Security-Experten betonen immer wieder, dass Security kein einzelnes Feature ist, sondern ein ständiger Prozess. Für den einen mag dies als Binsenweisheit erscheinen, für den anderen ist dies eine relativ neue Erkenntnis. Es gilt beim Erstellen von Security-Konzepten zu berücksichtigen, dass keine einzelnen Sicherheitsmaßnahmen, -funktionen oder Geräte einen umfassenden Schutz bieten können, sondern in der Regel mehrere Komponenten zusammenwirken müssen. Zudem müssen diese durch organisatorische und auch physikalische Schutzmaßnahmen wie Zutrittskontrollen ergänzt und unterstützt werden.
Natürlich müssen sich diese einer veränderten Bedrohungslage anpassen. Dies gilt auch für die Netzwerksicherheit und dort prinzipiell für alle Netzwerke, unabhängig davon, ob es sich um Büro-, Automatisierungs- oder Infrastruktur-Netzwerke handelt. Da Bedrohungen und Risiken sich in den jeweiligen Anlagen und Netzwerken aufgrund unterschiedlicher Aufgaben, Auslegungen und Randbedingungen von Fall zu Fall unterscheiden, ergeben sich auch Unterschiede in der Art und Priorität der Schutzziele und demnach verschiedene Schutzmaßnahmen, die getroffen werden müssen.
Schutzziele ableiten
Um fundiert entscheiden zu können, welche Maßnahmen letztendlich getroffen werden müssen, ist zunächst zu analysieren, welche Risiken konkret bestehen. Daraus leiten sich dann Schutzziele ab, aus denen konkrete Maßnahmen abgeleitet werden können beziehungsweise sollten. Werden Risikoanalyse und Ermittlung der Schutzziele vernachlässigt oder gar nicht durchgeführt, ist die Gefahr groß, dass unpassende, zu teure oder wirkungslose Maßnahmen getroffen werden und Schwachstellen nicht erkannt und nicht behoben werden. Typische Inhalte einer Risiko-Analyse sind die Identifikation bedrohter Objekte, die Analyse von Wert und Schadenspotenzial sowie eine Analyse von Bedrohungs- und Schwachstellen, eine Identifikation bestehender Sicherheitsmaßnahmen und die Risikobewertung. Die identifizierten und nicht akzeptablen Risiken werden durch geeignete Maßnahmen ausgeschlossen oder reduziert.
Welche Rest-Risiken letztendlich akzeptabel sind, muss individuell festgelegt werden, denn absolute Sicherheit ohne Risiko ist nie zu erreichen. Das Ziel kann nur sein, in einem angemessenen und bezahlbaren Rahmen die Risiken in akzeptabler Weise zu verringern. Bei der Konzeption von Security-Maßnahmen müssen allerdings die speziellen Anforderungen der Automatisierungsanlagen berücksichtigt werden. Dabei lässt sich feststellen, dass Vorgaben, also die ‚Security Policies‘ aus dem kommerziellen IT-Umfeld, nicht ohne Weiteres im Automatisierungsumfeld umgesetzt werden können, da es signifikante Unterschiede zwischen der Büro- und Industriewelt gibt. Im Allgemeinen gilt im Automatisierungsumfeld als oberstes Security-Ziel die Verfügbarkeit. Die Vertraulichkeit wird dem in der Regel untergeordnet. Denn ein Anlagenstillstand kann weitaus schlimmere Folgen haben, als ein etwaiger Datenverlust. Aus dem gleichen Grund ist auch das zeitnahe sogenannte ‚Patchen‘ (Nachladen einer Korrekturauslieferung für erkannte Sofware-Fehler) von Automatisierungsrechnern ein Problem. Ein Patch muss auf Verträglichkeit getestet werden, das kostet Zeit und auch dann kann nicht zu jedem beliebigen Zeitpunkt oder im laufenden Betrieb der Patch eingespielt werden.
Als weiteres Beispiel für die Unterschiede sind die viel längeren Lebenszyklen von Produktionsanlagen gegenüber der klassischen IT. Diese sind mit 10, 15 oder gar 30 Jahren deutlich länger, was bedeutet, dass über einen nicht unwesentlichen Zeitraum Updates und Beseitigung von Sicherheitslücken oder die dazu notwendige Unterstützung der Hersteller für diese Geräte gar nicht mehr zur Verfügung stehen und somit auch keine Schwachstellen beseitigt werden können. Daraus folgt automatisch, dass andere, externe Schutzmaßnahmen in Produktionsanlagen etabliert werden müssen. Somit schränken die Anforderungen an Verfügbarkeit und Performance den Einsatz und die Übernahme von ‚Security Policies‘ aus den klassischen IT-Netzen ein und erfordern zum Teil neue oder zumindest angepasste Konzepte.
Industrielle Security-Konzepte
Für Automatisierungsnetzwerke gibt es eine Reihe von Bedrohungen: Viren, Würmer, Trojaner, also die sogenannte Schadsoftware, Zugriffsverletzungen auf Netzwerke und Geräte durch (interne wie externe) Unbefugte, Spionage und Manipulation von Daten während der Übertragung oder in Geräten. Jede dieser Bedrohungen erfordert spezifische Gegenmaßnahmen. Gegen Schadsoftware werden üblicherweise Virenscanner eingesetzt, allerdings können diese keinen vollständigen Schutz garantieren, da kein Virenscanner 100 % der Viren erkennt und bei neuen Viren speziell in Zusammenhang mit ‚Zero-Day-Exploits‘, also unter Ausnutzen bislang unbekannter Schwachstellen, es immer einige Zeit braucht, bis die entsprechenden Updates der Virenscanner zur Verfügung stehen. Hinzu kommt im Automatisierungsumfeld, dass dort Automatisierungsrechner nicht zu jedem beliebigen Zeitpunkt ein Update bekommen können und die Verträglichkeit mit den verwendeten Applikationen sichergestellt sein muss. Je nach Wartungszyklus kann es sogar Monate dauern, bis ein Update eingespielt werden kann. Aufgrund dieser Einschränkungen bieten sich als Alternative sogenannte Whitelisting-Systeme an. Whitelisting bedeutet, dass auf einem Rechner nur bestimmte, freigegebene Applikationen und Dienste laufen dürfen. Selbst wenn Viren unbemerkt auf einen Rechner gelangen, wird dadurch jede Aktion des Virus geblockt, da diese Aktionen nicht als erlaubt gelistet sind. So lassen sich selbst unbekannte Viren unschädlich machen. Im Automatisierungsumfeld werden Rechner zudem weniger häufig mit neuen Applikationen versehen, als im klassischen IT-Umfeld, sodass hier der Aufwand geringer ist, Whitelisting-Systeme zu aktualisieren.
Netzsegmentierung und Zellenschutz
Die wenigsten Automatisierungsgeräte verfügen über ausreichende Security-Funktionen – und das wird sich aufgrund der langen Lebenszyklen so schnell nicht ändern. Obwohl zunehmend mehr Geräte herstellerseitig damit ausgestattet werden, wird es immer Geräte geben, die aufgrund von Kostenoptimierung oder anderen Gründen nicht über Security-Funktionen verfügen. Dennoch müssen diese geschützt werden. Hinzukommt, dass in manchen Fällen Echtzeitanforderungen bestehen, die den Einsatz Performance-intensiver Security-Funktionen wie Verschlüsselung oder sichere Authentifizierung nicht erlauben. Auch hier muss ein Weg gefunden werden. Die PNO hat bereits 2005 in ihrer ‚Profinet Security Guideline‘ das sogenannte Zellenschutzkonzept empfohlen, um diese Anforderungen zu erfüllen. Die Idee ist einfach: man verwendet eine ‚Security Appliance‘, also eine speziell gehärtete Netzkomponente, die über Security-Funktionen wie Firewall und Virtual Private Network (VPN) verfügt. Diese Security Appliances, auch Security Modules genannt, übernehmen den Schutz der Automatisierungsgeräte, indem sie davor geschaltet werden und den einzigen Zugang zu den jeweils geschützten Geräten bilden. Der geschützte Bereich wird auch Zelle genannt und entspricht einem Netzsegment, meist ein eigenes Subnetz. Dadurch wird das Netzwerk sicherheitstechnisch segmentiert. Die Firewall kann nun den Zugriff auf die Zelle kontrollieren, wobei festgelegt werden kann, welche Netzteilnehmer miteinander und auch mit welchen Protokollen kommunizieren dürfen.
Die Security Modules können auch miteinander gesicherte VPN-Kanäle aufbauen, sodass die Kommunikation von und zu Zellen verschlüsselt und sicher authentifiziert werden kann. Damit ist die Datenübertragung gegen Manipulation und Spionage geschützt. Die Vorteile liegen auf der Hand: Ein Security Module kann mehrere andere Geräte schützen, man muss diese Funktionen also nicht in jedes Gerät einbauen und administrieren. Innerhalb der Zelle bleiben Echtzeitkommunikation, wie Profinet-I/O-Kommunikation, unbeeinflusst von Performance-intensiven Security-Funktionen und dennoch ist der Zugriff auf die Zelle geschützt. Die Größe einer Zelle richten sich nach dem jeweiligen Netzaufbau und der Topologie sowie den Risiken und Schutzzielen. Diese sollten mittels einer Risikoanalyse ermittelt werden. Zu berücksichtigen ist dabei, dass das Security Module den Datenverkehr innerhalb der Zelle nicht kontrollieren kann. Lokale Zugänge innerhalb der Zelle dürfen also entweder nicht vorhanden oder nur von autorisierten Personen genutzt werden können.
Netzwerkkontrolle ist ein Muss
Alle Zugänge zu einem Netzwerk müssen kontrolliert werden, wenn man verhindern will, dass Unbefugte sich Zugang verschaffen. Neben sicheren Fernwartungs-Zugängen und sicheren Verbindungen zu anderen Netzen, müssen hierbei auch die Ports von Switchen oder Routern berücksichtigt werden. Die Ports der Netzkomponenten müssen also zumindest entsprechende Zugriffslisten haben, die festlegen, welche Geräte beziehungsweise welche MAC- oder IP-Adressen sich an welchen Ports anschließen dürfen. Viele Switche unterstützen auch den Standard IEEE 802.1x, wobei die Authentifizierung von Teilnehmern, die sich an einem Port anschließen, von einem Authentifzierungsserver erfolgt, der vom Switch entsprechend abgefragt wird. Je nach Zugriffsrechten kann die Netzkomponente dann den authentifizierten Teilnehmer auch zu einem bestimmten Virtual-LAN-Zugang (VLAN) gewähren, sodass nicht alle Geräte des Netzwerkes für ihn zugänglich sind.
Nicht immer kann das Zellenschutz-Konzept eingesetzt werden. Sei es aufgrund der Netztopologie oder bei gezielt eingerichteten applikationspezifischen Zugriffsrechten. Manche Geräte müssen sich daher auch selbst schützen können. Hierbei haben sich Kommunikationsteilnehmer, die mit dem Gerät kommunizieren wollen, direkt am Gerät zu authentifizieren. Applikationsspezifische Zugriffsrechte lassen sich anhand von mehreren Schutzstufen realisieren, die zwischen lesenden und schreibenden Zugriffsrechten unterscheiden können, indem verschiedene Passwörter je Schutzstufe vergeben werden. Die oben beschriebenen Maßnahmen sind alle aktive Maßnahmen, das heißt sie entsprechen bestimmten Security-Funktionen. Zusätzliche Sicherheit kann damit erreicht werden, wenn möglichst nur ‚gehärtete‘ Produkte eingesetzt werden. Gehärtet bedeutet, dass die Produkte bereits herstellerseitig auf mögliche Schwachstellen noch während der Entwicklung hin untersucht wurden und die erkannten Schwachstellen beseitigt sind, sodass diese nicht von Hackern oder Schadsoftware genutzt werden können.
Durchdachte Maßnahmen und Konzepte
Um die Risiken weitgehend zu verringern, sind immer mehrere Security-Maßnahmen erforderlich. Einerseits, um sich zu ergänzen, da nicht jede Maßnahme gegen jede Bedrohung greift, und andererseits, um Angreifern mehrere Hindernisse in den Weg zu legen. Man spricht in diesem Fall auch von einer sogenannten tiefengestaffelten oder ‚Defense in Depth‘-Strategie. Jedoch bringen alle diese Maßnahmen wenig, wenn sie nicht auch von
entsprechenden organisatorischen Maßnahmen begleitet werden, die den physikalischen Zugangsschutz regeln oder das Verwenden von sicheren Passwörtern vorschreiben.
Franz Köbinger
(hw)
