Rückblickend waren analoge wie digitale Telefonnetze für Modems ein Sicherheits-Paradies, denn eine Punkt-zu-Punkt-Verbindung ist die kleinste geschlossene Benutzergruppe. Sporadische Fernwartung zur Inbetriebnahme oder Störungsbehebung gestaltete sich genauso sicher wie häufiges Zählerfernauslesen: Die Hoheit über die Verbindungssteuerung blieb im Unternehmen. Im Regelfall wurde der Verbindungsauf- und -abbau zeit- oder eventgesteuert; die pragmatische Lösung war ein manuell bedienter Schlüsselschalter.

Die Störmelder der IMO-Reihe sind auch Mobilfunkrouter und haben alle notwendigen Sicherheitsfunktionen „onboard“ – wer VPN trotzdem nicht nutzen möchte, ist mit SMS (Empfang und Versand) auf der sicheren Seite.

© Insys Icom

Industrie 4.0 ist allerdings nur eine Facette der Cyber Physical Systems. Die Automatisierungstechnik – zu Recht auch als „hidden technology“ bezeichnet – ist allgegenwärtig in Gebäuden, in Infrastrukturen und in der Umwelttechnik, um nur einige Bereiche zu nennen. In der Fernsehsendung „kontrovers“ etwa wurde unlängst das brisante Gefahrenpotenzial sorglos offen stehender Fernwartungszugänge von kritischen Infrastrukturen dargelegt (nachzuschauen auf Youtube unter dem Stichwort „Die Story: Terrorgefahr Blackout“).

Die Frage sei erlaubt: Wer stellt Anlagensteuerungen mit offenen Webzugängen ins Netz und erwartet gleichzeitig von seiner Bank die Sicherheit von Fort Knox? In der Welt der Banken sind Datensicherheit und Datenschutz eine Bedingung, ohne die nichts geht. Fakt ist allerdings: Manche Unternehmen, die sich eben erst auf den Weg der Datenkommunikation gemacht haben, agieren nach wie vor hemdsärmelig und machen Steuerungen aus dem Internet erreichbar. Andere opfern die Sicherheit den Kosten oder der scheinbaren Praxistauglichkeit. Kommt es bei einem Cyber-Angriff zu Schäden, ist Imageverlust dabei noch das geringere Übel. Viel stärker wiegt die Gefahr finanzieller Verluste, denn das Management ist „nicht zuletzt angesichts einer möglichen persönlichen Haftung der Gesellschafter oder des Managements zur Gewährleistung eines hinreichenden Sicherheitsniveaus verpflichtet“ – so das BSI!

Welche Regelwerke sind notwendig?

Standards zum Datenschutz, zur Datensicherheit und zur IT-Sicherheit gibt es auf nationaler und internationaler Ebene ausreichend (BDSG, VDI/VDE 2182, ISO/IEC 27000:2012). Bereits 2008 hat der Bundesverband der Energie- und Wasserwirtschaft (BDEW) sein Whitepaper „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“ herausgegeben und das BSI hat 2012 die risikoreichsten Bedrohungen zusammengestellt. Weiter wurden vom BSI Anforderungen für den sicheren Einsatz von intelligenten Messsystemen in einer Technischen Richtlinie (BSI TR-03109) erarbeitet. Die Liste ließe sich detailreich fortsetzen.

Ungeachtet aller Regelwerke muss im Industrieumfeld eine Grundregel lauten, auch Feldgeräte durch Patches oder Firmware-Updates aktuell zu halten. Allerdings ist nicht jedes in der Office-IT etablierte Vorgehen bei Industrial Control Systems ohne weiteres einsetzbar. Zum Beispiel können Patches in der Produktion nicht in der Häufigkeit eingespielt werden wie in der Bürowelt, da Stillstandzeiten teuer sind. Hinzu kommt, dass Updates für ältere Steuerungen und PCs im Feld meist finanziell nicht darstellbar sind, weil Mainstream- und Extended-Support oft schon lange abgelaufen sind und keiner die Kostenlawine von „Lizenzen kaufen“, über „Applikation auf neue Plattform portieren“ bis „eventuell Neuzertifizierung“ lostreten will. Und dennoch: Auch wer gegen die Verwundbarkeit der alten Systeme scheinbar nichts tun kann, hat die Pflicht, deren Kommunikation durch vorgeschaltete Firewall-Router auf Protokolle, Ports und Verbindungsrichtungen zu beschränken, die für die Funktion des Gesamtsystems notwendig sind.

Um einerseits zu unterstreichen, dass trotz der geschilderten Bedrohungsszenarien Fernwartung genauso unsicher oder sicher sein kann wie der Service vor Ort, und andererseits die Bewusstmachung von Safer Security zu fördern, haben die Datenkommunikationsspezialisten von Insys Icom entsprechend die „Top 10 Gebote der industriellen Datenkommunikation“ formuliert.

Gebot 1: Sei einzigartig!

Passwörter dienen dazu, jemanden zuverlässig (authentisch – „er ist es selbst“) zu erkennen. Bedrohungen ergeben sich laut dem BSI insbesondere durch die unberechtigte Nutzung von ungeschützten Fernwartungszugängen ohne Passwort oder mit Standard-Passwort. Individuelle Zugangsdaten (Passwort, Login) sind also ebenso Pflicht, wie das Verbot von Standard-Passwörtern. Die BSI-Empfehlung, „Standarduser/-passwörter eines Herstellers (Auslieferungszustand) sind zu sperren/löschen (Abnahmeprotokoll)“, hat die vertragsrechtliche Folge, dass Geräte mit Standardpasswörtern als nicht abgenommen gelten.

Gebot 2: Richte Brandabschnitte ein!

Mit Firewall-Routern für LAN-LAN-Trennung lassen sich Netze wirkungsvoll segmentieren.

© Insys Icom

Sind Fernwartungszugänge nicht oder unzureichend beschränkt, so lassen sich über den Zugang für ein bestimmtes System – etwa wegen flacher Netzwerk-Hierarchien – weitere Systeme oder Netze erreichen. Wenn unautorisierte Zugriffe auf diese Systeme möglich sind, können Leib und Leben der Bediener bedroht sein und demzufolge zum Safety-Problem werden. Zur Minimierung der „Reichweite“ von Fernzugängen sind daher eine hinreichend granulare Segmentierung der Netze und die Abschottung der Segmente durch Firewall-Router erforderlich.

Gebot 3: Sei verschlossen!

Beim Insys-Connectivity-Service handelt es sich um einen webbasierten OpenVPN-Server zum komfortablen Management virtueller privater Netzwerke.

© Insys Icom

Verschlossenheit genießen alle Geräte und Handys in deutschen und weltweit in vielen anderen Mobilfunknetzen, da der APN (Access Point Name) des Mobilfunkproviders keine öffentliche IP-Adresse erteilt. Dagegen können Router an Breitbandanschlüssen im Festnetz öffentliche IP-Adressen nutzen. In allen Fällen lauten die generellen Empfehlungen:

Erlaube vorzugsweise nur sichere, ausgehende Verbindungen über eigene virtuelle private Netzwerke (VPN) oder VPN-Dienste wie etwa den Insys-Connectivity-Service. Schütze alle mit öffentlichen IP-Adressen erreichbaren Zugänge durch Firewalls.

Gebot 4: Lass' keine fremden Leut rein!

Firewalls und Filter „haben“ und „nutzen“ sind in der Praxis oft zwei Paar Stiefel. Neben dem Schutz eines sicheren Netzwerkes vor Übergriffen aus einem unsicheren Netzwerk, ermöglichen Firewalls einen autorisierten Zugriff aus dem LAN auf öffentliche Dienste/Netzwerke (WAN). Deshalb ist eine optimal konfigurierte Firewall vergleichbar mit der perfekten Chefsekretärin: Um Kommunikation zu ermöglichen, müssen erlaubte Datenpakete nach dem Prinzip „Verbiete alles, erlaube Notwendiges“ anhand von Regeln explizit angegeben werden.

Einen zusätzlichen Schutz können MAC-Firewalls bieten. Auch wenn MAC-Adressen durch MAC-Spoofing veränderbar und daher keine absolut sichere Methode zur Identifikation von Netzwerk-Geräten sind: Ein MAC-Filter gewährt nur Geräten mit autorisierten MAC-Adressen Zugang zum Netzwerk.

Gebot 5: Lass' Dich nicht aus dem Haus locken!

Dieses Gebot meint beispielsweise: Klicke keine Weblinks in E-Mails von unbekannten Absendern. Im Umfeld der industriellen Datenkommunikation bedeutet dies: Reagiere auf keinen Verbindungsversuch unbekannter Teilnehmer! Wichtig ist auch, dass unverschlüsselte Gerätekonfigurationen für Backup-Zwecke keine sicherheitsrelevanten Informationen (Passwörter, Zertifikate) enthalten dürfen.

Gebot 6: Frage nach der Parole!

Im besten Fall wird die Datenübertragung nur nach zertifikatsbasierter Authentisierung erlaubt und das „Gerät hinter dem Router“ erfordert zum Login Benutzer und Passwort. Dies ist ein wesentlicher Beitrag zur optimalen Mehr-Faktor-Authentisierung durch den Besitz (eines Zertifikats) und das Wissen (eines Passworts).

Gebot 7: Kontrolliere Dienstboten-Eingänge!

Auch wenn Fernzugänge über eine Firewall geführt werden, die den Zugang zum Zielsystem erteilt und überwacht, sollten ungenutzte Ethernet-Ports abgeschaltet werden. Ein absolutes No-Go sind unbeschränkte Backdoors. Diese werden am besten vertraglich untersagt. Moderne Fernwartungsrouter beherrschen Portsecurity. Damit überwachen sie aktive Ethernet-Ports und versenden Meldungen (SMS, E-Mail, SNMP-Trap), beispielsweise bei Ethernet-Link established/lost, um zu erkennen, ob etwa Netzwerkkabel unbefugt aus- oder eingesteckt werden. Empfehlenswert ist  der Meldungsversand auch, wenn erfolgreiche oder erfolglose Login-Versuche stattfinden oder wenn die Konfiguration des Routers geändert wird.

Gebot 8: Leiste Dir eine Schmutzschleuse!

Eine weitere Gegenmaßnahme ist eine demilitarisierte Zone (DMZ). Zugriffspunkte für Fernwartung in einer DMZ bewirken, dass sich externe Mitarbeiter, Dienstleister und Geräte für M2M-Kommunikation erst in die DMZ verbinden und dann von dort aus nur den benötigten Zugriff ins Steuerungsnetz erhalten. Dabei isoliert die DMZ die Netzwerke (LAN, WAN) durch Firewalls voneinander.

Gebot 9: Verkehre nur mit sicheren Partnern!

Erlaube nur ausgehende Verbindungen über eigene virtuelle private Netzwerke (VPN) oder VPN-Dienste auf deutschen Servern unter Nutzung zertifikatbasierter Authentisierung zum Verbindungsaufbau und zur Verschlüsselung der Daten (Kryptografie).

Ziel ist die abhör- und manipulationssichere Kommunikation, vorrangig durch unsichere öffentliche Netzwerke (Internet) aber auch von LAN zu LAN. Bekannte Vertreter sind IPsec und OpenVPN. Der Einsatz von VPN schafft geschlossene Benutzergruppen und stellt auch die Erreichbarkeit von Mobilfunk-Clients wie bei einer „Standleitung“ her.

Gebot 10: Wasche Dir die Hände!

Dienste, die nicht installiert oder nicht gestartet sind, sind nicht angreifbar und stellen kein Sicherheitsrisiko dar. Deshalb läuft beispielsweise auf Geräten von Insys Icom ein gehärtetes Linux-Betriebssystem, bei dem nur ausgewählte und absolut notwendige Dienste installiert sind. Diese Dienste werden nur dann gestartet, wenn deren Nutzung erforderlich ist. Schlussendlich hat der Gerätehersteller dafür zu sorgen, dass nach einem Werk-Reset restlos alle sicherheitsrelevanten Daten wie Konfigurationen, Logfiles, Zugangsdaten und Sicherheitszertifikate von den Geräten gelöscht sind. Ebenso hat der Betreiber bei der Entsorgung der Geräte diesen Aspekt zu beachten!

Auf den Punkt gebracht: Zum Erreichen der grundlegenden Schutzziele in der Informationssicherheit – Vertraulichkeit, Sabotage-/Spionageschutz, Integrität und Verfügbarkeit – braucht es ein ganzheitliches Security Management von der Sicherheitskonzeption bis zur Abschätzung von Restrisiken (Governance, Risk & Compliance). Und nur das Zusammenspiel aus technischen, physischen und organisato­rischen Maßnahmen (Policies & Proce­dures) schafft maximale Sicherheit.

Autor: Robert Torscht ist Applikationsingenieur bei Insys Icom, Regensburg.