionelles Netzwerk einer Pumpstation: Ohne Sicherheitsmaßnehmen sind die lokalen Steuereinheiten anfällig für kriminelle Zugriffe.
Netzwerk einer Wasserpumpstation, mit Sicherheitskomponenten in Grün markiert

Der ursprüngliche Einsatz von Ethernet-Netzwerken für Pumpstationen vernachlässigte die Sicherheitsmaßnahmen, da die Stationen meist nicht über externe Netzwerk-Zugriffsmöglichkeiten, zum Beispiel eine Verbindung zum öffentlichen Internet verfügten. Dennoch ist diese Form von Sicherheit illusorisch. Studien zeigen, dass 83 % aller Angriffe aus einem Intranet kommen, nicht über externe Internetverbindungen. Darüber hinaus sind SPSen und Bedienterminals nicht darauf ausgelegt, herkömmliche Schutzmechanismen wie Firewalls und Anti-Virus-Schutzsoftware zu unterstützen, die in IT-Netzwerken zum Einsatz kommen.

Wird zum Beispiel ein Firmen-Laptop außerhalb des Arbeitsplatzes benutzt, kann er sich schnell mit Würmern oder Viren infizieren. Sobald der Laptop wieder an Firmennetzwerk angeschlossen wird, breiten sich diese aus. Ähnliche Attacken können von USB-Sticks, heimtückischen E-Mails oder anderen Geräten wie Smartphones oder Tablet-PCs ausgehen, die an das LAN angeschlossen werden. So hat nicht zuletzt Stuxnet gezeigt, dass wegen solcher Angriffe Sicherheitssysteme in der Industrieautomatisierung notwendig sind.

Sicherheitsherausforderungen in automatisierten Pumpstationen

Der Fernzugriff auf Pumpstationen muss sowohl sicher, als auch wirtschaftlich realisierbar sein. Beim Einsatz von Ethernet, insbesondere bei bestehenden Intranet/Internet-Netzwerken, ist es daher wichtig, dass die Datenübertragung verschlüsselt erfolgt, um kriminelle Angreifer davon abzuhalten, Datenpakete abzufangen. Hacker können solche Pakete dazu nutzen, die Netzwerktopologie und Befehlsstruktur zu interpretieren, um das Netzwerk dann nach ihren Wünschen zu steuern.

Technik im Detail

Netzwerk einer Pumpstation

Weltweit gibt es unzählige Pumpstationen, die Wasserbewegungen steuern, in der Regel von einem Hochwasserbecken zum nächsten. Pumpstationen schließen Brunnen ein, die Trinkwasservorräte aus Bodenquellen befördern, Abwasserhebebecken, die die Abwässer zu Aufbereitungsanlagen befördern sowie Landentwässerungsanlagen, die rückgewonnenen Boden, der sich unter dem Meeresniveau befindet, bewahren.

Üblicherweise sind solche Pumpstationen eine komplexe Ansammlung von Geräten, einschließlich Sterilisierungsausrüstung, Bodenspeichertanks sowie Brunnen- und Drucksteigerungspumpen. Die meisten dieser Systeme spielen eine große Rolle für Siedlungen und Gemeinden, daher müssen die Systeme für die Datenerfassung und -steuerung besonders vor kriminellen Zugriffen geschützt werden.

Traditionelle Pumpstationen setzten früher meist verschiedene Scada-Steuerungsprotokolle ein, die für den privaten Netzwerkgebrauch ausgelegt waren. Der Einsatz von Ethernet-Netzwerken macht diese Scada-Protokolle nicht weniger anfällig für kriminelle Zugriffe, da in privaten Scada-Netzwerken keinerlei Authentifizierungs- und Verschlüsselungsmöglichkeit besteht.

Um einen ungewünschten Zugriff zu verhindern, können bidirektionale VPNs zwischen den Feldstationen und der Leitstelle eingerichtet werden.  Diese müssen Verschlüsselungsstandards unterstützen, die nur sehr schwer gehackt werden können, zum Beispiel DES (Data Encryption Standard) und AES (Advanced Encryption Standard) mit extremen Schlüsselgrößen. Es gibt zwar auch Möglichkeiten diese zu attackieren, jedoch erfordert das viel Aufwand.

Industrielle Automatisierungsnetzwerke, die Ethernet nutzen, sind typischerweise störungsempfindlich für Verzögerungen. Jedoch können die Sicherheitsmaßnahmen, die im Netzwerk eingesetzt werden, nicht ganz ohne Verzögerungen auskommen. Funktionen wie VPN- oder Firewall-Dienste rufen eine geringe Übergangsverzögerung hervor, während sie Pakete überprüfen oder verschlüsseln und sie für die VPN-Übertragung einkapseln. Deshalb muss das gewählte System ausreichend Leistung erbringen, um die Sicherheitsfunktionen ohne merklichen Verlust von Netzwerkleistung ausführen zu können.

Eine weitere Maßnahme zum Schutz der Pumpstationen ist die Videoüberwachung. Auch sie erfordert ein absolutes Minimum an Netzwerkverzögerung. Videodatenpakete werden üblicherweise über UDP (User Datagram Protocol) übertragen, sodass die Lieferung von Sicherheitsmaßnahmen und der dabei auftretenden Paketverarbeitung unberührt erfolgen muss. Da die Videodaten sicher übertragen werden sollen, müssen VPNs eingesetzt werden. Ein System mit Softwareverschlüsselung kann die Verschlüsselungsanforderungen von Video-Streams mit großer Bandbreite nicht erfüllen. Deswegen ist es erforderlich Hardware-Verschlüsselung einzusetzen, um sicherzustellen, dass die verzögerungssensible Videodaten-Übertragung an zentral installierte CCTV-Aufnahmegeräte reibungslos über sichere VPN-Tunnel abläuft.

Kritische Betriebsmittel wie Pumpstationen, die ferngesteuert werden, benötigen hochzuverlässige Verbindung. Eine Lösung ohne Backup-Möglichkeit oder redundante Netzwerkverbindung für das WAN (Wide Area Network) einzusetzen, wäre riskant. Um diese Form von Redundanz zu unterstützen, muss jedes Gerät, das als Steuer- und Überwachungs-Schnittstelle zu den Pumpstationen fungiert, duale Konnektivität unterstützen. Zwei WAN-Verbindungen verringern die Wahrscheinlichkeit eines Verbindungsverlusts zwischen dem LAN in der Leitstelle und den LANs der Pumpenstationen.

Wenn aus der Leitstelle über das öffentliche Internet auf ein System zugegriffen wird, muss das Gateway, das als Firewall und Authentifizierer des Netzwerks fungiert, VPNs oder VPN-Tunnels unterstützen, die als virtuelle verschlüsselte Kanäle agieren um IP-Pakete sicher zwischen der Pumpstation und der Leitstelle hin und her befördern. IPsec ist dazu das vorherrschende VPN-Protokoll. Im Wesentlichen erstellt IPsec einen sicheren Kanal über zahlreiche Netzwerke, die sowohl privat, öffentlich als auch eine Kombination aus beiden sein kann. Es bietet Authentifizierung mit Vertraulichkeit für denjenigen, der den VPN-Tunnel anfordert, und Integrität im Pakettransfer.

Den direkten Zugriff verhindern

Die erste Verteidigungslinie für jedes Netzwerk oder intelligentes Gerät ist es, den unerlaubten Zugriff auf das System zu vermeiden. Aufgrund der Entfernungen sind Pumpstationen von Natur aus empfänglich für den Zugriff nicht autorisierter Personen. Protokolle wir Radius und Tacacs+ bieten Authentifizierungsmechanismen, die den direkten Netzwerk- oder Gerätezugriff über das Internet erschweren. Mit Radius wird die Übertragung des Benutzerkennworts verschlüsselt, Tacacs+ verschlüsselt alle wichtigen Authentifizierungsparameter.

Für eine unbemannte Station ist es unerlässlich, sich auch gegen das physische Eindringen von kriminellen Angreifern zu schützen. Insofern sollten die installierten Geräte auch über eine Authentifizierung für das Anbinden von Geräten wie Laptops an offene Ethernet-Schnittstellen verfügen. 802.1x nutz die schnittstellengebundene Authentifizierung für Geräte, die sich ins Netzwerk einloggen wollen. Diese Geräte müssen einen Benutzernamen und ein Passwort oder ein Sicherheitszertifikat angeben, um durch Weiterleitung dieser Daten über 802.1x an einen Radius-Server eine Validierung des Zugriffs zu erlangen. Ist der Zugang nicht erfolgreich, wird die Schnittstelle für den Daten Ein- und Ausgang gesperrt.

Firewall zwischen SPS und externem Verkehr

Die SPSen und Bedienterminals in Pumpenstationen unterstützen weder Firewalls noch Anti-Virus-Software, da ihre Zuverlässigkeit durch komplexe Software beeinträchtigt werden könnte. Allerdings macht dies den Zugriff und die Einflussnahme auf den  Betrieb der Station relativ einfach. Ein Netzwerkplaner muss deshalb eine Stateful-Inspection-Firewall zwischen den Netzwerk-Steuergeräten und der externen Anbindung einsetzen. Eine solche Firewall belauscht alle ein- und ausgehenden Datenpakete und lässt sie passieren oder wirft sie raus. Die Firewall muss ferner in der Lage sein, bösartige Attacken abzuwehren ohne die Netzwerkleistung zu mindern. Um dieses Leistungsniveau zu erreichen, muss der Netzwerkplaner Geräte für den Netzwerkzugriff einsetzen, die am Netzwerkrand sitzen und über eine Hardware-/Softwarekombination verfügen, die ausreichend Schnittstellenleistung bietet, um das Netzwerk bei geringer Latenz zu schützen. Da Automationsnetzwerke üblicherweise verschiedene Feldbusprotokolle einsetzen, muss die eingesetzte Firewall in der Lage sein, die Kommunikation mit den Netzwerken jeweils auf die betreffende Schnittstelle zu beschränken. Eine Firewall mit Feldbus-Einstellungen macht dies einfach möglich.

Server in verschiedenen Netzwerken verteilen

DMZ (Demilitarized Zone) wird oft in IT-Lösungen eingesetzt, lässt sich aber auch in Automatisierungsnetzwerken als Maßnahme gegen Zugriffe von außen nutzen. Für die Wartung oder den Fernzugriff müssen Anwender oft über öffentliche Netzwerke oder das Internet auf Datenserver oder http-Server zugreifen. Um dabei die Sicherheit zu wahren, sollten diese gemeinsam genutzten Server und die Steuerungs- oder Scada-Server in verschiedene Netzwerke aufgeteilt werden. So können allgemeine Anwender nicht aufs Steuerungsnetzwerk zugreifen.