Wie muss ein zeitgemäßes Cybersicherheitssystem aussehen? Die Firma Sematicon hat sich beispielsweise mit ihrem System „se.MIS“ zum Ziel gesetzt, die Integration in industrielle Anlagen auf Basis moderner IT-Sicherheitsstandards nach dem Zero-Trust-Modell zu gewährleisten, ohne diese durch zusätzliche Software oder Updates zu verändern und diese damit vor Cyberangriffen zu schützen. Die Gesamtlösung basiert auf einem digitalen Wartungsbuch, das sämtliche Anlagen, Änderungen und Zugriffe dokumentiert und damit ein lückenloses Protokoll erstellt. Zudem werden die Anforderungen nach IEC-62443 berücksichtigt.

IT-SiG 2.0: Vorschriften erfüllt

Die Software-Architektur folgt dabei der Zero-Trust-Architektur nach Empfehlung des deutschen Bundesamtes für Informationssicherheit (BSI) um die besonders sensiblen Industrie-netze wartungsfrei zu schützen und erfüllt damit auch die IT-SiG-2.0-Vorschriften. Das 2015 eingeführte IT-Sicherheitsgesetz betraf Unternehmen der sogenannten kritischen Infrastruktur (KRITIS). Diese wurde nun um den Bereich der Siedlungsabfallentsorgung erweitert.

Neu sind in der Version 2.0 spezielle Pflichten auch für „Unternehmen im besonderen öffentlichen Interesse“. Darunter fallen die Unternehmen, die nach Ansicht des Gesetzgebers von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind oder die für solche Unternehmen als Zulieferer wegen ihrer Alleinstellungsmerkmale wesentliche Bedeutung haben (§ 2 Abs. 14 S. 1 Nr. 2 BSI-Gesetz neu). Auch Rüstungshersteller fallen mittlerweile darunter. Damit weitet der Gesetzgeber den Anwendungsbereich deutlich aus. Auch Unternehmen, die keinem der in § 2 Abs. 10 BSI-Gesetz aufgezählten Sektoren angehören, sollten jetzt deshalb sorgfältig prüfen, ob sich für sie aus dem IT-Sicherheitsgesetz 2.0 neue Pflichten ergeben können. Die inhaltliche Erweiterung des Gesetzes verlangt, dass sich Betreiber kritischer Infrastrukturen unmittelbar beim BSI registrieren. Ab dem 01.05.2023 müssen diese zudem Systeme zur Angriffserkennung einsetzen.

Isolierung von Techniker und Anlage

Das Konzept der Isolation zwischen Techniker und Anlage in dem erwähnten Sicherheitssystem stellt sicher, dass der Techniker zu keiner Zeit direkten Netzwerkzugriff auf die Anlage bekommt. Somit lassen sich unsichere oder ungepatchte Systeme wie Windows XP oder Windows 7 problemlos anbinden. Bei entsprechender Konfiguration kann ein Virenscanner auf dem Zielsystem ebenso entfallen. Alle Datei-Transfers werden im Wartungsbuch dokumentiert und sind mit führenden und etablierten Lösungen auf Viren und Schadcode überprüfbar bevor diese das Zielsystem erreichen. Auch softwarebasierte Datendioden sind möglich. So besteht einerseits die Möglichkeit Daten zwischen Zielmaschine und Wartungsbuch auszutauschen, während der Up- beziehungsweise Download zum Techniker-PC vollständig unterbunden ist. Sensible Daten lassen sich so vor dem Abfluss aus dem Unternehmen schützen beziehungsweise die Schadsoftware erreicht das Unternehmen erst gar nicht.

Sicherheit gut managen

Die Software-Architektur folgt der Zero-Trust-Architektur nach Empfehlung des deutschen Bundesamtes für Informationssicherheit (BSI) um die besonders sensiblen Industrienetze wartungsfrei zu schützen und erfüllt damit auch die IT-SiG-2.0-Vorschriften.

© Sematicon

Kernstück des Sicherheitssystems ist der se.MIS-Manager, in dem die Benutzerinteraktion stattfindet. Das Gesamtsystem wird im internen Netz betrieben und ist im Idealfall das einzige System mit indirektem Zugriff auf das isolierte Maschinen-netzwerk. Der erwähnte Manager kann in der Cloud oder vollständig auf einem lokalen System außerhalb des isolierten Maschinennetzwerks installiert sein. Die komplette Lösung wird als digitaler Container vorinstalliert und vorkonfiguriert ausgeliefert. In der Standardkonfiguration ist auch bereits eine interne, zuverlässige Datenverwaltung vordefiniert. Die Bedienung und Konfiguration des Gesamtsystems erfolgen über ein schlankes, benutzerfreundliches Web-Interface. Steht ein Update an, wird lediglich der Container getauscht, Daten und Konfiguration bleiben davon unberührt. So ist es einfach, das System stets aktuell zu halten und an die jeweiligen Anforderungs- und Bedrohungslagen anzupassen. Damit ist auch ein ausschließlich lesender Zugriff realisierbar. Das optional verfügbare Access-Gateway erlaubt es externen Benutzern aus dem Internet auf das System zuzugreifen, ohne dass aus dem internen Netz heraus die Firewall geöffnet werden muss.

Betrieb in der Cloud

Die Autorin: Corinna Weiss verantwortet den Bereich Marketing und Presse bei CyProtect.

© Sematicon

Wird das System nicht lokal, sondern in einer Cloud-Umgebung wie beispielsweise Microsoft Azure betrieben, so gliedert sich das System in den Kunden-Tanant ein. Die industrietaugliche Sicherheitslösung steht jetzt innerhalb eines Kubernetes-Clusters weltweit zu Verfügung. Durch die intelligente Architektur können native Cloud-Lösungen wie Datenbanken, File-Storage und Azure-AD für das Authentisieren genutzt werden. Durch konsequente Nutzung von Web-Standards steht auch die ganze Bandbreite von Cybersecurity-Lösungen der Cloud zur Verfügung.

Der ebenfalls optionale Connector ermöglicht über eine indirekte Verbindung einen sicheren Zugriff aus dem IT-Netz in das Maschinennetzwerk. Oder er unterstützt dabei die Cloud mit der Maschine zu verbinden. Dieses neuartige Verfahren gewährleistet die vollständige Kontrolle bei gleichzeitig vollständiger Isolation und ist somit einer klassischen VPN-Verbindung sicherheitstechnisch weit überlegen. Der Connector steht sowohl als Hardware als auch als Softwarelösung zur Verfügung. Er kann in virtuellen Umgebungen sowie als Docker-Container in Bestands-Lösungen, Switches, Firewalls und Edge-Gateways von Drittfirmen integriert werden. Aufgrund dieser Hardwareunabhängigkeit und dem Verzicht auf VPN-Technik ist die Lösung weltweit einsetzbar. Durch die zentrale Administration ist diese Komponente selbst wartungsfrei. Die Stärke des Connectors zeigt sich vor allem in Umgebungen die bereits segmentiert und über VPN-Technik verbunden sind. Die Plattform kann die meisten vorhandenen Firewalls und VPN-Technik weiternutzen, was eine Hardwareänderung an der Maschine unnötig macht und die Migration deutlich vereinfacht. Dies erlaubt eine individuelle Anpassung an die vorhandenen Schnittstellen und Anschlussmöglichkeiten der Maschinenumgebung.

Die Frage der Konfiguration

Die einfach zu konfigurierende Sicherheitsplattform lässt sich perfekt in das System von Drittherstellern integrieren, kann Firewalls steuern und temporäre Wartungszugriffe erlauben, was eine konsequente Microsegmentierung begünstigt. Auch lässt sich das Wartungsbuch in vorhandene IoT-Lösungen integrieren, um im Fehlerfall rund um die Uhr geschützte „Just-in-Time“-Zugriffe auf die Anlage zu ermöglichen, und dass bei gleichzeitiger automatischer Dokumentation des Eingriffs durch den Techniker. Ist die Anlage von detektierbaren Fehlern befreit, kann der Technikerzugriff automatisiert wieder entzogen werden. Durch das Wartungsbuch lässt sich der Einsatz durch Integration in ERP-Systeme automatisch abrechnen. Einbruchserkennungssysteme oder Netzwerkanalysesysteme lassen sich vor einem Zugriff in den Wartungsmodus versetzen, um Falschalarme zu vermeiden.

Sicherer SPS-Zugriff

Beim Zugriff auf SPS-Steuerungen wird die Isolation konsequent fortgesetzt. Durch die Optionen „PLC-Guard“ lassen sich Zugriffe auf Steuerungen wie die Simatic S7 reglementieren. Der Softwaredownload auf die SPS kann disassembliert und mit dem Wartungsvorhaben verglichen werden. So hat auch unbekannter SPS-Schadcode keine Chance in das System einzudringen. Natürlich stehen auch klassische IP-Verbindungen für proprietäre Systeme oder eigene Anwendungen zur Verfügung. Aber auch diese können vollständig als PCAP dokumentiert werden, was eine spätere Analyse beispielsweise mit der OpenSource-Lösung WireShark ermöglicht.

Die KVM-Extender (optional) ermöglichen den Zugriff auf Systeme, die über keinen Netzwerkzugang verfügen beziehungsweise diesen ausschließen (kritische Infrastruktur). Mit dem KVM-Analog-Extender ist es möglich, Tastatur-, Maus- und Bildschirmsignale eines Steuerungs-PCs digital in den Manager zu übergeben. Mit Hilfe dieser Erweiterungen lassen sich alle Arten von Geräten mit VGA, DVI, USB- oder PS/2-Anschluss, beispielsweise alte Maschinen mit MS-DOS, Windows CE, Windows 3.11 oder einem anderen System, aus der Ferne steuern.