Wer ein sicheres Netzwerk will, muss von Anfang an auch an die Sicherheit denken und sie nicht nur als Add-on betrachten. Dafür braucht es auch entsprechende Firewalls

Wer ein sicheres Netzwerk will, muss von Anfang an auch an die Sicherheit denken und sie nicht nur als Add-on betrachten. Dafür braucht es auch entsprechende Firewalls MB Connect Line

In einem industriellen Netzwerk mit vielen unterschiedlichen Komponenten und Systeme ist jede vernetzte Einheit im Prinzip ein kleiner Computer mit Betriebssystem. Niemand kann umreißen, welche Risiken und daraus folgende Schäden aus solchen heterogenen Systemen entstehen können. Die Infizierung erfolgt meist während der Inbetriebnahme durch die Programmier-Computer auf die HMIs oder Industrie-PCs der Anlage. Es sind auch Fälle bekannt, in denen Maschinen und Anlagen – unwissentlich – sogar schon mit Viren und Schadsoftware auf den Steuerungssystemen ausgeliefert wurden. Das lässt vermuten, dass bei den Lieferanten teilweise keine Sicherheitsrichtlinien vorhanden sind oder diese nicht richtig beachtet werden.

Abschottung nicht praktikabel

Eine auf den ersten Blick leicht durchzuführende Sicherheitsmaßnahme scheint die komplette Abschottung des Systems vom Internet zu sein. Allerdings ist dies aus zwei Gründen nicht hilfreich: Zum einen kommen die Übeltäter manchmal aus dem eigenen Netz. So kann etwa die USB-Schnittstelle zum Einfallstor werden, wenn ein Mitarbeiter einen gefundenen USB-Stick aus Neugier in den Rechner steckt oder sein infiziertes Smartphone zum Laden des Akkus anschließt. Zum anderen ist eine Verbindung zum Internet heute wichtig, um Daten in die Cloud senden oder um Fernwartung durchführen zu können.

„Wer jetzt ein tolles Produkt erwartet oder eine einfache schnelle Hilfe, um dieses Problem zu lösen, muss leider enttäuscht werden“, dämpft Siegfried Müller, Inhaber und Geschäftsführer von MB connect line die Erwartungen und erläutert: „Nach dem Stand der Technik ist ein 100%iger Schutz nicht möglich.“ Zudem ist Industrial Security keine einmalige Angelegenheit, sondern ein kontinuierlicher Prozess, den Unternehmen entsprechend der ständig wechselnden Bedrohungslage fortlaufend weiterentwickeln müssen.

Safety als Vorbild

Definition des zulässigen Datenverkehrs auf Grundlage der Ursprungs-MAC/IP-Adressen und Ziel-MAC/IP-Adressen

Definition des zulässigen Datenverkehrs auf Grundlage der Ursprungs-MAC/IP-Adressen und Ziel-MAC/IP-Adressen MB Connect Line

Ein Vergleich mit Safety beziehungsweise der funktionalen Sicherheit zeigt, wie sich das Vorgehen in Sachen Industrial Security entwickeln wird: Heute ist Safety Standard und die Automatisierer können damit umgehen. Eine Maschine ohne Risikoanalyse der Sicherheitstechnik zu entwickeln ist heutzutage gar nicht mehr vorstellbar; oder dass die darin verbauten Sicherheitselemente keine entsprechende Zertifizierung haben. Vielmehr geben Standards und Normen vor, wie Sicherheitskomponenten zu entwickeln und anzuwenden sind.

Für die Informationstechnik gibt es diese Vorgaben zwar noch nicht, aber mit „Security by Design“ sind die Methoden bereits bekannt – sie müssen jedoch auch zum Einsatz kommen. Eines der Schlüsselelemente hierbei ist, bereits im Entwicklungsprozess und beim Design der Automatisierungsanlage mögliche Bedrohungen zu berücksichtigen. Dazu Siegfried Müller: „Bei Safety kommt ja auch niemand auf die Idee, zuerst eine Maschine zu bauen, um sie in einem zweiten Schritt sicher zu machen“.

Alles beginnt mit der Risikobetrachtung

Zu Beginn des Security by Design steht die Risikobetrachtung. Diese gibt es jedoch nur für eine konkrete Anwendung. Sie ist daher auch bei jeder Anlage von Neuem erforderlich. Dazu werden die verschiedenen möglichen Angriffsvektoren innerhalb der Anlage betrachtet. Im Wesentlichen sind das interne und externe Schnittstellen. Nach außen wäre das beispielsweise der Netzwerkanschluss. Das kann das Firmennetzwerk des Betreibers sein oder ein direkter Internetanschluss per LAN, WLAN oder Mobilfunk. Im Inneren wäre das unter anderem ein USB-Anschluss an einem HMI-Gerät oder einer SPS, ein Netzwerkanschluss innerhalb der Anlage oder eine andere mögliche steckbare Schnittstelle, zum Beispiel ein Profibusstecker. All diese Schnittstellen sind potenzielle Einfallstore für Schadsoftware oder Angriffe. Abgesehen von den physischen Schnittstellen geht es auch um die Benutzer-Schnittstellen, etwa ein Visualisierungssystem mit verschiedenen Zugangsebenen. Hier könnten mögliche Angreifer Schwachstellen bei der Benutzeranmeldung ausnutzen. „Das Risiko ist nicht nur der böse Hacker von außen. Auch eigene Mitarbeiter können aus Spieltrieb oder absichtlich dem Unternehmen schaden“, berichtet Siegfried Müller aus seiner langjährigen Erfahrung.

Nachdem alle Schnittstellen identifiziert sind, geht es darum, mögliche Schäden zu definieren. Das kann zum einen der Schaden bei Fehlfunktionen sein, beispielsweise werden falsche Rezepturen für Lebensmittel gemixt oder ein Ausfall und Stillstand der Anlage. Jegliche Schnittstellen und Risiken sollten die Verantwortlichen entsprechend auflisten und jeweils mit einer Maßnahme versehen.

Tagung zur Industrial Security in der Automatisierung

Maschinenbau und Produktionsunternehmen hatten das Thema Industrial Security lange nicht auf dem Radar. Aktuell zeichnet sich jedoch eine Trendwende ab – Industrial Security kommt zunehmend ins Bewusstsein der Beteiligten.

Die Tagungsveranstaltung „Industrial Security in der Automatisierungspraxis“ des Cluster Mechatronik & Automation am 4. Oktober 2018 beleuchtet die verschiedenen Facetten von IT-Sicherheit und Industrial Security. Die Vorträge umfassen Grundlagen und konkrete Lösungsmöglichkeiten, wie die IT-Sicherheit in die elektrische Automatisierung integriert werden kann.

Der Anmeldeschluss ist der 27.9.2018. Weitere Informationen und Anmeldung unter https://bit.ly/2Mj6lDS

über seine Erfahrungen zum Thema „Sicherheit aus der Perspektive des Automatisierers

Siegfried Müller referiert auf der Tagung über seine Erfahrungen zum Thema „Sicherheit aus der Perspektive des Automatisierers“. MB Connect Line

 

Sicherheit auf mehreren Ebenen

Eingangs wurde erwähnt, dass sich umfassende Netzwerke nur schwer beherrschen lassen. Die Lösung dazu ist die Segmentierung der Netzwerke und die Bildung sicherer Zonen. Dafür wird der Datenaustausch zwischen den Netzwerksegmenten streng reglementiert. „Damit wird wirksam verhindert, dass sich eine Fehlfunktion oder eine Schadsoftware über das gesamte Netzwerk ausbreitet“, erläutert Siegried Müller. Die Kommunikationszonen umfassen üblicherweise Systeme oder Anlagenteile, die kontinuierlich miteinander Daten austauschen müssen.

Kommunikationspartner, die nur selten oder wenig Datenkommunikation zueinander haben, trennen Firewalls voneinander ab. Solche Firewalls lassen nur die erforderlichen Protokolle und Kommunikationspartner zu. Eine richtige und lückenlose Konfiguration einer IT-Firewall ist natürlich erforderlich und setzt IT-Erfahrung und Netzwerkkenntnisse beim Automatisierer voraus. Konfigurationsfehler führen hier häufig zu Sicherheitslücken.

Security by Default

MB Connect Line hat seine Firewall mbNetfix genau nach dem Aspekt Security by Default entwickelt. Sie vereint die Funktionen der IT-Sicherheit mit den Anforderungen der Automatisierungstechnik. Wird die Firewall erstmalig installiert, so sind grundsätzlich erst mal alle Kommunikationskanäle gesperrt. Der Anwender kann zuerst mittels einer Bedienersoftware sein Projekt offline konfigurieren und dann – wie er es von der SPS-Programmierung gewohnt ist – sein Projekt direkt in die Firewall übertragen und online beobachten. Beim ersten Verbindungsaufbau der Software zur Firewall ist dann ein einmaliges Passwort notwendig und ab da kommunizieren das Projekt und die Firewall nur noch über sichere RSA-Schlüssel. Dabei ist das Projekt weiterhin mit einem Passwort gegen Fremdeingriff geschützt.

Die Industrie-Firewall ermöglicht die direkte Kopplung von verschiedenen Netzwerken mit identischen IP-Adressen.

Die Industrie-Firewall ermöglicht die direkte Kopplung von verschiedenen Netzwerken mit identischen IP-Adressen. MB Connect Line

Will ein User das System direkt ohne Offline-Konfiguration in Betrieb nehmen, so nutzt er den Online-Modus der Software. Die Firewall hat im unkonfigurierten Zustand die Netzwerkteilnehmer gelernt und gibt die Kommunikationsbeziehungen dem Anwender als grafische Darstellung als Vorschlag. Hier muss dann nur noch mit einem Mausklick die Kommunikationsfreigabe erteilt werden und die Firewall ist fertig eingerichtet. Zusätzlich zu dieser einfachen Inbetriebnahme kann der Experte auch Paketfilter für IP-/Port und MAC-Adressen selbst definieren. Funktionen wie NAT und SimpleNAT, Forwarding und Routing sind implementiert und mit Beispielapplikationen in der Konfigurationssoftware beschrieben.

Security by Design

Seite 1 von 212