Eine Firewall alleine macht noch kein Security-Konzept. Erst im Zusammenspiel mit anderen Maßnahmen von der Whitelist bis zur Demilitarisierten Zone entsteht ein möglichst sicheres System.

Eine Firewall alleine macht noch kein Security-Konzept. Erst im Zusammenspiel mit anderen Maßnahmen von der Whitelist bis zur Demilitarisierten Zone entsteht ein möglichst sicheres System.Phoenix Contact

Nach dem Bekanntwerden der Stuxnet-Angriffe auf Automatisierungsnetze entschloss sich das Chemieunternehmen auf Basis einer internen Risikoanalyse einen Security-Leitfaden zu erstellen. Damit schützt der Konzern das interne Know-how, erhöht die Anlagenverfügbarkeit, vermeidet Produktionsausfälle und setzt hohe Standards auch bei der funktionalen Sicherheit. Denn eine Vorgabe des entstandenen Leitfadens ist, dass Security-Probleme nicht zu Safety-Problemen mit Gefährdungen für Leib und Leben führen dürfen. Auch das Thema Remote-Zugriffe ist Teil des Konzepts. Technik zur Angriffserkennung wie Intrusion Detection und Intrusion Prevention wehren unerwünschte Eingriffe ab. Für den Fall, dass doch ein Angriff bis zur Anlage durchdringt, sorgen Backups und Desaster-Recovery-Maßnahmen für ein schnelles Wiederaufsetzen der Anlagen.

Netzwerke segmentieren

Auch bei dem Chemieunternehmen hat die IT in der Produktion grundlegend andere Anforderungen als die Office-IT. Die Produktionssysteme sind für den unterbrechungsfreien Dauerbetrieb ausgelegt, der oft über Jahre geht. Da sind regelmäßige Virenscans, zeitlich begrenzte Passwörter oder aktuelle Software Patches nicht praktikabel. Der Schwerpunkt liegt darauf, die Produktionsanlagen zu kapseln und gegen Cyber-Angriffe zu härten. Dazu gehören beispielsweise eine starke Netzwerksegmentierung, zentrale und dezentrale Firewalls, Quarantänerechner und Whitelist-Programme. Wichtige organisatorische Maßnahmen sind auch, dass die USB-Ports gesichert, offene Switch Ports verschlossen, Remote-Zugriffe nur selektiv zugeschaltet oder Safety-Systeme bei Remote-Zugriffen abgesichert und abgekoppelt werden.

Anforderungen an Industrie-Firewalls

Bei der Auswahl der Firewall für die Produktionsanlagen waren die Industrietauglichkeit und die Ausfallsicherheit die entscheidenden Kriterien. Es ging um Haltbarkeit und redundante 24-V-Stromversorgung. Office-Produkte kamen deshalb nicht infrage. Der Preisunterschied wird durch die Langlebigkeit und die Zuverlässigkeit ohnehin wieder ausgeglichen. Im Vergleich mit anderen Produkten konnte sich der mGuard von Innominate durchsetzen. Er unterstützt das Zentralmanagement. Außerdem lassen sich mit dem Router Firewalls mit einer einheitlichen Konfiguration einsetzen und auch zentral managen. Inzwischen sind 80 % der Prozessleit-, Steuerungs-, Scada-, Datenerfassungs- und MES-Systeme durch die Firewalls geschützt. Zusätzlich kommen die Firewalls auch für den Schutz von Altanlagen zum Einsatz, um beispielsweise Windows-Systeme ohne Security-Support weiter betreiben zu können.

Die Firewalls sind die Schnittstelle der Produktionssysteme zum Office-Netz.

Die Firewalls sind die Schnittstelle der Produktionssysteme zum Office-Netz.Innominate

Doppelter Schutz für Produktionsanlagen

Die Chemieanlagen sind zum einen durch technische und organisatorische Maßnahmen gegen Angriffe gehärtet. Zum anderen werden erforderliche Datenzugriffe aus der Office-Welt streng reglementiert und abgesichert. Die Firewalls sind die Schnittstelle der Produktionssysteme zum Office-Netz. In einer Demilitarisierten Zone (DMZ) sorgt ein gut abgesicherter Quarantänerechner für den sicheren Kontakt. Er ist die einzige Tür zu den Produktionsanlagen. Alle externen Daten für die Anlagen werden hier zunächst auf Malware überprüft und können dann zum Beispiel von einer Engineering-Station abgeholt werden. Auch der Abruf von Daten in das Office-Netz muss über diese Sicherheitsschleuse. Ein direkter Zugang, etwa per Notebook über einen Switch, ist nicht möglich. Auch Remote-Zugriffe müssen den Weg über die DMZ und die Firewall nehmen. Zum Schutz gegen unerkannte Malware werden hier außerdem nur Programme zugelassen, die auf der Whitelist stehen. So hat es bisher im Bereich Automation Security keine Sicherheitsvorfälle gegeben.