Industrie 4.0 braucht Sicherheit
Die zunehmende Vernetzung von Maschinen untereinander hat der produzierenden Industrie einen Innovationsschub verschafft. Gleichzeitig schafft die autonome Gerätekommunikation neue Sicherheitslücken für Hacker und Cyber-Kriminelle. Industrieunternehmen müssen deshalb neue Wege in der IT-Sicherheit gehen.
Das Zusammenwachsen betrieblicher Steuerungstechnik (OT) und klassischer IT ermöglicht eine effiziente Fernüberwachung und Fernsteuerung von Maschinen und Anlagen. Allerdings besitzen Hardware-Komponenten wie SPSen eine jahrzehntelange Lebensdauer. Ihre Entwicklung erfolgte mit Schwerpunkt auf Zuverlässigkeit und Verfügbarkeit - nicht mit Blick auf IT-Sicherheit. Solange die Prozessnetze von der übrigen IT-Infrastruktur getrennt waren, gab es kaum Angriffsmöglichkeiten. Nun bieten sie Spionen und Saboteuren offene Türen. Um die Prozessnetze erfolgreich zu schützen und gleichzeitig die Vorteile moderner IP-Technik zu nutzen, ist eine neue und gestufte Sicherheitsarchitektur notwendig.
Transportwege mit Unfallrisiko
Aber auch bei der Datenübertragung zu und zwischen den Rechenzentren besteht meist erheblicher Nachrüstungsbedarf. Denn: Der Datenstrom verläuft hier in der Regel über durchsatzstarke, aber ungesicherte Glasfaserleitungen. Diese können mit geringem Aufwand und unverdächtigem Standardwerkzeug angezapft werden. Das gilt nicht nur für Datentransfers über öffentliche Netze, sondern auch bei Verbindungen, die zwar durch private Leitungen, aber über öffentlichen Grund und Boden laufen. Erforderlich ist also eine Verschlüsselung der Daten. Herkömmliche Krypto-Lösungen bremsen jedoch die Übertragungsgeschwindigkeit spürbar. Deshalb benötigt der Anwender Sicherheitslösungen, die auch für wachsende Aufgaben wie Big Data und Industrie 4.0 gerüstet sind. Wer das durch Endgeräte, Sensoren und Maschinen erzeugte, riesige Datenvolumen effizient nutzen will, braucht heute eine zuverlässige und schnelle M2M-Verschlüsselung über Hochgeschwindigkeits-Datennetze.
Große Daten - geringe Latenz
In einer Big-Data-Infrastruktur kommt es vor allem auf geringe Latenzen und hohe Übertragungsraten an. Daher haben Industrieunternehmen bislang die Wahl zwischen zwei Ansätzen zum Schutz ihrer Datenübertragung: Verschlüsselung des Datenstroms auf OSI Layer 1 (Physical Layer) oder Layer 2 (Data Link Layer). Auf Layer 1 wird der Bitstrom nahezu ohne Overhead verschlüsselt. Dadurch wird die Vertraulichkeit der übertragenen Daten gewährleistet. Der Nachteil: Auf diese Weise können nur dedizierte Leitungen, also Punkt-zu-Punkt-Verbindungen gesichert werden, in vermaschten Netzwerken scheidet diese Option aus. Eine Verschlüsselung auf Layer 2 hingegen sichert die Vertraulichkeit und die Integrität sowohl von Standleitungen als auch vermaschter Low-Latency-Netzwerke. Außerdem wird durch einen Integritätsschutz die unbemerkte Manipulation der übertragenen Bits ausgeschlossen und vor einer Wiedereinspeisung von Daten (Replay-Attacken) geschützt. Ein weiterer Vorteil ist die geringe Latenz, da entsprechende Verschlüsselungsprotokolle nur geringfügig die Bandbreite beeinflussen.
Sicherheit ohne Datenstau
Mit R&S SITLine ETH40G hat Rohde & Schwarz SIT die nach eigenen Angaben weltweit erste Layer-2-Verschlüsselungslösung entwickelt, die den Herausforderungen von Big Data gewachsen ist und hohe Sicherheit mit Schnelligkeit verbindet. Der Ethernet-Verschlüsseler ist mit 40Gbit/s Datendurchsatz speziell für den codierten Austausch riesiger Datenmengen in Echtzeit konzipiert. Damit optimiert das Gerät erstmals die Performance-kritischen Faktoren Bandbreite, Latenz, Quality-of-Service, Port-Dichte und Energieverbrauch in einem Gerät - und das mit der Bauhöhe nur einer Höheneinheit. Die Sicherung des Datenverkehrs ist zudem mit geringem Aufwand verbunden: Außer den Sicherheitsparametern sind keine weiteren netzwerkspezifischen Konfigurationen erforderlich. Sicherheits- und Netzwerkmanagement sind voneinander getrennt, sodass die neuen Geräte problemlos in bestehende IT-Systeme integriert werden können. Dadurch entfällt eine aufwendige Anpassung der Netzwerkinfrastruktur.
Einstufige Sicherheitskonzepte sind zu wenig
Auch für den Schutz der Produktionsanlagen bietet der Hersteller eine sichere und effiziente Lösung. Bislang wurden Prozess- und Steuerungsnetze hauptsächlich durch die Perimeter-Firewalls geschützt, die auch das Firmennetzwerk im Ganzen vor Angriffen von außen sichern (First Line Of Defense). Dieser portbasierte Ansatz ist aber nur eingeschränkt in der Lage, den in Prozessnetzen notwendigen Schutz zu gewährleisten. Der Grund: Die klassische Filterung ist zu ungenau und kann durch komplexe Angriffe überwunden werden. Im Gegensatz zu Port-Filter- oder UTM-Firewalls erlauben Next-Generation-Firewalls (NGFW) mithilfe des sogenannten Whitelisting den Sicherheitsgrundsatz für einzelne Zonen umzudrehen: Bis auf die Ebene einzelner Anwendungen, Protokolle und Inhalte kann festgelegt werden, welcher Datenverkehr erwünscht ist. Jedweder vorher nicht definierter Traffic wird blockiert. So ist sichergestellt, dass Netzwerke zu jeder Zeit auch gegen unbekannte Gefahren geschützt sind.
Echte Next-Generation-Firewalls
Allerdings agieren viele NGFWs noch nach dem sogenannten Teilstreckenverfahren (store and forward). Bei dieser Technik werden Informationen erst gespeichert, dann einzeln überprüft und erst danach weitergeleitet. Echte NGFWs hingegen arbeiten mit der sogenannten Single-Pass-Technik, also Datenstrom-basiert. Sie warten nicht, bis die gesamte Datei angekommen ist, sondern überprüfen die einzelnen Dateipakete bereits bei ihrer Ankunft. Das steigert die Performance. Als zusätzliche Sicherheitsinstanz bieten sich Firewalls mit permanent laufendem Protokoll-Decoder und Deep Packet Inspection (DPI) an. Damit kann nicht nur der komplette Datenfluss von und zum Internet geprüft, sondern auch die Kommunikation für bestimmte Nutzer oder Geräte eingeschränkt werden.
Second Line of Defense
Ein derart ausgestattetes Sicherungssystem für Netzwerke ist die Firewall R&S SITGate von Rohde & Schwarz SIT. Mithilfe von Deep Packet Inspection prüft sie permanent alle ein- und ausgehenden Datenverbindungen auf Protokollverletzungen, Malware und weitere unerwünschte Inhalte. Jeglicher Verkehr, der die Firewall passieren möchte, wird in Echtzeit eindeutig identifiziert und validiert - und das auf einzelne Anwendungen, Geräte oder Benutzer genau. Im Bedarfsfall greift SITGate zu jedem Zeitpunkt in die Verbindung ein: Unbekannte Datenströme, aber auch unerwünschte Befehle oder Parameter in zulässigen Protokollen, wie IEC60870-5-104, werden zuverlässig und in Echtzeit erkannt und blockiert. Weiterer Vorteil: Mit der neuen NGFW lässt sich ein mehrstufiges Firewall-Konzept gemäß BSI-Grundschutz-Katalog M2.73 einfach und kostengünstig umsetzen. Denn während die Perimeter-Firewall als erste Verteidigungslinie das Unternehmensnetzwerk schützt, separiert SITGate das Prozessnetz. Diese zusätzliche, leistungsfähige Firewall sorgt mit Whitelisting und Protokollerkennung für eine zweite Verteidigungslinie, der sogenannten Second Line of Defense.
Die zunehmende Vernetzung von Maschinen untereinander hat der produzierenden Industrie einen Innovationsschub verschafft. Gleichzeitig schafft die autonome Gerätekommunikation neue Sicherheitslücken für Hacker und Cyber-Kriminelle. Industrieunternehmen müssen deshalb neue Wege in der IT-Sicherheit gehen.
Das Zusammenwachsen betrieblicher Steuerungstechnik (OT) und klassischer IT ermöglicht eine effiziente Fernüberwachung und Fernsteuerung von Maschinen und Anlagen. Allerdings besitzen Hardware-Komponenten wie SPSen eine jahrzehntelange Lebensdauer. Ihre Entwicklung erfolgte mit Schwerpunkt auf Zuverlässigkeit und Verfügbarkeit - nicht mit Blick auf IT-Sicherheit. Solange die Prozessnetze von der übrigen IT-Infrastruktur getrennt waren, gab es kaum Angriffsmöglichkeiten. Nun bieten sie Spionen und Saboteuren offene Türen. Um die Prozessnetze erfolgreich zu schützen und gleichzeitig die Vorteile moderner IP-Technik zu nutzen, ist eine neue und gestufte Sicherheitsarchitektur notwendig.
Rohde & Schwarz Cybersecurity GmbH
Dieser Artikel erschien in SPS-MAGAZIN ETH1 2015 - 19.03.15.Für weitere Artikel besuchen Sie www.sps-magazin.de