mbNETFIX_Aufmacher1

Wer ein sicheres Netzwerk will, muss von Anfang an auch an die Sicherheit denken und sie nicht nur als Add-on betrachten. Dafür braucht es auch entsprechende Firewalls (Bild: MB Connect Line)

In einem industriellen Netzwerk mit vielen unterschiedlichen Komponenten und Systeme ist jede vernetzte Einheit im Prinzip ein kleiner Computer mit Betriebssystem. Niemand kann umreißen, welche Risiken und daraus folgende Schäden aus solchen heterogenen Systemen entstehen können. Die Infizierung erfolgt meist während der Inbetriebnahme durch die Programmier-Computer auf die HMIs oder Industrie-PCs der Anlage. Es sind auch Fälle bekannt, in denen Maschinen und Anlagen – unwissentlich – sogar schon mit Viren und Schadsoftware auf den Steuerungssystemen ausgeliefert wurden. Das lässt vermuten, dass bei den Lieferanten teilweise keine Sicherheitsrichtlinien vorhanden sind oder diese nicht richtig beachtet werden.

Abschottung nicht praktikabel

Eine auf den ersten Blick leicht durchzuführende Sicherheitsmaßnahme scheint die komplette Abschottung des Systems vom Internet zu sein. Allerdings ist dies aus zwei Gründen nicht hilfreich: Zum einen kommen die Übeltäter manchmal aus dem eigenen Netz. So kann etwa die USB-Schnittstelle zum Einfallstor werden, wenn ein Mitarbeiter einen gefundenen USB-Stick aus Neugier in den Rechner steckt oder sein infiziertes Smartphone zum Laden des Akkus anschließt. Zum anderen ist eine Verbindung zum Internet heute wichtig, um Daten in die Cloud senden oder um Fernwartung durchführen zu können.

„Wer jetzt ein tolles Produkt erwartet oder eine einfache schnelle Hilfe, um dieses Problem zu lösen, muss leider enttäuscht werden“, dämpft Siegfried Müller, Inhaber und Geschäftsführer von MB connect line die Erwartungen und erläutert: „Nach dem Stand der Technik ist ein 100%iger Schutz nicht möglich.“ Zudem ist Industrial Security keine einmalige Angelegenheit, sondern ein kontinuierlicher Prozess, den Unternehmen entsprechend der ständig wechselnden Bedrohungslage fortlaufend weiterentwickeln müssen.

Safety als Vorbild

Bild 1 IT Security Firewall MB Connect

Definition des zulässigen Datenverkehrs auf Grundlage der Ursprungs-MAC/IP-Adressen und Ziel-MAC/IP-Adressen MB Connect Line

Ein Vergleich mit Safety beziehungsweise der funktionalen Sicherheit zeigt, wie sich das Vorgehen in Sachen Industrial Security entwickeln wird: Heute ist Safety Standard und die Automatisierer können damit umgehen. Eine Maschine ohne Risikoanalyse der Sicherheitstechnik zu entwickeln ist heutzutage gar nicht mehr vorstellbar; oder dass die darin verbauten Sicherheitselemente keine entsprechende Zertifizierung haben. Vielmehr geben Standards und Normen vor, wie Sicherheitskomponenten zu entwickeln und anzuwenden sind.

Für die Informationstechnik gibt es diese Vorgaben zwar noch nicht, aber mit „Security by Design“ sind die Methoden bereits bekannt – sie müssen jedoch auch zum Einsatz kommen. Eines der Schlüsselelemente hierbei ist, bereits im Entwicklungsprozess und beim Design der Automatisierungsanlage mögliche Bedrohungen zu berücksichtigen. Dazu Siegfried Müller: „Bei Safety kommt ja auch niemand auf die Idee, zuerst eine Maschine zu bauen, um sie in einem zweiten Schritt sicher zu machen“.

Alles beginnt mit der Risikobetrachtung

Zu Beginn des Security by Design steht die Risikobetrachtung. Diese gibt es jedoch nur für eine konkrete Anwendung. Sie ist daher auch bei jeder Anlage von Neuem erforderlich. Dazu werden die verschiedenen möglichen Angriffsvektoren innerhalb der Anlage betrachtet. Im Wesentlichen sind das interne und externe Schnittstellen. Nach außen wäre das beispielsweise der Netzwerkanschluss. Das kann das Firmennetzwerk des Betreibers sein oder ein direkter Internetanschluss per LAN, WLAN oder Mobilfunk. Im Inneren wäre das unter anderem ein USB-Anschluss an einem HMI-Gerät oder einer SPS, ein Netzwerkanschluss innerhalb der Anlage oder eine andere mögliche steckbare Schnittstelle, zum Beispiel ein Profibusstecker. All diese Schnittstellen sind potenzielle Einfallstore für Schadsoftware oder Angriffe. Abgesehen von den physischen Schnittstellen geht es auch um die Benutzer-Schnittstellen, etwa ein Visualisierungssystem mit verschiedenen Zugangsebenen. Hier könnten mögliche Angreifer Schwachstellen bei der Benutzeranmeldung ausnutzen. „Das Risiko ist nicht nur der böse Hacker von außen. Auch eigene Mitarbeiter können aus Spieltrieb oder absichtlich dem Unternehmen schaden“, berichtet Siegfried Müller aus seiner langjährigen Erfahrung.

Nachdem alle Schnittstellen identifiziert sind, geht es darum, mögliche Schäden zu definieren. Das kann zum einen der Schaden bei Fehlfunktionen sein, beispielsweise werden falsche Rezepturen für Lebensmittel gemixt oder ein Ausfall und Stillstand der Anlage. Jegliche Schnittstellen und Risiken sollten die Verantwortlichen entsprechend auflisten und jeweils mit einer Maßnahme versehen.

Tagung zur Industrial Security in der Automatisierung

Maschinenbau und Produktionsunternehmen hatten das Thema Industrial Security lange nicht auf dem Radar. Aktuell zeichnet sich jedoch eine Trendwende ab – Industrial Security kommt zunehmend ins Bewusstsein der Beteiligten.

Die Tagungsveranstaltung „Industrial Security in der Automatisierungspraxis“ des Cluster Mechatronik & Automation am 4. Oktober 2018 beleuchtet die verschiedenen Facetten von IT-Sicherheit und Industrial Security. Die Vorträge umfassen Grundlagen und konkrete Lösungsmöglichkeiten, wie die IT-Sicherheit in die elektrische Automatisierung integriert werden kann.

Der Anmeldeschluss ist der 27.9.2018. Weitere Informationen und Anmeldung unter https://bit.ly/2Mj6lDS

über seine Erfahrungen zum Thema „Sicherheit aus der Perspektive des Automatisierers

Siegfried Müller referiert auf der Tagung über seine Erfahrungen zum Thema „Sicherheit aus der Perspektive des Automatisierers“. MB Connect Line

 

Sicherheit auf mehreren Ebenen

Eingangs wurde erwähnt, dass sich umfassende Netzwerke nur schwer beherrschen lassen. Die Lösung dazu ist die Segmentierung der Netzwerke und die Bildung sicherer Zonen. Dafür wird der Datenaustausch zwischen den Netzwerksegmenten streng reglementiert. „Damit wird wirksam verhindert, dass sich eine Fehlfunktion oder eine Schadsoftware über das gesamte Netzwerk ausbreitet“, erläutert Siegried Müller. Die Kommunikationszonen umfassen üblicherweise Systeme oder Anlagenteile, die kontinuierlich miteinander Daten austauschen müssen.

Kommunikationspartner, die nur selten oder wenig Datenkommunikation zueinander haben, trennen Firewalls voneinander ab. Solche Firewalls lassen nur die erforderlichen Protokolle und Kommunikationspartner zu. Eine richtige und lückenlose Konfiguration einer IT-Firewall ist natürlich erforderlich und setzt IT-Erfahrung und Netzwerkkenntnisse beim Automatisierer voraus. Konfigurationsfehler führen hier häufig zu Sicherheitslücken.

Security by Default

MB Connect Line hat seine Firewall mbNetfix genau nach dem Aspekt Security by Default entwickelt. Sie vereint die Funktionen der IT-Sicherheit mit den Anforderungen der Automatisierungstechnik. Wird die Firewall erstmalig installiert, so sind grundsätzlich erst mal alle Kommunikationskanäle gesperrt. Der Anwender kann zuerst mittels einer Bedienersoftware sein Projekt offline konfigurieren und dann – wie er es von der SPS-Programmierung gewohnt ist – sein Projekt direkt in die Firewall übertragen und online beobachten. Beim ersten Verbindungsaufbau der Software zur Firewall ist dann ein einmaliges Passwort notwendig und ab da kommunizieren das Projekt und die Firewall nur noch über sichere RSA-Schlüssel. Dabei ist das Projekt weiterhin mit einem Passwort gegen Fremdeingriff geschützt.

Bild 2 IT Security Firewall MB Connect .jpg mbNETFIX_Segmentierung

Die Industrie-Firewall ermöglicht die direkte Kopplung von verschiedenen Netzwerken mit identischen IP-Adressen. MB Connect Line

Will ein User das System direkt ohne Offline-Konfiguration in Betrieb nehmen, so nutzt er den Online-Modus der Software. Die Firewall hat im unkonfigurierten Zustand die Netzwerkteilnehmer gelernt und gibt die Kommunikationsbeziehungen dem Anwender als grafische Darstellung als Vorschlag. Hier muss dann nur noch mit einem Mausklick die Kommunikationsfreigabe erteilt werden und die Firewall ist fertig eingerichtet. Zusätzlich zu dieser einfachen Inbetriebnahme kann der Experte auch Paketfilter für IP-/Port und MAC-Adressen selbst definieren. Funktionen wie NAT und SimpleNAT, Forwarding und Routing sind implementiert und mit Beispielapplikationen in der Konfigurationssoftware beschrieben.

Security by Design

Security by Design

Puffer IT Security Firewall MB Connect .jpg mbNETFIX_screenshot_simplenat

Simple-NAT ermöglicht eine direkte 1-zu-1-Verbindung zwischen IP-Adressen unterschiedlicher Netzwerke MB Connect Line

Die Security-Betrachtung ist nicht nur für den Entwicklungsprozess eines Automatisierungsprojekts wichtig, sondern auch für die eingesetzten Produkte und Komponenten. Der Begriff „Security by Design“ ist sehr breit ausgelegt und beschreibt allgemein den Security-Ansatz bei der Softwareentwicklung. „Wir sind hier noch einen Schritt weiter gegangen und haben das im gesamten Entwicklungsprozess betrachtet“, so Siegfried Müller und erläutert: „ Unsere Anforderung war hierbei einen sicheren Boot-Prozess des Betriebssystems zu gewährleisten, so dass es nicht möglich ist, eine manipulierte Firmware auf dem System einzuschleusen“. Der Secure-Boot Prozess basiert auf der sogenannten Vertrauenskette (Trusted Chain). Sie sorgt dafür, das nur vom Hersteller signierte Firmware gestartet werden kann. Bei einem Secure-Boot Konzept ist es beispielsweise wichtig, dass der Bootloader unveränderbar in einem Read Only Memory (ROM) abgelegt ist. Er stellt dann die sogenannte „Trusted Root of Chain“ dar, den Vertrauensanker. Bei der System-Entwicklung sind in der Regel Anpassungen am Hardware-Design notwendig, welche nur am Anfang einer Entwicklung realisierbar sind.

Ein weiteres Merkmal bei der Entwicklung der Firewall war das Minimieren von Angriffsvektoren. Gerade Embedded Systeme haben zur Konfiguration oft eine Benutzer-Schnittstelle via Webserver. Diese Webserver-Implementierungen sind verwundbar und daher potenzielle Schwachstellen. Bei der Firewall mbNetfix hat das Unternehmen auf das Interface via Webserver verzichtet. Die Konfiguration erfolgt per eigener Software, welche dann mittels eines sicheren Protokolls (SSH) mit dem Gerät kommuniziert – per default nur über den geschützten USB Port. An den Ethernet-Schnittstellen ist kein Kommunikationsdienst angreifbar.

Automatisierer entwickeln sich weiter

Automatisierer sind vorrangig Experten in ihrer jeweiligen Branche und in ihrem Anwendungsgebiet. Sie haben das Thema Sicherheit in ihrem Entwicklungsprozess seither meist gar nicht oder nur am Rande betrachtet. Das ist kein Vorwurf, sondern nur eine Erkenntnis. Dadurch entstehen aber zwangsläufig Sicherheitslücken in der Automatisierungsanlage. Hacker versuchen immer wieder, sich durch diese Lücken erfolgreich Zugang zu den Systemen zu verschaffen. Dieser Artikel macht aber auch klar, dass die Automatisierungsbranche schon viel Erfahrung im Umgang mit Richtlinien und deren Anwendung hat – beispielsweise bei Safety, wo es speziell um die Umsetzung anhand einer vorgeschalteten Analyse geht. Das lässt hoffen. Die geplanten Normen und Standards, zum Beispiel die Normenreihe IEC62443 über „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“, haben internationale Bedeutung und zunehmend Auswirkung auf zukünftige Geräte und Lösungen. „Trotzdem gilt nach wie vor: Security ist kein Produkt, sondern ein Prozess, den man auch leben muss“, erläutert Siegfried Müller abschließend.

Marcus Klapprodt

Leiter Marketing, MB connect line

(ml)

Sie möchten gerne weiterlesen?

Unternehmen

MB CONNECT LINE GMBH

Winnettener Straße 6
91550 Dinkelsbühl
Germany