Um unterschiedlichen Bedrohungsszenarien flexibel begegnen zu können, werden heutzutage Security-Strategien umgesetzt, die aus mehreren Schutzschichten bestehen: Im Kern befinden sich die Automatisierungskomponenten. Dann folgt das Netzwerk, über das diese Komponenten mit anderen Komponenten oder auch mit einem ERP-System kommunizieren können. Die oberste Schicht bildet die Fabrik, die durch ein Firewall-Konzept nach außen abgeschirmt wird.

Solche Konzepte reichen jedoch nicht aus, um Anlagen rundum zu schützen. Denn Bedrohungen können ebenso von innen, also von Mitarbeitern selbst, ausgehen. Daher bildet der physische Schutz gegen einen unberechtigten Zugriff auf Netzwerkgeräte wie Firewalls, Switche und Automatisierungskomponenten die Grundlage jeder Security-Strategie. Nur wenn diese Geräte nicht frei zugänglich sind, lässt sich verhindern, dass sie vor Ort manipuliert werden können.

Eine einfache Maßnahme kann darin bestehen, all diese Komponenten quasi hinter verschlossenen Türen zum Beispiel in abschließbaren Schaltschränken oder Verteilerkästen zu installieren. Zugleich lässt sich dadurch das Risiko von Bedienfehlern durch nicht befugtes Personal deutlich reduzieren.

Anders sieht es direkt an der Maschine und in den Maschinenparks aus: Wenn Betrieb, Einrichten, Wartung und Instandsetzung wirtschaftlich sein sollen, ist ein direkter und vor allem sicherer Zugriff des Menschen auf die Maschine beziehungsweise den Maschinenpark erforderlich. Mit den genannten Tätigkeiten an der Maschine sind unterschiedliche Rollen und Berechtigungen verbunden – vom Maschinen-Bediener bis hin zum Service-Techniker. An dieser Stelle benötigt der Betreiber eine Benutzerverwaltung, die den Zugriff zur Maschine je nach Befugnissen oder Fähigkeiten regelt. Das Human Machine Interface (HMI) dient dabei in der Bedienerschnittstelle.

Regelwerk zu Security und Benutzerverwaltung

Der normative Rahmen für die Umsetzung einer sicheren Benutzerverwaltung ist im Grundsatz bereits geregelt: Es gibt die NIS 2.0 (Directive on the Security of Network and Information Systems). Das erste EU-weite Gesetz zur Cybersicherheit, die NIS-Richtlinie, trat 2016 in Kraft und trug dazu bei, ein höheres und gleichmäßigeres Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu erreichen. Die NIS 2.0 und das IT-Sicherheitsgesetz 2.0, das im Juli 2015 in Kraft getreten ist, nehmen vorwiegend Bezug auf kritische Infrastrukturen. Auch in die neue Maschinenverordnung fließt das Thema Industrial Security ein. Sie wird frühestens 2023 aus der Maschinenrichtlinie heraus verbindlich wirksam. Dies gibt vor allem den Herstellern noch einen gewissen Handlungsspielraum – doch bei der Suche nach praktikablen Lösungen besteht weiterhin akuter Handlungsbedarf.

Klare Vorgaben durch IEC 62443-4-2

Industrial Security wird in der neuen Maschinenverordnung verankert.

© iStock.com/metamorworks

Die IEC 62443-4-2 stellt die Identifizierung und Authentifikation von menschlichen Nutzern als wichtigsten Punkt voran, gefolgt – und eng damit verwoben – von der Nutzungskontrolle. Nutzungskontrolle meint die Durchsetzung der Autorisierung und der Abbildung der Berechtigung auf die jeweiligen Rollen (bedienen, warten, instandsetzen, …).

Fest steht: Der Mensch ist im Security-Netz das schwächste Glied in der Kette. Benutzerverwaltung muss daher nicht nur organisatorisch, sondern auch technisch gelöst und unterstützt werden. Hier setzt die klassische Benutzerverwaltung an, die mit einer lokalen Benutzerverwaltung in den Komponenten umgesetzt wird. Nachteilig hierbei ist häufig die begrenzte Anzahl von Benutzerkonten aufgrund limitierter Speicherressourcen und die definierte starre Zuordnung von Privilegien auf Rollen oder Gruppen – zum Beispiel für Administration und Diagnose.

Für die Zukunft ist das nur bedingt effizient. So erfordert die klassische Benutzerverwaltung beispielsweise ein regelmäßiges Ändern von Passwörtern und Passwort-Richtlinien. Diese fortdauernde Aufgabe muss zusätzlich korrekt dokumentiert werden. Hinzu kommen die vielen unterschiedlichen Komponenten diverser Hersteller und last but not least die unterschiedliche Herangehensweise von Maschinenbauer und Betreiber. Eine praktikable Umsetzung aller Sicherheitsregeln und Maßnahmen erfordert die Integration in ein Benutzerverwaltungssystem.

Welche Lösungen bietet die IT?

Für die Benutzerverwaltung stehen in der IT verschiedene Lösungen bereit. Bekannt ist LDAP (Lightweight Directory Access Protocol), ein Netzwerkprotokoll zur Abfrage und Änderung von Informationen verteilter Verzeichnisdienste und gleichzeitig der De-facto-Industriestandard für Authentifizierung, Autorisierung sowie Adress- und Benutzerverzeichnisse. So unterstützen die meisten Softwareprodukte, die mit Benutzerdaten umgehen müssen und am Markt relevant sind, das Protokoll.

LDAP lässt sich außerdem gut in Windows-Umgebungen (Active Directory) einbinden, ist weit verbreitet und eignet sich zudem für WiFi WPA2 Enterprise.

Eine andere IT-Lösung ist ‚Radius‘. Radius steht für Remote Authentication Dial In User Service und ist ein Netzwerkprotokoll zur Nutzer-Authentifikation. In der Vergangenheit war es vor allem für Internet-Diensteanbieter (ISPs) interessant. Das Netzwerkprotokoll erfüllt drei Hauptfunktionen: die Authentifizierung von Benutzern oder Geräten, bevor sie Zugang zu einem Netz erhalten; die Autorisierung dieser Benutzer oder Geräte für bestimmte Netzdienste; und die Verfolgung des Zugangs zu diesen Diensten (wichtig für die Benutzerverwaltung).

Für LDAP und Radius sollten die sicheren Varianten LDAPS (LDAP Security) und RadSec (Radius Security) verwendet werden. Aber es gibt Nachteile: RadSec beispielsweise hat keine hohe Verbreitung. Zudem basieren RadSec und LDAPS auf asymmetrischer Kryptografie, was den Ressourcenbedarf in den Komponenten der Steuerungsebene erhöht, was wiederum die Hardwarekosten steigert, da ein Server vor Ort in die Lösung mit integriert werden muss. Ein weiterer Nachteil: Steht der LDAP- oder Radius-Server unter der Verwaltung des Betreibers, kann der Maschinenhersteller bei Remote-Zugriff Benutzer nicht einfach pflegen – und umgekehrt.

Weg von der Hardware, hin zur Cloud

Der allgemeine Trend zu Cloud-Lösungen ist auch für das Thema Benutzerverwaltung interessant. Denn der Vorteil einer Cloud-Lösung ist, dass sie Platz in den Komponenten spart. Zudem ist kein lokaler LDAP- oder Radius-Server erforderlich. Selbst komplexe Richtlinien sind in der Cloud umsetzbar. Maschinenbauer und Betreiber können die Benutzerverwaltung gemeinsam nutzen (zum Beispiel durch die Mandantenfähigkeit der Cloud-Lösung). Hinzu kommt, dass eine Cloud-Anbindung für weitere Dienste nutzbar wäre.

Doch auch hier gibt es Nachteile: Für die Kommunikation mit der Cloud ist TLS (Transport Layer Security) oder ein vergleichbares sicheres Protokoll erforderlich, was wiederum den Ressourcenbedarf erhöht. Zudem stellt die notwendige Internet-Anbindung ein potenzielles Security-Einfallstor für Angreifer dar. Und natürlich spielt beim Thema Cloud die ‚Ende zu Ende Verfügbarkeit‘ eine wichtige Rolle.

Mit einer Cloud-Lösung könnten zwar bestehende Probleme gelöst werden, doch gleichzeitig entstehen neue Herausforderungen.

Benutzerverwaltung mit Zertifikat