Verschiedene Faktoren haben zur Annäherung von Unternehmensnetzwerken und Automatisierungstechnologien geführt. Längst nutzen viele Unternehmen die IT-Infrastruktur für klassische Unternehmensanwendungen und die Fertigungsautomation, nicht nur, um die Kosten für Netzwerk-Bereitstellung und -Management zu senken. Ebenso steigt der Bedarf an Re­mote-Zugriffen für Datenabfragen und Support der Anlagen über die Steuerungssysteme.

Auch die Anbindung der Unternehmenssoftware ans Internet, um Kunden und Lieferanten Zugriff auf Informationen zu gewähren, macht die IT-Systeme der Unternehmen anfällig für externe Bedrohungen wie Würmer, Viren und Hacker. Dies steigert signifikant die Verwundbarkeit der sensiblen und vertraulichen Daten. So wird es für Systemadministratoren immer schwieriger, den Spagat zwischen notwendiger Zugänglichkeit und ausreichendem Schutz der Integrität und Nutzbarkeit ihrer unternehmenskritischen Steuerungssysteme zu schaffen.

Die Angriffsfläche reduzieren

Einer der effektivsten Wege, mit dem Konflikt zwischen effizientem Zugriff und effektiver Sicherheit umzugehen, besteht darin, so wenig Schnittstellen und Protokolle wie möglich zwischen dem Steuerungssystem und den externen Netzwerken zu nutzen. Eine einzige genehmigte Verbindungslösung, welche die verschiedenen Unternehmensanforderungen erfüllt, senkt nicht nur die Kosten für Bereitstellung und Verwaltung, sondern bietet Angreifern auch weniger Möglichkeiten, einzudringen. OPC, das früher für OLE for Process Control stand, heißt nun offiziell OPC Klassik und ist der am meisten verbreitete Integrationsstandard in Industrieumgebungen. Er kommt sowohl in zahlreichen Industrie- als auch Geschäftsapplikationen zum Einsatz.

Anhand von auf OPC ausgelegten Schutzebenen lassen sich Hochsicherheitslösungen entwickeln, welche die Erwartungen in Bezug auf Sicherheit und Zugänglichkeit gleichermaßen erfüllen, ohne das Netzwerk- oder Steuerungsteam durch administrative Aufgaben zu überlasten. Der Aufbau mehrerer Schutzmechanismen auf verschiedenen Ebenen ist der zweite Schritt zu einer verbesserten Sicherheit. Diese als tief gestaffelte bezeichnete Verteidigung („Defense in depth“) begegnet den einzelnen Risiken mit unterschiedlichen Verteidigungsstrategien. Der offensichtlichste Vorteil dieses Konzepts besteht darin, dass beim Versagen einer Schutzebene die nachfolgende Schutzebene anhand einer anderen Sicherheitsmethode ein weiteres Eindringen verhindert.

Ein subtiler, aber genauso großer Vorteil: Die Schutzebenen können jeweils für die Abwehr einer spezifischen Bedrohungsart optimiert werden. Beispielsweise erfordert die Verteidigung gegen einen Standard-Computerwurm andere Techniken als die gegen frustrierte Mitarbeiter oder Industrie-Spionage. Der Schlüssel zur Verbesserung der einzelnen Ebenen einer tief gestaffelten Verteidigung ist, auf jeder Schutzebene den Kontext der zu schützenden Informationen oder Systeme zu berücksichtigen.

Sicherheit industrieller Steuerungen

Eine Firewall für industrielle Steuerungssysteme funktioniert ähnlich wie das Wachpersonal einer Bank: Sie lässt bestimmte Protokolle entweder zu oder verwehrt ihnen den Zugriff auf das Steuerungsnetz. Komplexere Scada-fähige Firewalls beobachten und analysieren dabei auch den Datenverkehr hinter den augenfälligen Protokolltypen und treffen zusätzliche Filterentscheidungen basierend auf dem Verhalten und dem Kontext der Systeme, die diese Protokolle innerhalb des Netzwerks verwenden.

OPC-Server mit einer robusten Implementierung der OPC-Sicherheitsfunktionen können wie ein gut geschulter Schalterangestellter funktionieren und anhand von vorgegebenen Kriterien entscheiden, wer Zugriff auf bestimmte Informationen und Systeme erhält. Nachdem ein Nutzer eine Verbindung zu einem OPC-Server hergestellt hat, sorgt dessen Security-Konfiguration dafür, dass er nur auf die für ihn bestimmten Datensätze zugreifen kann. Versuche, auf andere Daten zuzugreifen, werden idealerweise geblockt, aufgezeichnet und gemeldet. Der für die anwendungsbezogene Sicherheit zuständige OPC-Server und die Firewall, die für Netzwerksicherheit sorgt, bilden dabei ein Team.

Die meisten TCP/IP-Protokolle, wie Modbus-TCP und andere, senden in jeder Nachricht eine international anerkannte Nummer (Portnummer genannt) mit, um die Nachricht als Teil einer bestimmten höheren Protokollschicht zu kennzeichnen. Durch diese konsistente Protokoll-Identifizierung ist es für Firewalls einfach, Nachrichten bestimmter Protokolle zu blockieren oder sie passieren zu lassen. Um zum Beispiel den gesamten Modbus-TCP-Traffic zu blockieren, muss eine Firewall nichts weiter tun, als nach Nachrichten zu suchen, welche die dem Modbus-TCP-Protokoll zugeordnete Nummer – nämlich 502 – in bestimmten Feldern enthalten.

Die Schwachstellen von OPC Klassik

Standard-OPC-Server verwenden keine festen TCP-Portnummern. Stattdessen weist der Server jedem Prozess, über den er mit OPC-Clients kommuniziert, dynamisch eine neue TCP-Portnummer zu. Der OPC-Client muss diese Portnummern dann herausfinden, indem er sich mit dem OPC-Server verbindet und nachfragt, welche TCP-Portnummer er für die Sitzung verwenden soll. Danach stellt der OPC-Client unter Verwendung der neuen Portnummer eine TCP-Verbindung zum OPC-Server her. Da OPC-Server alle Portnummern zwischen 1024 und 65535 verwenden, gilt OPC Klassik als „Firewall-unfreundlich“.

Herkömmliche IT-Firewalls so zu konfigurieren, dass sie dieses breite Spektrum an Ports offen lässt, wäre fahrlässig. Alle Ports zu sperren, hieße wiederum, die gesamte OPC-Kom­munikation zu blockieren. Neue OPC-fähige Firewalls lösen das Dilemma von OPC Klassik, indem sie die dynamischen Ports automatisch verfolgen und verwalten. Solche Firewalls lassen sich in bestehende Netzwerke installieren, ohne Änderungen an den bereits vorhandenen OPC-Clients und -Servern oder am Netzwerk vornehmen zu müssen.

Anwendungsbezogene Sicherheit

In Bezug auf die Sicherheit ihrer OPC-Server setzen praktisch alle OPC-Anbieter ausschließlich auf DCOM und bieten keine speziellen Sicherheitsmaßnahmen wie Zugriffskontrollen. Stattdessen vertrauen die Automatisierer bei OPC-Installationen häufig auf eine funktionierende Unternehmensfirewall und eine korrekte DCOM-Konfigura­tion als Schutzmaßnahme. Offene Firewalls und freizügige DCOM-Zugriffsrechte sind jedoch nach wie vor verbreitete Schwachstellen in Unternehmensnetzwerken.

Selbst korrekt konfigurierte Systeme bieten keine ausreichende Granularität der Sicherheitsfunktionen, um das System vollständig zu schützen. Das Problem: Unternehmensfirewalls und die allgemeine Windows-DCOM-Sicherheit sind nicht auf den OPC-Kontext ausgelegt. Um eine anwendungsbezogene Sicherheit zu gewährleisten, zum Beispiel durch eine Zugriffssteuerung, braucht es daher OPC-spezifische Sicherheitsmaßnahmen und eine sorgfältig geplante OPC-Architektur. Nur durch speziell auf OPC ausgelegte Sicherheitsprodukte, welche die OPC-Sicherheitsspezifikation unterstützen und die darüber zur Verfügung gestellten Informationen richtig nutzen, lässt sich ein effektives Schutzniveau gewährleisten.

Die Sicherheitsspezifikation der OPC Foundation basiert auf einer Client-Identifizierung durch vertrauenswürdige Anmeldedaten, anhand derer der OPC-Server über die Zugriffsrechte entscheidet. Somit können OPC-Produkte, die diese Spezifikation umsetzen, spezielle Sicherheitskontrollen für das Hinzufügen, Durchsuchen, Lesen und/oder Schreiben einzelner OPC-Elemente bereitstellen. Damit die jeweils passende Zugriffsstufe zum Einsatz kommt, müssen die Client-Anwendungen verstehen, in welchem Kontext (Rollen) bestimmte Anwender auf Informationen zugreifen: Der Automatisierungsexperte benötigt zum Beispiel volle Lese- und Schreib­zugriffe auf alle Tags, Bediener brauchen wiederum nur eingeschränkte Rechte.

Kombinierte Sicherheit

Sicherheitsbewusste Automatisierer setzen daher auf eine Kombination aus speziell auf Steuerungsnetzwerke ausgelegte Sicherheitspraktiken, ordnungsgemäß entworfenen OPC-Architekturen – das bedeutet, die Kommunikationswege und Zugriffsrechte sind klar de­finiert – sowie auf OPC-orientierte Sicherheitsprodukte. Damit lässt sich der Schutz bestehender Systeme deutlich verbessern, ohne dass Geräte ausgetauscht werden müssen oder spezifische IT-Erfahrung notwendig wäre.

Das MatrikonOPC-Security-Gateway und der Tofino-OPC-Enforcer sind beispielsweise Komponenten, mit denen sich die OPC-basierte Kommunikation schützen lässt. Das Security-Gateway unterstützt alle OPC-Server, die konform zu den Spezifikationen der OPC-Foundation sind, und kann somit Sicherheitslücken in bestehenden OPC-Architekturen schließen. Es ermöglicht einen konfigurierbaren Zugriff auf existierende OPC-Architek­turen und eine uneingeschränkte Kontrolle für den Anwender. Bei allen OPC-Servern oder -Produkten, die auf den klassischen OPC-Spezifikationen beruhen, besteht die Möglichkeit, drei Sicherheitsstufen zu implementieren:

• Kein Schutz: Start- und Zugriffsbe­rechtigungen für den OPC-Serverwerden jedem gewährt und Zugriffsberechtigungen für Clients bestehen ebenfalls für jeden. Der OPC-Server steuert nicht den Zugriff auf an­bieterspezifische Sicherheitsfunktionen.
• DCOM-Sicherheit: Nur die Standard-Windows-DCOM-Sicherheit ist umgesetzt. Start- und Zugriffsberechtigungen für den OPC-Server lassen sich auf ausgewählte Clients beschränken, ebenso die Zugriffsberechtigungen für Client-Anwendungen. Der OPC-Server steuert jedoch nicht den Zugriff auf spezifischere Sicherheitsfunktionen.
• OPC-Sicherheit: Unterstützt die OPC-Sicherheitsspezifikation. Der OPC-Server dient als Referenzüberwachung und steuert den Zugriff auf die spezifischen Sicherheitsfunktionen. Ein Server kann die OPC-Sicherheit oder zusätzlich die DCOM-Sicherheit implementieren.

Autoren: Eric Byres ist Chief Technology Officer bei Byres Security.

Darek Kominek ist Manager OPC Marketing bei der Firma MatrikonOPC.

Security-Gateway und OPC-Enforcer

Das Security-Gateway von MatrikonOPC basiert auf der Sicherheitsspezifikation der OPC-Foundation und steuert für jeden Benutzer und für jeden Datenpunkt, welche Anwender Elemente durchsuchen und zu Gruppen hinzufügen dürfen sowie Lese- und Schreibzugriff erhalten. Diese granulare Kontrolle über den Datenzugriff verhindert unbeabsichtigte oder nicht
autorisierte OPC-Datenzugriffe auf OPC-Server.

Durch das Security-Gateway, das als OPC-Server mit der höchsten Sicherheitsstufe verwendet wird, können nur Anwender auf Daten der hierarchisch darunter liegenden, ungesicherten OPC-Server zugreifen, die zuvor vom Systemadministrator die entsprechenden Berechtigungen
erhalten haben. Ein solcher rollenbasierter Sicherheitsansatz unterstützt die Strategie einer tief gestaffelten Verteidigung der IT-Netzwerke.

Robuste Sicherheit und Stabilität für alle Systeme, die OPC Klassik anwenden, bietet der Tofino OPC-Enforcer. Im Gegensatz zu anderen Firewalls überprüft, verfolgt und sichert dieses Tool jede von einer OPC-Anwendung hergestellte Verbindung und gibt nur den TCP-Port frei, der für den Verbindungsaufbau zwischen OPC-Client und OPC-Server benötigt wird. Der OPC-Enforcer ist ein Modul der Tofino-Lösung für Industriesicherheit der Firma Byres Security. Die Lösung schützt Steuerungen und Scada-Systeme und erfordert bei der Implementierung keinen Anlagenstillstand.