„Ob Energie-Erzeuger, Transportwesen oder Automobil- und Lebensmittelindustrie – Sicherheitslücken sind kein Phänomen einzelner Branchen, sondern ziehen sich über alle Industriezweige hinweg“, so Andrey Nikishin, Special Projects Director, Future Technologies, bei Kaspersky Lab. Das zeige eine aktuelle Studie: Demnach waren im Jahr 2015 weltweit 188.019 Rechner (Hosts) industrieller Kontrollsysteme (ICS) über das Internet erreichbar. Davon waren 13,9 % in Deutschland beheimatet. Zudem sei in den vergangenen fünf Jahren die Anzahl gefundener Schwachstellen innerhalb von ICS-Komponenten um das Zehnfache gestiegen. Bei knapp der Hälfte der Fälle (49 %) handelt es sich um kritische Lücken.

Bei Kaspersky ist man daher zum Schluss gekommen, dass die Industrie spezielle Sicherheitslösungen benötigt, die auf Basis ihrer spezifischen Bedürfnisse entworfen und entwickelt werden. Wie eine solche Lösung aussieht, die umfassend vor allgemeinen und zielgerichteten Bedrohungen schützen kann, ohne große Auswirkungen auf die technischen Prozesse zu haben, erläuterten Andrey Nikishin und Dimitri Philippe, CEO des auf Embedded-Software-Technologien für die industrielle Automatisierung spezialisierten Unternehmen BE.services mit Sitz in Kempten, im Rahmen eines Pressegespräches. Das von beiden Unternehmen gemeinsam entwickelte ‚Embedded Security Shield‘ basiert auf ‚Kaspersky Security System‘ (KSS) und beinhaltet die Embedded-Software ‚Embedded Security Shield‘ (ESS) sowie die Entwicklungs-Software ‚ESS Security Editor Plug-in for Codesys‘.

Die Integration der Lösung in Codesys-basierte Steuerungen, für die BE.services zuständig sein wird, geschieht laut Dimitri Philippe wie folgt: „Wir separieren das Codesys-Laufzeitsystem in zwei komplett voneinander isolierte Domains – Codesys COM RTS für die Kommunikation auf der einen Seite und Codesys CORE RTS für die Ausführung der Applikation auf der anderen. Die Interprozesskommunikation zwischen diesen beiden Domains wird über KSS abgewickelt, welches über das ‚Codesys Gateway‘ eintreffende Anfragen kontrolliert und nach vorab definierten Regeln diese entweder erlaubt oder aber den Request-Befehl blockiert.“ Zur Erläuterung: Das besagte Gateway ist bei Codesys für den Online-Zugriff auf die SPS-OPC-Kommunikation und weitere Funktionalitäten wie den PLC-Handler beziehungsweise den Data Server zuständig. Ein erfolgreicher Angriff zum Beispiel über einen OPC-Client würde also den unbegrenzten Zugriff auf die SPS ermöglichen.

Auf den Punkt gebracht: BE.services implementiert mit KSS einen Security-Kernel in der Codesys-Runtime, der über ein White-Listing den Zugriff auf die Steuerung regelt. Die Konfiguration von Sicherheitsrichtlinien erfolgt über den genannten ‚ESS Security Editor‘. Mit diesem Plug-In kann der Security-Administrator KSS direkt in der Codesys-Oberfläche konfigurieren. Die Kommunikation zwischen dem Editor und KSS findet schließlich über einen vertrauenswürdigen Kanal statt.

Auf dem Stand von Kaspersky Lab wurde die Lösung am Beispiel einer RTU der Firma Altus für Stromverteilungsapplikation vorgestellt. Als Teil eines ‚Industrie 4.0 & IIoT Software Package für SPS‘ war die Integration von KSS zudem unter anderem am Stand von Xilinx zu sehen. Ein entsprechendes Evaluation Board soll kurz nach der Messe verfügbar sein.