Drei-Stufen-Modell gegen Feinde im eigenen Netz
Die umfassende Vernetzung heutiger Industrieumgebungen eröffnet Cyberkriminellen neue Möglichkeiten. Einmal in das Unternehmensnetzwerk eingedrungen, kann ein Angreifer zumindest theoretisch viele integrierte Systeme sabotieren. Umso wichtiger sind deshalb IT-Security-Lösungen, die auf alle Bedrohungsszenarien optimal reagieren können.
Bild: Elabo GmbHDer Weg zu Industrie 4.0 stellt Unternehmen auch im Sicherheitsbereich vor völlig neue Herausforderungen. Kernpunkt ist dabei nicht so sehr die Physical Security, die auch schon vor der Digitalisierung einen hohen Stellenwert besaß.
Bild: Euromicron Deutschland GmbH
Netzwerkschutz durch modernisierte IT-Sicherheitslösung
Im Zentrum einer funktionsfähigen Industrie 4.0-Sicherheitsarchitektur sollte auf jeden Fall die Absicherung der grundlegenden IT-Infrastruktur stehen. Geschützt werden müssen all jene Netzwerke und Systeme, die direkt oder indirekt mit dem Internet verbunden sind. Die individuelle Absicherung von Geräten und Maschinen, die in diese Netzwerke und Systeme integriert sind, ist hingegen nur in Einzelfällen notwendig und kann auf hochgradig kritische Anlagenbereiche beschränkt bleiben. Verabschieden müssen sich Anwender allerdings von der Vorstellung, dass ihre neu geschaffenen Industrie 4.0-Konstrukte mit bestehenden IT-Sicherheitslösungen wirksam geschützt werden könnten. Denn diese Lösungen wurden fast immer für den Schutz von Office-Umgebungen konzipiert und sind nur in Ausnahmefällen geeignet, auch Industrienetzwerke mit ihren speziellen Strukturen und Protokollen abzusichern. Eine grundlegende Modernisierung des IT-Sicherheitssystems ist deshalb in den meisten Fällen unumgänglich. Erster Schritt sollte dabei eine detaillierte Status- und Bedarfsanalyse sein: Wie ist das Industrie 4.0-Netzwerk aufgebaut und welche Maschinen, Geräte und Steuerungssysteme sind dort integriert? Welche Protokolle kommen zum Einsatz? Gibt es Anlagen älteren Datums, bei denen keine neuen Sicherheitsupdates mehr möglich sind und die deshalb besonderer Schutzmaßnahmen bedürfen? Auf welche Systeme oder Maschinen darf aus der Ferne zugegriffen werden, beispielweise von einem Lieferanten? In welchen Unternehmensbereichen führt aus organisatorischen Gründen kein Weg an einer engen Vernetzung vorbei, wo könnten Vernetzungen zu einem ernsthaften Sicherheitsrisiko werden? Wenn diese und ähnliche Fragen ausführlich beantwortet sind, lassen sich dann im nächsten Schritt lokale Schutzzonen (zum Beispiel eine Maschinengruppe) definieren und die Erfordernisse und der Ausstattungsbedarf jeder einzelnen Zone festlegen.
Bild: Euromicron Deutschland GmbHDreistufiges Sicherheitssystem
Basierend auf diesen Analysen und Zonendefinitionen sollten produzierende Unternehmen schließlich ein dreistufiges Sicherheitssystem mit Low-, Medium- und High-Security-Ebene errichten. Erste Stufe ist der sogenannte Grundschutz (Low), der unter anderem Next Generation Firewall (NGF), permanent aktualisierte Antivirensoftware sowie Mail-Security-Lösungen umfassen kann. Eine Netzwerksegmentierung samt Erteilung abgestufter Zugriffsrechte ist der Schlüssel zur Realisierung der Schutzzonen. Das Firmennetz wird in Teilnetze gegliedert, zu denen nur ausgewählte Nutzer Zugang haben. Dadurch wird festgelegt, wer Geräte und Maschinen steuern, in die Gebäudeleittechnik eingreifen oder die Daten der Finanzabteilung einsehen darf. Wer Zugang zu bestimmten Bereichen wünscht, muss sich dann über Eingabe von Benutzernamen und Passwort als Inhaber entsprechender Rechte authentifizieren. Für höhere Sicherheit bei Fernwartungen kann ergänzend dazu eine via NGF abgeschirmte demilitarisierte Zone (DMZ) zwischen Internet und Firmennetzwerk errichtet werden, in der ein Fernwartungsserver installiert wird. Der Wartungsdienstleister erhält dann lediglich Zugriffsrechte für den Fernwartungsserver in der DMZ, während ihm der Zugang zum Wartungsobjekt aktiv gestattet werden muss. Doch es sind nicht nur solche Segmentierungs- und Authentifizierungsfunktionen, die eine NGF unverzichtbar machen. Mindestens ebenso wichtig ist die sogenannte Deep-Packet-Inspection des Application Layers (Layer 7), bei der die NGF im Gegensatz zu älteren Stateful Inspection Firewalls nicht nur Netzwerk-Ports und IP-Adressen der Daten-Absender und -Empfänger, sondern die kompletten Datenpakete untersucht. Dadurch kann auch Schadsoftware identifiziert und gestoppt werden, die in einem IP-Paket enthalten ist. Ein recht hohes Sicherheitsniveau wird bereits mit Realisierung der zweiten Stufe (Medium) des anvisierten Industrie 4.0-Sicherheitssystems erreicht. Die VPN Client Security etwa sorgt für die Verschlüsselung getunnelt übertragener Daten, Next Generation Intrusion Prevention Solutions detektieren und eliminieren eine Vielzahl von Schadprogrammen. Gemeinsam mit den Security-Systemen der Grundschutzebene lassen sich so alle bekannten Bedrohungen zuverlässig abwehren.
Bild: Elabo GmbHSchutz vor dem Unbekannten
Doch selbst dieses hohe Schutzniveau reicht inzwischen nicht mehr aus, da die Bedrohungen immer unkalkulierbarer werden. Unter Cyberkriminellen werden heute auf den Marktplätzen des Darknets äußerst effektive Angriffswerkzeuge gehandelt, die mit unkonventionellen Angriffsmustern arbeiten und durch standardisierte Tools nicht mehr erfasst werden können. Nicht zufällig wurden Schadcodes wie Petya, WannaCry oder Mirai weder durch Antivirenprogramme noch durch Intrusion Prevention Solutions gestoppt. Auf das Erkennen bekannter Angriffsmuster ausgelegt, konnten diese Schutztechnologien die neuen Schadprogramme nicht als solche identifizieren. Den Urhebern von Petya gelang es so beispielsweise, die Strahlenmessung im havarierten AKW von Tschernobyl zu sabotieren - eine Tatsache, die nicht nur den Grad der Bedrohung, sondern auch die Skrupellosigkeit der Cyberkriminellen unterstreicht. Um auch gegen Attacken dieser Qualität bestmöglich gewappnet zu sein, müssen Industrie 4.0-Anwender das oberste Schutzniveau (High) anstreben und eine ausgefeilte Forensik mit permanenten Datenverkehrsanalysen realisieren. Die Firmennetzwerke werden hierzu mit Sensoren ausgestattet, die den kompletten Netzwerkverkehr überwachen und selbst bei Datendurchsätzen von mehreren Gigabit pro Sekunde Verhaltensanomalien erkennen. Untersucht werden dabei nicht nur einzelne Datenpakete, sondern komplette Sessions, sodass auch verdächtige Ereignisse identifiziert werden, die sich mit den signatur- und paketbasierenden Analysen herkömmlicher Intrusion Prevention Solutions nicht erfassen lassen. Dadurch gelingt es in den allermeisten Fällen, Ransom- und Malware, Exploits, Zero Days und viele andere Schadcodes zu identifizieren und rechtzeitig unschädlich zu machen. Um Fehlalarme zu vermeiden, können außerdem an den Netzwerkendpunkten - also etwa an Maschinen- oder Geräteschnittstellen - Softwareagenten installiert werden, welche die Angriffswarnungen verifizieren und infizierte Endpunkte von Schadcodes bereinigen. Hier kommen beispielsweise Sandbox-Umgebungen zum Einsatz, die den verdächtigen Datensätzen eine reale Anwendungsumgebung vorspiegeln und so deren Verhalten überprüfen. Ergänzend besteht außerdem die Möglichkeit, sämtliche wichtigen Informationen zu Dateien, Prozessen, Registry, Netzwerk, DNS und URLs aufzuzeichnen, sodass sich alle Angriffsverläufe später genau rekonstruieren und Angreifer leichter identifizieren lassen.
Gegen Haftungsansprüche gesichert
Unternehmen, die auch dieses oberste Schutzniveau verwirklichen und so ein vollwertiges dreistufiges IT-Sicherheitssystem aufbauen, haben alles getan, was nach heutigem Stand in puncto IT-Security möglich ist. Sie erfüllen damit die gesetzliche Vorschrift, ihre IT-Sicherheitssysteme auf dem neuesten Stand der Technik zu halten und sind so im Schadensfall vor Haftungsansprüchen sicher. Da moderne Sicherheitssoftwarelösungen fast die gesamte Netzwerkkontrolle und Netzwerkbereinigung automatisch ablaufen lassen, kann dieses Maß an Sicherheit mit vergleichsweise überschaubarem Aufwand erreicht werden. Nicht versäumt werden sollte allerdings, die IT-Schutzmaßnahmen durch rechtlich wasserdichte Betriebsvereinbarungen zu flankieren, da detaillierte Traffic-Analysen tief in die Netzwerke eingreifen und auch die datenschutzbewehrte Mitarbeiterkommunikation betreffen. Wer sich hier rechtzeitig absichert und alle verfügbaren Tools auf die eigene Prozessumgebung abstimmt, hat aber auf jeden Fall hervorragende Grundlagen für einen möglichst sorgenfreien Einsatz seiner Smart-Industry-Lösungen geschaffen. n @WK Kontakt:www.elabo.de @WK Kontakt:www.euromicron.de
Die umfassende Vernetzung heutiger Industrieumgebungen eröffnet Cyberkriminellen neue Möglichkeiten. Einmal in das Unternehmensnetzwerk eingedrungen, kann ein Angreifer zumindest theoretisch viele integrierte Systeme sabotieren. Umso wichtiger sind deshalb IT-Security-Lösungen, die auf alle Bedrohungsszenarien optimal reagieren können.
Bild: Elabo GmbHDer Weg zu Industrie 4.0 stellt Unternehmen auch im Sicherheitsbereich vor völlig neue Herausforderungen. Kernpunkt ist dabei nicht so sehr die Physical Security, die auch schon vor der Digitalisierung einen hohen Stellenwert besaß.Bild: Euromicron Deutschland GmbH
Riba:BusinessTalk GmbH
Dieser Artikel erschien in MES Wissen Kompakt 2018 - 07.04.18.Für weitere Artikel besuchen Sie www.it-production.com
