Sicherheit in Industrienetzwerken lässt sich entweder durch Isolation oder durch Implementierung einer Firewall zwischen Unternehmens- und Industrienetzwerk erreichen. Maßnahmen zur Sicherung dieser Netzwerke in größerem Umfang erfordern normalerweise kostspielige Änderungen der Netzwerktopologie oder verursachen Netzwerkausfallzeiten, was sich negativ auf den Umsatz, die Produktivität und in manchen Fällen sogar auf die Funktionssicherheit auswirkt.
Eckdaten
Damit ausschließlich berechtigte Personen oder autorisierte Prozesse auf Schnittstellen, Systeme, Sensoren und Geräte zugreifen können, die an das industrielle IoT angebunden sind, sind umfassende Sicherheitsmaßnahmen und eine damit verbundene Security-Orchestrierung erforderlich.
Doch was wäre, wenn Administratoren von Industrienetzwerken bestehende Netzwerke schnell und problemlos um Security-Applikationen und Policies erweitern könnten? Was wäre, wenn es möglich wäre, dies mit minimaler Netzwerkausfallzeit und ohne die Netzwerkkomplexität zu erhöhen getan werden könnte? Dies verspricht ein Top-Down-Konzept für die Sicherheit von Industrienetzwerken – ein Konzept auf Basis zentraler Security-Orchestrierung mit programmierbaren und aufgeteilten Sicherheitszonen.
Falsches Gefühl von Sicherheit
Wie die jüngsten Cyber-Angriffe zeigen, kann man nicht davon ausgehen, Industrienetzwerke seien geschützt, nur weil sie vom Internet isoliert sind. Dies gilt zum Beispiel für den Computerwurm Stuxnet, der vor längerer Zeit im Iran ein Fünftel der Uran-Zentrifugen zerstört hat. Als Angriffsvektor diente ein USB-Stick. In einem klassischen Man-in-the-Middle-Angriff schleuste Stuxnet Schadsoftware in die SPS zur Steuerung der Zentrifugen sowie in die Software der SPS-Steuerung ein. Daraufhin schickte die Malware ungültige Befehle zur SPS, die die Zentrifugen zerstörten. Gleichzeitig veranlasste der Computervirus, dass die Software dem Bedienpersonal den Status normal anzeigte.
Ferner gibt es das Konzept, ein Industrienetzwerk vollständig vom Internet zu isolieren. Dies kann das Netzwerk jedoch unsicherer machen, weil es sich schwerer administrieren lässt. So lassen sich in diesem Fall Probleme schwer diagnostizieren, isolierte Netzwerke schwierig skalieren und rekonfigurieren oder erweitern, weil Unternehmen neue Technologien einsetzen, Lieferketten aktualisieren oder sich auf neue Wettbewerbschancen und Bedrohungen einstellen.
Ein konkretes Beispiel ist das industrielle Internet der Dinge, kurz IIoT (Bild 1). Da das IIoT immer breitere Anwendung findet, versuchen Industrieorganisationen zunehmend, mehr Daten an der Netzwerkperipherie zu erfassen. Gleichzeitig nutzen sie die Vorteile der Cloud und von Big-Data-Analysen, um die Datenverarbeitung zu skalieren und praktischen Nutzen aus den erfassten Daten zu ziehen.
Zentrale Security-Orchestrierung
Als Ergebnis benötigen die für die OT-Infrastruktur (Operational Technology) Verantwortlichen eine zentrale Security-Orchestrierung, die dem gleichwertig ist, was ihre Gegenspieler schon lange haben. Wenige IT-Manager würden erwägen, ihre internen Netzwerke der Sicherheit wegen permanent vom Internet zu trennen. Auch würden sie sich im Hinblick auf die Security nicht ausschließlich auf Firewalls verlassen und annehmen, dass Firewalls perfekte Malware-Filter sind oder dass Beschäftigte, Auftragnehmer oder Besucher keine Malware einschleusen, indem sie beispielsweise ein Notebook anschließen, einen USB-Stick an das System anstecken oder einen gefährlichen Link in einer E-Mail anklicken. IT-Manager müssen stets davon ausgehen, dass Malware in ihre internen Netzwerke gelangt und versuchen wird, Schaden anzurichten. Darum setzen die Zuständigen zentralisierte Security-Orchestrierung ein, um die folgenden Fähigkeiten dieses Konzepts zu nutzen:
- Bereitstellung netzwerkweiter situationsbedingter Visibilität. Dabei wird identifiziert, welche Knoten (Devices und Ports) miteinander sprechen, welche Protokolle in Gebrauch sind, welche Devices am Netzwerk vorhanden sind und wie groß das Datenaufkommen zwischen Knoten ist.
- Identifikation von Anomalien. Dies zeigt, wie die aktuelle Situation von historischen Normen oder von dem zu Erwartenden (beispielsweise Spitzen im Datenverkehr an einem Port während der Kommunikation mit dem Internet in arbeitsfreien Zeiten) abweicht.
- Management-by-Policy ermöglichen. Alarme setzen oder automatisch andere Aktionen einleiten, sobald definierte Anomalien auftreten.
- Zentrale programmatische Steuerung bereitstellen. Dies bedeutet, auf Alarme zu reagieren oder proaktive Maßnahmen wie beispielsweise die Isolation von Sub-Netzen vom Rest des Netzwerks (oder dem Internet) durchzuführen, ein Gerät vom Netz zu trennen oder, als letzte Möglichkeit, ein Sub-Netz abzuschalten.
- Bereitstellung einer einzigen Oberfläche. Dies erfolgt, damit Netzwerkbetreiber alle genannten Fähigkeiten nutzen können, ohne zwischen Schnittstellen umschalten, gerätespezifische Befehle lernen oder Handbücher der Gerätehersteller lesen zu müssen.
Diese Fähigkeiten untermauern ein wichtiges Grundprinzip für OT und IT: Netzwerk-Management und Netzwerk-Security sind untrennbar. Die Fähigkeit, beispielsweise ungewöhnlich hohes Datenaufkommen aufzuspüren oder die Sub-Netz-Partitionierung zu ändern, betrifft die operative Leistungsfähigkeit und die Security gleichermaßen. Daraus ergibt sich, dass es kein Netzwerk-Management ohne Security-Management gibt und umgekehrt.
Netzwerk-Herausforderungen der OT
Bei der zentralen Security-Orchestrierung im Industriebereich steht die Operational-Technology Herausforderungen gegenüber, die es in der Informationstechnologie normalerweise nicht gibt.
Zu diesen Herausforderungen zählen proprietäre Barrieren, die sich so veranschaulichen lassen. Industrielle Netzwerke enthalten zahlreiche Systeme, die über unterschiedliche Protokolle kommunizieren und Befehlen mit verschiedener Syntax gehorchen. Deshalb lassen sich Lösungen auf verschiedenen Ebenen der Steuerhierarchie nur schwer kombinieren und anpassen. Dies begründet, dass ein normalerweise einfaches Ausschalten einer SPS oft den Austausch vieler Einzelkomponenten erfordert, was Ausfallzeiten sowie Produktions- und Umsatzverluste verursacht. Zunehmend adressieren Gerätehersteller diese Problematik mit softwareprogrammierbaren White-Label-Devices. Dies sind spezielle Schalter, die einen Austausch von Komponenten im laufenden Betrieb sowie Topologie-Änderungen ermöglichen.
Eine weitere Herausforderung für die Operational-Technology sind begrenzte Security-Steuerungen. Gemeint ist eine Legacy-Umgebung, definiert durch proprietäre Inseln, der Netzwerkbetreiber wenige Möglichkeiten gaben, wenn es um die Implementierung von Security-Policies ging. Es gab keine zentralisierte Konfigurationsfähigkeit, wenige bis kein Auditing von Konfigurationen und begrenzte Security-Steuerungen auf dem Schalter selbst (hauptsächlich Access-Control-Listen und die Fähigkeit zum Freigeben und Sperren bestimmter Ports). Falls man Port-Einstellungen inspizieren oder ändern wollte, musste man sich physikalisch zu einem Schalter begeben. Dies führte häufig zu ineffizienter Leistungsfähigkeit oder zu falschen Netzwerkkonfigurationen. Auf Security-Basis bedeutete dies die Unfähigkeit, Aktivitätsmuster auf dem Netzwerk zu erkennen, die potenzielle Bedrohungen darstellen können. Hinzu kommt die Unfähigkeit, auf diese Bedrohungen zügig und mit minimaler Unterbrechung des Betriebs zu reagieren.
Diesen Herausforderungen gegenüber stehend, können OT-Netzwerk-Manager bei Bedrohungen auch nicht einfach einen Teil des Netzwerks abschalten. Somit muss Security-Orchestrierung noch besser auf die Anforderungen ausgerichtet sein als es in der IT zu finden ist.
Steuerungs- und Daten-Layer trennen
Die beste Möglichkeit, Security-Orchestrierung zu implementieren, besteht darin, den Steuerungs- vom Daten-Layer des Schalters zu trennen. Indem man Security-Bereiche, Ereignis-Ansprechschwellen und andere Steuerungsmerkmale in Software statt in Hardware definiert, kann OT das gleiche flexible, durch Policies getriebene verteilte Netzwerkmanagement wie IT erreichen, während es die mit OT verbundenen Security- und Management-Herausforderungen überwindet.
Die einzige weitere Anforderung ist, auch eine Security-Information- und Event-Management-Software (SIEM) zu implementieren, die das Potenzial der Hardware von Herstellern ausschöpfen kann, die sich bei diesem Typ der durchgängigen Umgebung engagieren.
Das Referenzdesign eines Industrial-Ethernet-Switch von Microsemi zeigt Bild 2. Managed-Industrial-Ethernet-Switches können lokale oder zentralisierte Managementkonfigurationen für optimale Security unterstützen.
Larry O’Connell
Roger Hill
(hb)