775iee0417_B1a_Indu-Sol_Checkliste_Netzwerk-Security

Ausschnitt aus der Security-Checkliste zur Analyse der Sicherheit eines Produktions-Netzwerks. (Bild: Indu-Sol)

| von Christian Wiesel

Auf die Schnelle

Das Wesentliche in 20 Sec.

  • Die Öffnung und zunehmende Vernetzung der Produktions-Netzwerke erfordert eine weitergehende Absicherung dieser Netzwerke als bislang üblich.
  • Es ist sinnvoll, zunächst den Ist-Zustand des Produktionsnetzwerkes anhand einer Checkliste zu erfassen. Dabei werden Schwachstellen und Sicherheitslücken erkannt.
  • Der zweite Schritt der Checkliste besteht aus der technischen Überprüfung des Sicherheitszustandes (z.B. Netzwerk-Scan über den gesamten IP-Adressbereich) des Netzwerks.
  • Sicherheitskonzepte aus der IT können nur teilweise in Produktions-Netzwerken angewendet werden.
  • Indu-Sol hat bisherige Monitoring-Lösungen für die Netzwerk-Verfügbarkeit mit Security-Funktionalitäten ausgestattet und so das Sicherheitsniveau erhöht.
775iee0417_B2_Indu-Sol_Profinet-Inspektor

Die millisekundengenaue Auflösung der Netzwerklast durch den Profinet-Inspektor NT erlaubt auch das Erkennen kurzzeitiger Lastspitzen. Solche aktuellen und historischen Daten sind für die Bewertung des Netzwerk­zustands unverzichtbar. Indu-Sol

Bis vor wenigen Jahren waren Produktions-Netzwerke als weitgehend isolierte Einheiten konzipiert. Heute bestehen nicht nur zahlreiche Verbindungen zwischen den Maschinen, sondern auch aus dem Maschinennetzwerk heraus. Ein Grund dafür ist der Vormarsch ethernet-basierter Protokolle bis in die unterste I/O-Ebene der Automatisierung. Typische Schnittstellen zur Leistungsabgrenzung oder auch Informationswandlung – beispielsweise Gateways, Proxys oder CPUs/Kommunikationsprozessoren, die unterschiedliche Protokolle sprechen – entfallen ersatz-los, weil die Büroebene (Informational Technology, IT) und die Produktionsebene (Operational Technology, OT) nun das gleiche Kommunikations-Protokoll verwenden. Der noch heute unter Maschinen- und Anlagenbetreibern weit verbreitete Leitsatz „Netzwerksicherheit ist Sache der IT-Abteilung“ gilt somit nicht mehr uneingeschränkt. Dadurch ergeben sich zusätzliche Aufgaben für die Netzwerk-Instandhaltung dieser Unternehmen: die Absicherung des Produktions-Netzwerks gehört plötzlich dazu. Der Netzwerk- und Datenkommunikations-Spezialist Indu-Sol hat aus seinen Erfahrungen in Kundenprojekten eine Checkliste erarbeitet, welche Schritte zur Absicherung eines OT-Netzwerkes sinnvoll sind.

Systematik und Dokumentation: die Security-Checkliste

Die Checkliste zur Absicherung eines OT-Netzwerks ist dabei keine Musterlösung, sondern dient als Hilfsmittel zur systematischen Analyse des Maschinen- und Anlagennetzwerks sowie des zugehörigen Umfeldes. Im Ergebnis entsteht eine Dokumentation des aktuellen Sicherheitsniveaus (Ist-Zustand). Dabei werden mögliche Schwachstellen und Sicherheitslücken sichtbar. So ergeben sich erste Maßnahmen auf dem Weg zu einem praxistauglichen Security-Konzept, die mitunter banal sein können. Der zweite Schritt der Checkliste besteht aus der technischen Überprüfung des Netzwerk-Sicherheitszustandes.

Eine wichtige Erkenntnis aus dem Prozess der Netzwerksicherung ist, dass die Kommunikationstechnik und das Personal gleichermaßen befähigt sein müssen, um die Sicherheit des Netzwerks zu gewährleisten. Die intelligenteste Sicherheitstechnik hilft wenig, wenn klassische Fehler passieren wie Passwörter auf Zettel zu notieren und an die Geräte zu heften oder wenn es üblich ist, netzwerk-fremde Geräte mit USB-Anschlüssen (beispielsweise Datensticks oder Handys) an frei verfügbaren Ports an- und abzustecken. Nach den Erfahrungen von Indu-Sol ist die Qualifizierung des Bedien- und Service-Personals ein wesentliches Element eines Security-Konzeptes. Es gilt dabei vor allem, ein Bewusstsein für Gefahrenquellen und sicherheitsdienliches Handeln zu schaffen. Die Checkliste ist hierfür ein erster Ansatzpunkt. Entsprechende Schulungen bei dem Netzwerk-Spezialisten vertiefen diese Aspekte und zeigen praxisnahe Lösungen auf.

IT als Vorbild für Sicherheitsmaßnahmen?

Eine eigene Absicherung des OT-Netzwerks ist vor allem deshalb notwendig, weil sich Sicherheitsmaßnahmen aus IT-Netzwerken nicht einfach übernehmen lassen. Der Grund ist: Die Automatisierung verfolgt im Hinblick auf Security einen anderen Ansatz als die IT. Die IT trifft Maßnahmen zur Abschottung nach außen, beispielsweise durch Router und Firewalls; weiterhin gibt es Zugriffsbeschränkungen auf sensible Daten, beispielsweise durch Benutzerkonten und Passwort-Abfragen. Diese Maßnahmen sind für die Automatisierung aber nicht praktikabel.

In den Maschinen und Anlagen müssen Zugangspunkte zum OT-Netzwerk geschaffen und freigehalten werden. Diese Zugangspunkte sind für die Programmierung, Diagnose oder andere Servicedienstleistungen durch eigene Mitarbeiter oder externe Dienstleister unabdingbar. Das Abschließen von Schaltschränken, die gezielte Sperrung von Ports oder limitierte Zugriffsrechte behindern das Hauptziel von Betreibern und Instandhaltern industrieller Produktionsanlagen, nämlich die Verfügbarkeit des Netzwerks zu gewährleisten. Angriffe auf das OT-Netzwerk lassen sich also nicht verhindern – sie müssen aber zumindest detektiert werden, denn von außen sind sie oft kaum zu bemerken. Security in der Automatisierungstechnik beginnt demzufolge damit, jederzeit zu wissen, was im Netzwerk passiert (ist). Eventuell lassen sich also bereits bestehende Überwachungslösungen beziehungsweise ohnehin generierte Daten nutzen, um ein gewisses Maß an Sicherheit herzustellen.

Netzwerk-Monitoring erhält Security-Upgrade

Deshalb verfolgt Indu-Sol den Ansatz, bereits vorhandene Monitoring-Lösungen mit Security-Funktionalitäten auszustatten. Bestimmte Funktionen dieser Monitoring-Systeme, die ursprünglich für den Erhalt der Netzwerkverfügbarkeit konzipiert wurden, lassen sich auch für die Netzwerk-Sicherheit nutzen. So analysiert das passiv arbeitende Mess- und Diagnosetool ‚ Profinet-Inspektor NT‘ permanent den logischen Datenverkehr auf Qualitätsparameter der Kommunikation wie Telegramm-“Verspätungen“ (sogenannte Jitter), Fehlertelegramme und Discards. Die millisekundengenaue Auflösung der Netzwerk-Last macht selbst kleinste Lastspitzen erkennbar; diese dienen dann als Ansatzpunkt für die Analyse eines möglichen Angriffs, zum Beispiel den Ausfall von Teilnehmern infolge vermehrter Anfragen (Denial-of-Service-Attacke). Weiterhin erkennt das Mess- und Diagnosetool unbekannte Teilnehmer im Netzwerk und Programmierzugriffe auf den Controller. Diese Funktionen und die zugehörige Alarmierung zeigen dem Betreiber sowohl Gefährdungen der Netzwerkverfügbarkeit als auch Angriffe – beabsichtigte wie unbeabsichtigte – frühzeitig auf. Gleichzeitig stellen diese Informationen auch Ansatzpunkte für Gegenmaßnahmen bereit.

Die wichtigste Erkenntnis aller Bemühungen zur Absicherung von OT-Netzwerken lautet: „Security ist kein Produkt, das man kaufen kann, sondern ein Prozess.“ In der IT ist die kontinuierliche Anpassung von Sicherheitseinrichtungen an aktuelle Entwicklungen allgemein üblich. In der Automatisierungstechnik muss sich dieses Bewusstsein offensichtlich erst noch etablieren. Die Security-Checkliste stellt einen ersten Schritt dar, um die häufigsten und einfachsten Sicherheitslücken zu schließen.

Christian Wiesel

arbeitet in der Marketing-Abteilung bei Indu-Sol in Schmölln.

(sk)

Kostenlose Registrierung

*) Pflichtfeld

Sie sind bereits registriert?