Die zunehmende Vernetzung von Maschinen, Anlagen, industriellen Steuerungssystemen sowie Automatisierungslösungen hebt die bisherige physische Trennung der OT (Operational Technology) von anderen IT-Systemen auf. Für den Schutz der jetzt potenziell auch von außen angreifbaren OT-Netze sind klassische IT-Security-Lösungen oft nicht anwendbar. Häufig wird ein wirksamer Schutz durch veraltete Betriebssysteme, nicht erwünschte Eingriffe in laufende Prozesse, nicht umsetzbare Sicherheits-Updates oder nachträgliche Härtungsmaßnahmen verhindert. Jeder zweite erfolgreiche Angriff führte in der Vergangenheit zu Produktions- beziehungsweise Betriebsausfällen, so das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Das Defense-in-Depth-Prinzip

Ein wirksamer Schutz für die Vertraulichkeit, Integrität und Verfügbarkeit von OT-Netzen ergibt sich aus dem Zusammenspiel von Regeln, Verfahren, Maßnahmen und Tools, wie sie unter anderem im Informations-Sicherheits-Management-System (ISMS gemäß ISO/IEC 27000) und der Norm für ‚Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme‘ (IEC 62443) definiert sind sowie unter dem Stichwort ‚Cyberresilienz‘ aktuell diskutiert werden (siehe Kasten: Cyberresilienz: Das neue IT-Security-Paradigma).

In der Norm IEC 62443 definiert das Defense-in-Depth-Prinzip (gestaffelte Verteidigung) den Schutz gegen Cyberangriffe in mehreren Schichten ähnlich einer Zwiebel: Auch wenn eine Sicherheitsschicht überwunden wurde, ist nur ein Teil des Netzes betroffen. Das Gesamtsystem ist durch weitere Sicherheitsebenen geschützt. Diesem Konzept folgend ist es sinnvoll, interne Netzwerke in unterschiedliche Sicherheitszonen aufzuteilen und gestaffelte Schutzlevel zu vergeben. So können besonders sensible Segmente von anderen Bereichen strikt getrennt werden. Die Zonenübergänge und die Kommunikation zwischen den Zonen können durch Industrial Firewalls und entsprechende Filterregeln restriktiv begrenzt werden.

Das Verhalten von Netzkomponenten überwachen

Wer spricht im OT-Netzwerk mit wem? Der KI-gestützte cognitix Threat Defender zeigt aufsummiert, welche Assets in der letzten Stunde oder in den letzten 30 Tagen wie viel Daten-verkehr initiiert (Source Assets) beziehungsweise beantwortet (Destination Assets) haben, sowie den Datenverkehr zwischen den Assets. Basierend auf diesen Analysen können Policies festgelegt, überwacht und durchgesetzt werden.

© Genua

Das Netzmonitoring ist auch für OT-Netze eine geeignete Schutzmaßnahme, um die Anlagenkommunikation zu überwachen und auf Auffälligkeiten zu untersuchen. Hier setzt die KI-gestützte (KI –Künstliche Intelligenz) Anomalie-Erkennung an. „Sie ermöglicht die Erkennung untypischen Verhaltens und somit neben technischen Fehlerzuständen und Fehlkonfigurationen auch die Detektion bisher unbekannter Angriffsformen auf solche Netze“, so die Cyber-Sicherheits-Empfehlung des BSI (BSI-CS 134).

Mit einem System zur Anomalie-Erkennung kann nicht nur der gesamte Netzwerk-Verkehr überwacht, sondern auch das Verhalten der Netzkomponenten (Assets) analysiert werden. Threat Defender richten hierfür ein überwachtes sicheres Netzwerk ein. Verhaltensmuster von Netzwerk-Geräten werden erkannt, klassifiziert und Regeln entsprechend der Klassifikation angewendet. Dabei werden bisher getrennte Funktionen wie Netzwerk-Analyse, Intrusion Detection, Asset Tracking und eine dynamische Policy Engine in einem System zusammengeführt.

Durch eine Bestandsaufnahme (Asset Tracking) des Netzwerks werden zunächst alle Devices und der gesamte Netzwerk-Verkehr im ‚Grundzustand‘ erfasst. Dabei wird die Kommunikation der Geräte untereinander analysiert und für die zulässige Kommunikation werden nach und nach Regeln angelegt. Wird jetzt eine unbekannte Kommunikation erfasst, muss gegebenenfalls die Policy nachjustiert werden. Anderenfalls stellt der neuartige NetzwerkVerkehr eine Anomalie dar, die auf ein Problem oder gar eine Störung beziehungsweise einen Eindringling hinweist.

Netzwerk-Segmentierung sinnvoll

Darüber hinaus ist es sinnvoll, eine dynamische und transparente Segmentierung des Netzwerkes vorzunehmen. Welche Sicherheitsvorgaben für ein Gerät gelten, bestimmt sich dann nicht mehr nach dem Netzwerk-Port oder dem Switch, an dem das Gerät eingesteckt ist. Wie ein Gerät mit den anderen Teilnehmern des gleichen Netzwerkes oder anderer Netzwerke kommunizieren darf, entscheidet sich nun anhand der Funktion und des Verhaltens. Durch diese Zuordnung der Netzwerk-Komponenten können deren Security-Eigenschaften einzeln festgelegt und das Kommunikationsverhalten eingeschränkt werden.

Geschäftskritische Systeme und Prozesse lassen sich jetzt stärker abschotten. So kann beispielsweise der Datenverkehr von Produktionsanlagen mit dem SAP-System als besonders schützenswerter Prozess festgelegt werden. Um das zu erreichen, werden die Produktionsanlagen und Arbeitsstationen als SAP-Devices markiert und für diese Assets Regeln definiert. Darin können beispielsweise Priorisierungen im Datenverkehr, eine maximal Anzahl von Anfragen oder zugelassene Kommunikations-Protokolle festgelegt werden. So werden unerwünschte und problematische Zugriffe auf das SAP-System wirksam blockiert.

Fernwartungszugriffe zuverlässig absichern

Das Rendezvous-Konzept einer sicheren Fernwartung. Sichere Fernwartungslösungen erlauben den Zugang nur von innen nach außen und auch nur zu einer Sicherheitszone.

© Genua

Ein besonders sensibler Eingriff in das OT-Netz erfolgt durch die Fernwartung von Maschinen und Anlagen. Eine vertrauenswürdige Fernwartungslösung sorgt deshalb dafür, dass der Anlagenbetreiber über jeden Zugriff die Kontrolle behält. Sichere Fernwartungslösungen erlauben den Zugang nur von innen nach außen und auch nur zu einer Sicherheitszone. Dies kann mit einem sogenannten Rendezvous-Server mit integrierter Firewall umgesetzt werden, der in der demilitarisierten Zone (DMZ) installiert wird. Durch diese neutrale Zwischenebene wird eine direkte Verbindung mit dem Internet ausgeschlossen. In der DMZ bauen sowohl der Wartungsservice als auch der Maschinenbetreiber zum vereinbarten Zeitpunkt verschlüsselte Verbindungen auf. Erst mit deren Rendezvous auf dem Server in der DMZ und der Hoheit des Empfängers über die Verbindung, zum Beispiel beim initialen Aufbau, entsteht die durchgängige Wartungsverbindung zur betreuten Maschine.

Security für Edge-Computing

Schaubild zur Datenvorverarbeitung an der Edge. Sichere Edge-Gateways schotten Sicherheits-Gateway und Edge-Computing, also die Applikation, strikt ab.

© Genua

Mit Hilfe des Edge-Computing können immer größere Datenmengen beispielsweise von Sensoren maschinennah sofort verarbeitet werden. Zeitkritische Daten müssen nicht mehr komplett über das Netzwerk übertragen werden und sensible Daten können im eigenen Unternehmensnetz verbleiben. Das verkürzt die Reaktionszeit zum Beispiel im Vergleich mit der Datenverarbeitung in einer Big Data Cloud. Für die Absicherung der Daten sorgt ein Edge-Gateway. Sichere Gateways sollten zwei getrennte Bereiche in einer industrietauglichen Hardware bieten, die strikt voneinander abgeschottet sind: eine Computing-Plattform für individuelle Anwendungscontainer und ein Sicherheits-Gateway. Die separierten Bereiche verfügen über jeweils eigene Betriebssysteme sowie fest zugewiesene Hardware-Ressourcen.

Im Bereich der Anwendungsplattform können Maschinenhersteller oder -betreiber mittels Container-Technologie ihre individuelle Anwendung installieren. Die Anwendung ruft über gängige Schnittstellen die Zustands- und Leistungsdaten von der Maschine ab und führt eine Vorverarbeitung der Daten durch. Die Einsatzszenarien sind vielfältig. Beispielsweise können Informationen für die sofortige Auswertungen genutzt werden, während andere in die Cloud übertragen werden. Die Informationen werden also gefiltert und nur diejenigen Daten in die Cloud übertragen, die für die Data-Analytics-Auswertungen benötigt werden.

OPC UA verstärkt die Cybersecurity

Für sensible Anlagenbereichen eignen sich Datendioden. Durch ihre One-Way-Architektur erlauben sie eine risikolose Ausleitung von Daten.

© Genua

Der Kommunikationsstandard OPC UA ermöglicht eine starke und abgesicherte Vernetzung. Bisher überwiegend proprietäre herstellerspezifische Protokolle müssen an den Netzgrenzen nicht mehr umgewandelt werden. Mit OPC UA kann vom Sensor bis in die Cloud ein einziges Protokoll verwendet werden. Das Thema Sicherheit spielt im OPC-UA-Standard von Anfang an eine wichtige Rolle. Dazu wurde ein eigener Security-Layer mitspezifiziert. Dieser legt Mechanismen fest, wie sich Dienste oder Geräte authentifizieren lassen, wie Daten verschlüsselt werden und wie deren Authentifizierung gewährleistet ist.

In der Praxis ist der Anwender allerdings von der Qualität der Implementierung des jeweiligen Herstellers abhängig. Für sensible Anlagen und Netzsegmente können daher ergänzende Sicherheitslösungen wie Datendioden sinnvoll sein. Sie lassen nur eine unidirektionale Kommunikation zu, um beispielsweise Daten aus sensiblen Industrieanlagen risikolos in ‚unsichere Umgebungen‘ wie das Internet oder eine Cloud auszuleiten. Ohne Rückkanal haben Angreifer dann in keinem Fall Zugriff auf die Maschinen oder Anlagen.

Geringer Aufwand, hoher Schutz

Steve Schoner ist Strategic Product Marketing Manager für industrielle Cyber-sicherheit bei Genua.

© Genua

In der OT-Security kann mit heutigen Technologien eine hoher Schutzlevel gegen Cyberrisiken mit überschaubarem Aufwand erreicht werden. Dabei sollte der Fokus auf einer adäquaten Sicherheit liegen. Cybersicherheit ist allerdings kein Feenstaub, der zum Projektabschluss kurz einmal aufgetragen wird. OT Security ist von Anfang an und in allen relevanten Dimensionen zu berücksichtigen. Und wenn man nachrüsten möchte, sollte dies möglichst herstellerunabhängig geschehen, um einen Vendor Lock-in zu vermeiden. Das Ziel besteht darin, durch technische und organisatorische Maßnahmen gestaffelte Schutzlevel zu schaffen und die wichtigsten Daten und Systeme des Unternehmens besonders zu schützen. Durch diese Cyberresilienz wird darüber hinaus sichergestellt, dass Kernprozesse und Kerninfrastrukturen auch bei Cyberangriffen aufrechterhalten oder zumindest schnell wieder auf die volle Leistung hochgefahren werden können.

Sichere Datenausleitung

Die Interessengemeinschaft Automatisierungstechnik der Prozessindustrie (NAMUR) hat sich mit der ‚NAMUR Open Architecture‘ (NOA) zum Ziel gesetzt, Produktionsdaten einfach und sicher für eine Anlagen- und Geräteüberwachung (Monitoring) und für Optimierungen nutzbar zu machen – auch für bestehende Anlagen. Die NAMUR-Initiative schlägt zur direkten Ausleitung von Prozessdaten zusätzlich zu den vorhandenen Automatisierungsstrukturen einen sicheren One-Way-Kanal vor. Auf diesem zweiten Kanal können die Daten rückwirkungsfrei übertragen werden. Für die Sicherheit des Datentransfers soll eine Diode sorgen, die ungewollte und unkontrollierte Datenströme in Richtung des Senders verhindert. So ermöglicht die ‚cyber-diode‘ von Genua einen solchen sicheren Einbahn-Datentransfer, indem sie per Produkt-Design keine Kommunikation zulässt. Im Sinne des Defense-in-Depth-Prinzips schützt sie mit ihrem hohen Sicherheitsstandard als ergänzende Sicherheitsmaßnahme besonders sensible Netzwerk-Segmente. Diese sind dann de facto von außen nicht mehr angreifbar.