zuruck zur Themenseite

Artikel und Hintergründe zum Thema

Industrial Security

Andreas Fuß | Günter Herkommer,

Der sichere Service-Zugang

Die Anzahl verknüpfter Produktionsnetzwerke wird im Zeitalter von Industrie 4.0 stetig steigen. Allerdings stellt der Zugriffsschutz komplex vernetzter Maschinen und Anlagen die Betreiber vor große Herausforderungen – unter anderem was den Service-Zugang betrifft.

© Phoenix Contact

Um im Rahmen des Zukunftsprojekts Industrie 4.0 eine Durchgängigkeit der Daten und Services zu erreichen, werden die Produktionsnetze immer stärker mit unternehmensweiten Netzwerken – den Office-Systemen – und damit letztendlich mit dem Internet verbunden. Während sich fertigungsbedingte Datenströme auf ein definiertes Maß reduzieren und die Maschinen und Anlagen folglich durch Anwendung bekannter Best-Practise-Methoden – wie der Schaffung einer Sicherheitsarchitektur nach dem Defense-in-Depth-Prinzip gemäß ISA99 und IEC 62443 – schützen lassen, erweist sich der Wartungs- und Programmierzugriff auf solche Systeme als besondere Aufgabenstellung.

Wie beim Zwiebelprinzip werden bei der Realisierung einer Sicherheitsarchitektur nach dem Defense-in-Depth-Verfahren mehrere Netzwerk-Schichten aufgebaut, die untereinander durch Zugriffsbeschränkungen abgesichert sind. Die äußere Schicht ist dabei mit dem Internet verbunden und stellt somit die am wenigsten vertrauenswürdige Ebene dar. Der erzielte ‚Trust Level‘ nimmt mit jeder weiteren Netzwerkschicht zu. Im Innersten der ‚Netzwerk-Zwiebel‘ sind also besonders schutzbedürftige Systeme angesiedelt – in Produktionsnetzwerken die Maschinen und Anlagen mit ihren Komponenten. Ihre Systeme werden aufgrund der Bildung nicht sichtbarer Subnetze durch NAT (Network Address Translation) und Masquerading sowie das Setzen von Zugriffsbeschränkungen, die nur die für die Fertigung absolut erforderlichen Datenströme zulassen, abgesichert.

Um Service- und Wartungsaufgaben durchführen zu können, müssen die entsprechenden Mitarbeiter des Betreibers ebenso wie die externen Service-Techniker des Maschinenbauers Zugriff auf diese besonders geschützten Netzwerk-Bereiche erhalten. In der Vergangenheit konnten sie sich dazu oftmals über eigene Knoten einwählen. Direkt aus dem Telefonnetz erreichbare Einwahlknoten erweisen sich jedoch als erhebliches Security-Risiko. Denn die einwählende Person kann auf das gesamte Netzwerk zugreifen und muss sich bei den meisten dort angehängten Systemen nicht einmal authentifizieren. Heute wird diese veraltete Technik häufig durch gängige VPN-Fernwartungszugänge ersetzt.

Anzeige

Durch eine Service-Netzwerk-Zone lassen sich sowohl die Nutzer-Authen­tifizierung, als auch genaue Zugriffsberech­tigungen und zudem Auf­zeichnungen der Zugriffe realisieren.

© Phoenix Contact

Die heute gängigen VPN-Lösungen erlauben zwar eine Identitätsprüfung des zugriffsberechtigten Personenkreises und eine verschlüsselte Datenübertragung; der Zugriffsberechtigte hat allerdings weiterhin freien Zugang zum geschützten Netzwerk. Zudem wird dem Maschinenbetreiber durch die Verschlüsselung der Einblick in die Daten und damit jegliche Kontrolle verwehrt. Deshalb lässt sich ein schädigendes Ereignis auch nicht zurückverfolgen. Ein weiteres Problem des Konzepts resultiert daraus, dass jeder Maschinenbauer das von ihm präferierte Fernzugriffs-System verwenden möchte. Auf diese Weise entstehen heterogene, nicht beherrschbare IT-Landschaften. Darüber hinaus lösen die VPN-Fernwartungszugänge nicht die Herausforderung, den Service-Technikern des Betreibers einen kontrollierten und authentifizierten Zugriff zur Verfügung zu stellen, da die VPN-Fernwartungszugänge meist durch die Maschinenbauer installiert werden.

Werden den internen Service-Mitarbeitern weitreichende Zugangsrechte zu den Maschinen und Anlagen gewährt, führt das wiederum zu einer deutlichen Verringerung des erzielten Security ­Levels. Daher sollten Zugänge zu dem geschützten Netzwerk nicht nur hinsichtlich einer Nutzer-Authentifizierung sondern auch bezüglich der für diese Nutzer erlaubten Zugriffe stets auf ein notwendiges Maß reduziert werden. Als Lösungsansatz entwickelte das ‚ICS Security Consulting‘ von Phoenix Contact daher ein neues Konzept: die Einrichtung einer separaten isolierten Netzwerk-Zone – auch Service-Netzwerk genannt – zur Übergabe respektive zum Routing und vor allem zur Kontrolle und Begrenzung der Service-Verbindungen. Im Bereich der Informationstechnik wird eine derartige Netzwerk-Zone auch als demilitarisierte Zone bezeichnet.

Kontrolle über alle Verbindungen

‚Security Appliances‘ sichern die einzelnen Fertigungszellen ab und ermöglichen ferner die Bildung von Service-Netzwerk-Zonen als Übergabepunkt für entsprechende Service-Verbindungen.

© Phoenix Contact

Mit industrietauglichen Security Appliances lassen sich die einzelnen Fer­tigungszellen absichern. Zudem ermöglichen diese Geräte die Bildung der angesprochenen Service-Netzwerk-Zonen. Das Service-Netzwerk wird auf der Ebene des Produktions-Netzwerks angesiedelt. Beide Netzwerke werden durch die Security Appliances separiert und voneinander isoliert.

Aufgrund ihrer konsequenten Ausrichtung auf die ICS-Security umfassen Appliances wie etwa die Geräte der mGuard-Familie von Phoenix Contact genau den Funktionsumfang, der zur Umsetzung der geschilderten Aufgaben benötigt wird, und fungieren außerdem als Zugangspunkt zu den einzelnen Netzwerken der Produktionszellen. Diese Netzwerke sind über VPN-Verbindungen transparent in das Service-Netzwerk integriert. Entsprechende Service-Verbindungen auf Basis von VPN lassen sich aus den Produktionszellen heraus auf- und abbauen – etwa mittels eines Schlüsselschalters, der die Security Appliances über die inte­grierten digitalen I/Os ansteuert. Alternativ kann der Maschinenbediener ein HMI-Gerät verwenden, wobei hier interne Netzwerk-Events verschickt werden. So behält er jederzeit die Kontrolle über mögliche Service-Verbindungen. Innerhalb der VPN-Verbindungen können Firewall-Regeln festlegen, welche Service-Zugriffe autorisiert sind. Ist der Einsatz von VPN-Verbindungen in den internen Netzwerken nicht gestattet, stellen die Funktion GRE-Tunnel (Generic Routing Encapsulation) sowie Conditional Firewall – also schaltbare Firewall-Regelsätze – die gleiche Funktionalität zur Verfügung.

Aktivierung dynamischer Firewall-Regeln

Die Techniker des Maschinenbetreibers werden im Service-Fall über VPN-Verbindungen oder per direkten Zugriff in das Netzwerk eingebunden.

© Phoenix Contact

Die externen Service-Techniker des Maschinenbauers werden bei dem geschilderten Ansatz per VPN an die Service-Netzwerk-Zone angebunden. Sämtliche Zugriffe können dabei so konfiguriert werden, dass sich der jeweilige Techniker über die Benutzer-Firewall der Security Appliances authentifizieren muss. Dieses Verfahren eröffnet die Möglichkeit, dynamische Firewall-Regeln für definierte Benutzer zu aktivieren. Die Regeln gelten für die IP-Adresse, die zur Authentifizierung genutzt worden ist. Auf diese Weise können jedem Techniker nur bestimmte Zugriffe erlaubt werden und es lässt sich somit ein mehrstufiges Sicherheitskonzept erzeugen. Sofern der Betreiber die vom Maschinenbauer präferierten VPN-Lösungen akzeptiert, sind entsprechende Endgeräte innerhalb der Service-Netzwerk-Zone zu platzieren.

Abschließend lässt sich festhalten: Die Bereitstellung von Service-Zu­gängen zu Maschinen und Anlagen bringt den Betreibern erhebliche Vorteile, stellt sie aber ebenso vor große Herausforderungen in puncto Zugriffssicherheit. Letztlich ist Security nicht statisch, sondern muss gelebt werden. Das heißt auch: Vom Anwender über den Administrator bis zu den ­Sicherheits-Verantwortlichen sollten sämtliche Beteiligten den gleichen Wissensstand aufweisen.

Autor:
Andreas Fuß ist tätig im Bereich Marketing Network Technology bei Phoenix Contact Cyber Security, Berlin.

  • Xing Icon
  • LinkedIn Icon
Anzeige
zurück zur Themenseite
Anzeige

Das könnte Sie auch interessieren

Anzeige
Anzeige
Anzeige

Cybersicherheit

Vier von zehn ICS-Computern sind bedroht

Der aktuelle Report von Kaspersky zu Cyberbedrohungen für die erste Jahreshälfte 2019 zeigt: 41,2 % der ICS-Computer (Industrial Control System) waren einer Attacke ausgesetzt. Der Energiesektor ist dabei am häufigsten betroffen – unter anderem von...

mehr...
Anzeige
Anzeige
Anzeige
Anzeige
Jetzt Newsletter abonnieren