Sichere M2M-Kommunikation
Die Top-10-Gebote der industriellen Datenkommunikation für mehr IT-Sicherheit
Die Zukunft gehört unbestritten den Cyber-physischen Systemen (CPS) und dem Internet der Dinge (IoT). Ob all dem technisch Machbaren sind die Interessenkonflikte zwischen den angestammten IT-Abteilungen und den Verantwortlichen für die Sicherheit der Automatisierungssysteme in der Produktion bei Weitem noch nicht überall gelöst. Fatal ist allerdings die verbreitete Auffassung, dass einzelne Sicherheitsmaßnahmen genügen.
Hidden technology kommuniziert jetzt öffentlich. Automatisierungstechnik, zu Recht auch als hidden technology bezeichnet, ist allgegenwärtig. Doch warum ist das Sicherheitsbewusstsein in verschiedenen Branchen und Abteilungen so? Die Frage sei erlaubt: Wer stellt Steuerungen mit offenen Webzugängen ins Netz und erwartet gleichzeitig von seiner Bank die Sicherheit von Fort Knox? Das Bewusstsein für eine sichere IKT ist bei Banken, Energieversorgern und der Industrie sehr ausgeprägt. Andernorts scheint das Thema (noch) nicht angekommen zu sein. Manche Unternehmen machen Steuerungen aus dem Internet erreichbar, andere opfern die Sicherheit den Kosten oder der scheinbaren Praxistauglichkeit. Im Fall der Fälle ist Imageverlust noch das geringere Übel; Haftungsfragen sind risikoreicher, zumal Unwissenheit nicht vor Strafe schützt.
Datensicherheit versus Safety
Allein zur Praxistauglichkeit gibt es widersprüchliche Standpunkte, geht es doch in der Automatisierungspyramide 'oben bei den Kaufleuten' zuerst um die Datensicherheit, den Datenschutz und erst dann um die Verfügbarkeit der Systeme. Wenn ein CRM-System wegen dringender Wartungsarbeiten für 15 Minuten nicht verfügbar ist, kostet das die Arbeitszeit der herumsitzenden Mitarbeiter, mehr nicht. 'Unten in der Produktion' ist so etwas undenkbar, geht es doch zuallererst um die Verfügbarkeit der Anlagen und um Safety - und dann erst um die Datensicherheit. Jetzt müssen alle am selben Strang ziehen, denn Sicherheits- und Risikomanagement darf wegen Interessenkonflikten kein Stückwerk bleiben. Gerade deshalb muss IT-Sicherheit an oberster Stelle aufgehängt werden, denn "entweder kümmert sich die Geschäftsführung schon um die IT-Sicherheit oder aber die IT wird spätestens im Schadensfall automatisch zur Chefsache gemacht" (Bitkom).
Stehen technische Lösungen bereit?
Ja, durchaus! Zum Manipulationsschutz moderner Router kann die Konfiguration über das Web-Interface verboten werden; bei Geräten von Insys icom kann die Konfiguration zudem aus der Ferne per CLI automatisch ausgelesen und mit einer Referenz verglichen werden. Beim physischen Zugriff auf den Router ist nur das Rücksetzen auf Werkseinstellungen möglich. Doch auch beim autorisierten Zugriff können Zertifikate nicht ausgelesen werden, haben sichere Geräte nicht nur abschaltbare Switch-Ports und auch keine Backdoor. Bei sicherheitsrelevanten Ereignissen müssen sofort Meldungen per SNMP (auch SMS oder E-Mail) an die Leitstelle abgesetzt werden; ein späteres Auswerten von Logfiles wird den im Fazit genannten Regelwerken nicht gerecht. Beispiele für derartige Ereignisse sind ein fehlerhafter Einwahlversuch am Web-Interface des Routers, eine Änderung der Konfiguration, An- oder Abstecken eines Gerätes am Switch (link up, link down) und der Empfang von IP-Paketen von einem unbekannten Gerät am Switch (MAC-Firewall). Generell muss jeder unerwünschte Verkehr, egal ob ein- und ausgehend, von der Firewall geblockt werden können. Innovative Router haben Meldeeingänge, an denen beispielsweise ein Türkontakt vom Schaltschrank direkt angeschaltet werden kann, um einen stillen Alarm auszulösen - ein taktischer Zeitvorteil für den Verteidiger. Über VPN-Netzwerkdienste wie dem Insys Connectivity Service können die VPN-Clients nicht nur automatisch konfiguriert und verwaltet, sondern auch die VPN-Zertifikate periodisch gewechselt werden.
Schutzkonzept einer Burg als Vorbild
Die 'best practice'-Strategie zum Erreichen eines hinreichenden Sicherheitsniveaus ist der Aufbau mehrstufiger Sicherheitsbarrieren. Damit werden die Systeme schichtweise geschützt und das Eindringen eines Angreifers wird erschwert. Diese Strategie ist hinlänglich als Schutzkonzept einer Burg bekannt, die IT-Fachwelt - vom BSI über BDEW bis zum US-Heimatschutzministerium (DHS) - spricht von Defense in Depth. Eine nicht unwesentliche Sicherheitsmaßnahme ist die zertifikatsbasierte Authentifizierung beim Aufbau von VPN-Verbindungen. Durch dieses sogenannte 'Minimal-Need-To-Know'-Prinzip wird sichergestellt, dass nur valide Partner mit bekannter Identität miteinander kommunizieren. Was im Brandschutz die Reduzierung der Brandlast durch Entfernen brennbarer Teile ist, sind in der IT-Sicherheit gehärtete Betriebssysteme. Alle Router von Insys icom verfügen über diese gezielt erzeugten Minimalsysteme mit nur exakt den Diensten und Services, die zur Funktion benötigt werden; zudem sind die Router patchfähig.
Gibt es Lösungen für Bestandsgeräte?
Grundregel ist, auch Feldgeräte durch Patches oder Firmwareupdates aktuell zu halten. Aber nicht jedes in der Office-IT etablierte Vorgehen kann bei Industrial Control Systems und im Umfeld der M2M-Kommunikation ohne weiteres umgesetzt werden. Updates für ältere Steuerungen und PCs im Feld sind meist finanziell nicht darstellbar, weil Mainstream- und Extended-Support oft schon lange abgelaufen sind und keiner die Kostenlawine bis zur evtl. Neuzertifizierung lostreten will. Wer gegen die Verwundbarkeit der alten Systeme scheinbar nichts tun kann, hat trotzdem die Pflicht, deren Kommunikation durch vorgeschaltete Firewall-Router auf Protokolle, Ports und Verbindungsrichtungen zu beschränken, die für die Funktion des Gesamtsystems notwendig sind.
Top-10-Gebote der industriellen Datenkommunikation für mehr IT-Sicherheit
Fernverbindungen können genauso unsicher oder sicher sein wie der Service vor Ort. Die Datenkommunikationsspezialisten von Insys icom haben zur Sensibilisierung der Anwender die 'Top-10-Gebote der industriellen Datenkommunikation für mehr IT-Sicherheit' formuliert. Originell bebildert werden in einer handlichen Broschüre die wichtigsten technischen Sicherheitsaspekte einem 'Moses 2.0' in Mund gelegt und unmissverständlich auf den Punkt gebracht.
- • 1. Sei einzigartig!
- • 2. Richte Brandabschnitte ein!
- • 3. Sei verschlossen!
- • 4. Lass keine fremden Leute rein!
- • 5. Lass Dich nicht aus dem Haus locken!
- • 6. Frage nach der Parole!
- • 7. Kontrolliere Dienstboteneingänge!
- • 8. Leiste Dir eine Schmutzschleuse!
- • 9. Verkehre nur mit sicheren Partnern!
- • 10. Wasch Dir die Hände!
Die 'Top-10-Gebote' stehen als PDF auf der Unternehmenswebsite zum Down-load zur Verfügung; hier ein Beispiel:
2. Gebot: Richte Brandabschnitte ein!
Sind Fernwartungszugänge nicht oder unzureichend beschränkt, können über den Zugang für ein bestimmtes System weitere Systeme oder Netze erreicht werden. Wenn unautorisierte Zugriffe auf diese Systeme möglich sind, können Leib und Leben der Bediener bedroht sein (Safety-Problem). Zur Minimierung der 'Reichweite' von Fernzugängen sind daher eine hinreichend granulare Segmentierung der Netze und die Abschottung der Segmente durch Firewalls notwendig.
Fazit
IT-Sicherheit ist Chefsache, deren Erfolg mit 'dem Faktor Mensch' steht und fällt, denn dessen Verhalten kann ebenso unberechenbar sein wie die nächste Cyber-Attacke. Deshalb ist zum Erreichen der Schutzziele ein ganzheitliches, kontinuierliches Zusammenspiel aus technischen, physischen und organisatorischen Maßnahmen notwendig. Wer die Empfehlungen des Moses 2.0 umsetzt, ist technisch schon auf der sicheren Seite - alles Weitere findet sich in der ISO-Normenreihe 27000, im Whitepaper des BDEW und in den Veröffentlichungen des BSI.
Die Zukunft gehört unbestritten den Cyber-physischen Systemen (CPS) und dem Internet der Dinge (IoT). Ob all dem technisch Machbaren sind die Interessenkonflikte zwischen den angestammten IT-Abteilungen und den Verantwortlichen für die Sicherheit der Automatisierungssysteme in der Produktion bei Weitem noch nicht überall gelöst. Fatal ist allerdings die verbreitete Auffassung, dass einzelne Sicherheitsmaßnahmen genügen.
Hidden technology kommuniziert jetzt öffentlich. Automatisierungstechnik, zu Recht auch als hidden technology bezeichnet, ist allgegenwärtig. Doch warum ist das Sicherheitsbewusstsein in verschiedenen Branchen und Abteilungen so? Die Frage sei erlaubt: Wer stellt Steuerungen mit offenen Webzugängen ins Netz und erwartet gleichzeitig von seiner Bank die Sicherheit von Fort Knox? Das Bewusstsein für eine sichere IKT ist bei Banken, Energieversorgern und der Industrie sehr ausgeprägt. Andernorts scheint das Thema (noch) nicht angekommen zu sein. Manche Unternehmen machen Steuerungen aus dem Internet erreichbar, andere opfern die Sicherheit den Kosten oder der scheinbaren Praxistauglichkeit. Im Fall der Fälle ist Imageverlust noch das geringere Übel; Haftungsfragen sind risikoreicher, zumal Unwissenheit nicht vor Strafe schützt.
INSYS Microelectronics GmbH
Dieser Artikel erschien in SPS-MAGAZIN 10 2014 - 01.10.14.Für weitere Artikel besuchen Sie www.sps-magazin.de