Bild 1: Ausschnitt aus der Security-Checkliste Analyse der Sicherheit eines Produktions-Netzwerks.

Bild 1: Ausschnitt aus der Security-Checkliste Analyse der Sicherheit eines Produktions-Netzwerks. Indu-Sol

Bis vor wenigen Jahren waren Produktionsnetzwerke als weitgehend isolierte Einheiten konzipiert. Heute bestehen nicht nur zahlreiche Verbindungen zwischen den Maschinen, sondern auch aus dem Maschinennetzwerk heraus. Ein Grund dafür ist der Vormarsch ethernet-basierter Protokolle bis in die unterste I/O-Ebene der Automatisierung. Typische Schnittstellen zur Leistungsabgrenzung oder auch Informationswandlung – beispielsweise Gateways, Proxys oder CPUs/Kommunikationsprozessoren, die unterschiedliche Protokolle sprechen – entfallen ersatzlos, weil die Büroebene (Informational Technology, IT) und die Produktionsebene (Operational Technology, OT) verwenden nun das gleiche Kommunikations-Protokoll. Der noch heute unter Maschinen- und Anlagenbetreibern weit verbreitete Leitsatz „Netzwerksicherheit ist Sache der IT-Abteilung“ gilt somit nicht mehr uneingeschränkt. Damit ergeben sich zusätzliche Anforderungen an die Instandhaltungsbereiche produzierender Unternehmen: die Absicherung des Produktionsnetzwerks gehört plötzlich dazu. Der Netzwerk- und Datenkommunikations-Spezialist Indu-Sol hat aus seinen Erfahrungen in Kundenprojekten eine Checkliste erarbeitet, welche Schritte zur Absicherung eines OT-Netzwerkes sinnvoll sind.

Das Wesentliche in 20 Sekunden

Die Öffnung und zunehmende Vernetzung der Produktions-Netzwerke erfordert eine weitergehende Absicherung dieser Netzwerke als bislang üblich.

Es ist sinnvoll, zunächst den Ist-Zustand des Produktionsnetzwerkes anhand einer Checkliste zu erfassen. Dabei werden Schwachstellen und Sicherheitslücken erkannt.

Der zweite Schritt der Checkliste besteht aus der technischen Überprüfung des Sicherheitszustandes (z.B. Netzwerk-Scan über den gesamten IP-Adressbereich) des Netzwerkes.

Sicherheitskonzepte aus der IT können nur teilweise in Produktionsnetzwerken angewendet werden.

Indu-Sol hat bisherige Monitoring-Lösungen für die Netzwerkverfügbarkeit mit Security-Funktionalitäten ausgestattet und so das Sicherheitsniveau erhöht.

Systematik und Dokumentation: die Security-Checkliste

Die Checkliste zur Absicherung eines OT-Netzwerks ist dabei keine Musterlösung, sondern dient als Hilfsmittel zur systematischen Analyse des Maschinen- und Anlagennetzwerks sowie des zugehörigen Umfeldes. Im Ergebnis entsteht eine Dokumentation des aktuellen Sicherheitsniveaus (Ist-Zustand). Dabei werden mögliche Schwachstellen und Sicherheitslücken sichtbar. So ergeben sich erste Maßnahmen auf dem Weg zu einem praxistauglichen Security-Konzept, die mitunter banal sein können. Der zweite Schritt der Checkliste besteht aus der technischen Überprüfung des Netzwerk-Sicherheitszustandes.

Ein wichtige Erkenntnis aus dem Prozess der Netzwerksicherung ist, dass die Kommunikationstechnik und das Personal gleichermaßen befähigt sein müssen, um die Sicherheit des Netzwerks (Bild 2) zu gewährleisten. Die intelligenteste Sicherheitstechnik hilft wenig, wenn klassische Fehler passieren wie Passwörter auf Zettel zu notieren und an die Geräte zu heften oder wenn es üblich ist, netzwerk-fremde Geräte mit USB-Anschlüssen (beispielsweise Datensticks oder Handys) an frei verfügbaren Ports an- und abzustecken. Nach den Erfahrungen von Indu-Sol ist die Qualifizierung des Bedien- und Service-Personals ein wesentliches Element eines Security-Konzeptes. Es gilt dabei vor allem, ein Bewusstsein für Gefahrenquellen und sicherheitsdienliches Handeln zu schaffen. Die Checkliste ist hierfür ein erster Ansatzpunkt. Entsprechende Schulungen bei dem Netzwerk-Spezialisten vertiefen diese Aspekte und zeigen praxisnahe Lösungen auf.

Bild 2: Der Profinet-Inspektor war ursprünglich konzipiert, um eine dauerhaft hohe Netzwerk-Verfügbarkeit zu gewährleisten. Jetzt ist er um Security-Funktionalitäten erweitert.

Bild 2: Der Profinet-Inspektor war ursprünglich konzipiert, um eine dauerhaft hohe Netzwerk-Verfügbarkeit zu gewährleisten. Jetzt ist er um Security-Funktionalitäten erweitert. Indu-Sol

IT als Vorbild für die Netzwerksicherheit?

Eine eigene Absicherung des OT-Netzwerks ist vor allem deshalb notwendig, weil sich Sicherheitsmaßnahmen aus IT-Netzwerken nicht einfach übernehmen lassen. Der Grund ist: Die Automatisierung verfolgt im Hinblick auf Security einen anderen Ansatz als die IT. Die IT trifft Maßnahmen zur Abschottung nach außen, beispielsweise durch Router und Firewalls; weiterhin gibt es Zugriffsbeschränkungen auf sensible Daten, beispielsweise durch Benutzerkonten und Passwort-Abfragen. Diese Maßnahmen sind für die Automatisierung aber nicht praktikabel.

In den Maschinen und Anlagen müssen Zugangspunkte zum OT-Netzwerk geschaffen und freigehalten werden. Diese Zugangspunkte sind für die Programmierung, Diagnose oder andere Servicedienstleistungen durch eigene Mitarbeiter oder externe Dienstleister unabdingbar. Das Abschließen von Schaltschränken, die gezielte Sperrung von Ports oder limitierte Zugriffsrechte behindern das Hauptziel von Betreibern und Instandhaltern industrieller Produktionsanlagen, nämlich die Verfügbarkeit des Netzwerks zu gewährleisten. Angriffe auf das OT-Netzwerk lassen sich also nicht verhindern – sie müssen aber zumindest detektiert werden, denn von außen sind sie oft kaum zu bemerken. Security in der Automatisierungstechnik beginnt demzufolge damit, jederzeit zu wissen, was im Netzwerk passiert (ist). Eventuell lassen sich also bereits bestehende Überwachungslösungen beziehungsweise ohnehin generierte Daten nutzen, um ein gewisses Maß an Sicherheit herzustellen.

Bild 3: Die millisekundengenaue Auflösung der Netzwerklast durch den Profinet-Inspektor NT erlaubt auch das Erkennen kurzzeitiger Lastspitzen. Solche aktuellen und historischen Daten sind für die Bewertung des Netzwerkzustands unverzichtbar.

Bild 3: Die millisekundengenaue Auflösung der Netzwerklast durch den Profinet-Inspektor NT erlaubt auch das Erkennen kurzzeitiger Lastspitzen. Solche aktuellen und historischen Daten sind für die Bewertung des Netzwerkzustands unverzichtbar. Indu-Sol

Netzwerk-Monitoring erhält Security-Upgrade

Deshalb verfolgt Indu-Sol den Ansatz, bereits vorhandene Monitoring-Lösungen mit Security-Funktionalitäten auszustatten. Bestimmte Funktionen dieser Monitoring-Systeme, die ursprünglich für den Erhalt der Netzwerkverfügbarkeit konzipiert wurden, lassen sich auch für die Netzwerksicherheit nutzen. So analysiert das passiv arbeitende Mess- und Diagnosetool ‚ Profinet-Inspektor NT‘ permanent den logischen Datenverkehr auf Qualitätsparameter der Kommunikation wie Telegramm-„Verspätungen“ (sogenannte Jitter), Fehlertelegramme und Discards. Die millisekundengenaue Auflösung der Netzwerk-Last macht selbst kleinste Lastspitzen erkennbar; diese dienen dann als Ansatzpunkt für die Analyse eines möglichen Angriffs, zum Beispiel den Ausfall von Teilnehmern infolge vermehrter Anfragen (Denial-of-Service-Attacke). Weiterhin erkennt das Mess- und Diagnosetool unbekannte Teilnehmer im Netzwerk und Programmierzugriffe auf den Controller. Diese Funktionen und die zugehörige Alarmierung zeigen dem Betreiber sowohl Gefährdungen der Netzwerkverfügbarkeit als auch Angriffe – beabsichtigte wie unbeabsichtigte – frühzeitig auf. Gleichzeitig stellen diese Informationen auch Ansatzpunkte für Gegenmaßnahmen bereit.

Die wichtigste Erkenntnis aller Bemühungen zur Absicherung von OT-Netzwerken lautet: „Security ist kein Produkt, das man kaufen kann, sondern ein Prozess.“ In der IT ist die kontinuierliche Anpassung von Sicherheitseinrichtungen an aktuelle Entwicklungen allgemein üblich. In der Automatisierungstechnik muss sich dieses Bewusstsein offensichtlich erst noch etablieren. Die Security-Checkliste stellt einen ersten Schritt dar, um die häufigsten und einfachsten Sicherheitslücken zu schließen.