Sichere Kommunikation vom Feld in die Cloud per Daten-Diode

In der Diskussion um die Vernetzung industrieller oder gar kritischer Anlagen gilt in vielen Köpfen noch das Paradigma „Schotten dicht – nichts geht raus oder kommt rein!“ Dabei lassen sich sensible Anlagen inzwischen zuverlässig und sicher vernetzen.

Denn Digitalisierung und flexible Produktion bis hin zur Losgröße 1 sind keine Buzzwords mehr. Die hierfür notwendige Vernetzung stellt insbesondere Betreiber kritischer Infrastrukturen (Kritis) mit Blick auf die Anlagensicherheit vor risiko­­behaftete Entscheidungen.

Dass Vorsicht angebracht ist, beweist ein Blick in den Jahresbericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit in Deutschland 2020. Dort ist zu lesen: „Die Anzahl neuer Schadprogrammvarianten hat alleine im Zeitraum von Juni 2019 bis Mai 2020 um rund 117 Millionen zugenommen.“

Industrie und Kritis sitzen im selben Boot

Es gibt also hinreichend Gründe, warum Industrie und Kritis auf eine hohe Qualität von IT-Security Wert legen müssen. Grundsätzlich müssen eine hohe Verfügbarkeit, Auslastung sowie Produktionsgeschwindigkeit der Anlagen sichergestellt werden. Mit Blick auf die Vernetzung sind die Prämissen ebenfalls ähnlich, obgleich anders gewichtet. Wenn über die Schnittstellen der Netzwerksegmente kommuniziert werden soll, müssen diese erstklassig gesichert sein. Konkret: Der Sender der Daten muss vor möglichst jeder Rückwirkung geschützt sein, die über den Kommunikationskanal entstehen kann. Selbstredend ist, die hohe Verfügbarkeit der Anlage wie auch die Integrität der Daten zu erhalten. Datenintegrität bedeutet, dass die Daten bei der Über­tragung nicht manipulierbar sein dürfen. Ferner ist die Vertraulichkeit zu gewähr­leisten. Datenlecks sind auszuschließen und die sensiblen Anlagensegmente zu schützen. Sie dürfen nur soweit notwendig und für ausgewählte Personen zugänglich sein, um keinen Datenabfluss zu riskieren.

Das Problem ist: Security lässt sich nur schwer nachrüsten beziehungsweise on top gewährleisten. Daher sollte Security bereits beim Grundaufbau von Netzwerken berücksichtigt werden. Betreiber sind zudem häufig an existierende, proprietäre und oft kostspielige Lösungen gebunden. Diese hohe Abhängigkeit verringern die Flexi­bilität beim Ausbau ihrer Netzwerke und der Optimierung ihrer Kommunikation. Die Gretchenfrage lautet also: Ist es möglich, unabhängig vom Maschinenhersteller die Effizienz von Anlagen durch Vernetzung zu optimieren, ohne ihre Verfügbarkeit und Integrität zu gefährden?

Möglich ist dies durch den Einsatz der industriellen Cyber-Diode in Kombination mit OPC UA und IPSec VPN. Die Cyber-­Diode ist aktuell die weltweit einzige industrielle Software-Datendiode, die auf einem zugelassenen Produkt aus dem Geheimschutz basiert, der Genua vs-diode. Gemäß dem Ansatz ‚Security by Design‘ wurden bereits in der Konzeptionsphase essenzielle Security-­Aspekte berücksichtigt. Für den sicheren Datentransport im industriellen Umfeld unterstützt die Datendiode das OPC UA Protokoll für den Austausch von Maschinen­daten. Weitere unterstützte Protokolle umfassen aktuell FTP, SMTP, TCP, UDP sowie SysLog. Darüber hinaus ermöglicht die Diode einen verschlüsselten Versand der ausgeleiteten Daten an Client-Applikationen über IPSec-VPN-Verschlüsselung. So lassen sich Daten hochsicher an ein ­beliebiges Ziel in der Cloud oder einen anderen Standort übertragen.

Aufgeschraubt: ein Blick unter die Haube

Die Cyber-Diode ist in mehrere Compartments getrennt, den Versender (OPC UA Client), die One-Way-Task sowie das VPN-ready Compartment. Letzteres leitet den Datentransfer über ein Netzwerkinterface (NIC) nach außen, zum Beispiel um die Datenpakete via VPN gesichert an das Zielsystem zu senden. Durch eine neue Hardware-Generation hat Genua die Separierung der Software-Compartments noch sicherer gemacht. Zusätzlich gibt es ein Update-Compartment, über das direkt am Gerät neue Funktionalitäten oder System-Updates eingespielt werden können. Über das Netzwerk ist beides nicht möglich. Diese restriktive Update-Vorkehrungen sind eine gewollte Sicherheitsbarriere, um über Netzwerkeinstellungen keine Änderungen an der Grundkonfiguration vornehmen zu können.

Das Software-Herzstück der Cyber-Diode bilden ein minimalistischer, gehärteter Mikro­kernel sowie ein ebenfalls gehärtetes OpenBSD Betriebssystem. Beide sind nur wenige Codezeilen groß, was potenzielle Einfallstore und Angriffsvektoren minimiert. Eine solche Architektur ist extrem schwer anzugreifen. Selbst im Falle einer Schwachstelle im Betriebs­system hätte dies keinen Einfluss auf die One-Way-Funktion der Diode. Der Mikrokernel ist mittels Secure Boot zusätzlich vor Manipulation geschützt. Es lässt sich nur die von Genua vorgesehene Software auf der Datendiode starten.

Air Gaps, Firewalls und Glasfaserdioden im Vergleich

Die Cyber-Diode ist komfortabler als Air Gaps, sicherer als Firewalls und verlässlicher als Glasfaser-Dioden.

Ein Air Gap oder ‚Lufttrenner‘ schließt eine Datenverbindung per se zwar aus, scheint also absolut sicher. Aber auch bei solch strikten Trennungen zwischen IT/OT-Netzen muss irgendwann kommuniziert werden, will man als Unternehmen wettbewerbsfähig bleiben. Spätestens dann läuft der Mitarbeiter mit einem USB-Stick zur Maschine. Dieser Kommunikationsweg ist zum einen nicht sehr performant. Zum anderen ist das Sicherheits­risiko hoch, da USB-Sticks bekanntlich eine große Menge an Schadcode transportieren können.

Die Cyber-Diode erlaubt es, solche Air Gaps nachträglich zu vernetzen, also dort zu kommunizieren, wo bislang keine ­Kommunikation möglich war. Das Sicherheitsniveau ist dabei vergleichbar mit einer Glasfaser-Diode, da ein Datenfluss in die Gegenrichtung ausgeschlossen ist.

Eine Alternative sind Firewalls, die nur in eine Richtung konfiguriert werden können. Dazu muss lediglich ein Regelsatz aufgespielt werden, der ‚pass‘ in die eine Richtung erlaubt sowie ‚block‘ für die Gegenrichtung sichert. Grundsätzlich ist diese Lösung vorstellbar. Das Problem: Kaum eine Firewall besitzt nur einen Regelsatz. Die Erfahrung zeigt, dass aufgrund ihrer Komplexität die Regelsätze von Firewalls oft versehentlich geändert werden. Oder die Regelsätze sind mit den Anlagen ‚gewachsen‘ und ent­sprechend ‚undurchsichtig‘. Dann sicherheitskritische Netzwerksegmente neu ­anzuschließen, ist nicht empfehlenswert oder fordert zumindest ausgeprägten Sachverstand. Sonst kann es schnell passieren, dass die Einwegfunktion der Firewall aus Unwissenheit deaktiviert oder durch eine falsche Konfiguration geöffnet wird. Derlei Risiken sind bei der Cyber-Diode per Definition ausgeschlossen.

Um die Zuverlässigkeit des Datentransfers weiter zu erhöhen, liefert die Cyber-Diode nach vollständigem Empfang der Daten­pakete ein einzelnes Bestätigungsbit zurück. Somit entfällt ein paralleler Kanal für die Vollständigkeitsprüfung des Datentransfers. Glasfaser-Dioden können diese Funktion nicht nachbilden, da sie keinen Rückkanal bereitstellen können. Es muss parallel abgefragt werden, ob alle Datenpakete angekommen sind.

Ein typisches Szenario für die Cyber-­Diode ist die Übertragung von Maschinendaten über OPC UA: Die Maschinensteuerungen senden über OPC UA ihre Daten an die Datendiode. Dort werden diese per One-Way nach außen geleitet und, optional per IPSec VPN, an den empfangenden OPC UA Client übertragen. Dieser kann an vielerlei Orten stehen: als On-Premise-System im Gebäude, als Cloud-Infrastruktur oder als virtualisiertes System oder physikalische Hardware. In der Wahl der Ziel-Adresse ist der Anwender relativ frei.