Mehrstufiges Sicherheitskonzept

Um sich vor Angriffen und Netzwerkproblemen zu schützen, müssen Unternehmen Gefahren aufdecken, Anomalien visualisieren und das Netzwerk vor Angriffen sichern – und zwar so schnell, dass es innerhalb der Produktionsprozesse zu keinerlei Verzögerungen kommt. Dafür ist ein Sicherheitskonzept aus drei Komponenten notwendig:

– Netzwerk-Sensor

– Reporting-Tool

– Industrie-Firewall

Der Netzwerk-Sensor – auch als Probe bezeichnet – überwacht den Netzwerkverkehr, indem er per Hardware in das Netzwerk eingebunden wird. Dort schneidet er den Netzwerkverkehr mit und analysiert ihn. Dadurch erkennt er was in der Leitung passiert und kann so Angriffe finden. Kern dieser Netzwerkanalyse ist eine sogenannte Deep Packet Inspection (DPI)-Engine. Anstatt den Datenverkehr über den genutzten ‚Port‘ zu klassifizieren, dekodiert das DPI-Verfahren die Daten inhaltlich und ermöglicht so detaillierte Einblicke in den Datenverkehr. Auf diese Weise lassen sich versteckte Angriffe auch in erlaubten Protokollen finden.

Das Reporting-System trifft auf Basis dieser Daten Aussagen zum Zustand des Netzes, etwa die Kommunikationsbeziehungen zwischen Teilnehmern oder das Kommunikationsverhalten einzelner Maschinen. Anhand der gewonnenen Daten sichern Unternehmen ihren kontinuierlichen Betrieb und können ihre Netzwerkauslastung und -dimensionierung besser planen.

Außerdem visualisiert das Reporting-System Anomalien in dem Moment, in dem sie im Netzwerk auftreten. Ein solches Event-Monitoring informiert Administratoren und Betreiber industrieller Netze sofort über mögliche Gefahren im Netz. Probleme, die aus infizierten Maschinensteuerungen, Fehlkonfigurationen oder potenziellen Cyber-Angriffen resultieren können, lassen sich auf diese Weise schnell erkennen. So ist ein zeitnahes Troubleshooting möglich, noch bevor der Angriff die Produktion beeinflusst und hohe Kosten entstehen.

Cybersecurity: Die Firewall der Specialized Line von Rohde & Schwarz Cybersecurity verfügt über eine DPI-Engine und kann Angreifer proaktiv abwehren.

Die Firewall der Specialized Line von Rohde & Schwarz Cybersecurity verfügt über eine DPI-Engine und kann Angreifer proaktiv abwehren. Rohde & Schwarz Cybersecurity

Die Industrie-Firewall: Bislang wurden Prozess- und Steuerungsnetze hauptsächlich durch klassische Firewalls geschützt, die das Firmennetzwerk im Ganzen vor Angriffen von außen sichern (First Line of Defense). Solche Perimeter-Firewalls reichen als Schutzkonzept in komplexen Industrienetzwerken nicht mehr aus. Unternehmen benötigen stattdessen zusätzliche Sicherheitssysteme, die im Inneren des Netzes arbeiten und es in mehrere Zonen segmentieren. Diese ‚Brandabschnitte‘ sorgen dafür, dass im Falle eines Angriffs, der Schaden nicht auf das gesamte Netzwerk übertreten kann.

Um auch unbekannte Angreifer fernzuhalten, braucht die Industrie Firewalls mit einer integrierten DPI-Engine, die proaktiv mittels Whitelisting schützen. Das Konzept stellt sicher, dass nur autorisierte Personen mit definierten Befehlen Industrienetzwerke ansteuern können. So verhindert das Whitelisting auch ‚Zero-Day-Exploits‘, also Cyber-Angriffe, die unbekannte und daher nicht geschlossene Sicherheitslücken ausnutzen.

Latenzzeiten reduzieren

Cybersecurity: Für die Industrie erwachsen mit der Entwicklung des IoT neue Chancen.

Für die Industrie erwachsen mit der Entwicklung des IoT neue Chancen. Rohde & Schwarz Cybersecurity

Neben der Genauigkeit bei der Datenerkennung, spielt die Zuverlässigkeit der Performance in der Industrie eine entscheidende Rolle (Determinismus). Latenzzeiten gilt es zu reduzieren, denn Produktionsprozesse dulden keine Verzögerung und in einem Produktionsnetzwerk muss die Datenübertragung stets sofort erfolgen. Deshalb sollte eine Industrie-Firewall die sogenannte ‚Single-Pass-Technologie‘ verwenden, die den Netzverkehr parallel statt sequentiell bearbeitet, um die Performance zu steigern.

Und schließlich sollte eine Firewall für Industrienetzwerke auch Scada-Protokolle, Modbus TCP und DNP 3 unterstützen, damit sie diese auch erkennen und dekodieren kann. Die Hardware muss zudem so konzipiert sein, dass sie auch für anspruchsvolle Einsatzorte wie Produktionshallen, Windparks, Werkstätten oder für das Verkehrswesen (zum Beispiel Schifffahrtsindustrie) geeignet ist. Mit einer robusten Hardware schützt die Firewall das Netzwerk auch unter extremen Temperaturverhältnissen oder EMV-Einflüssen.

Seite 2 von 212