Hardware-Architektur der Cloud-Prozessor-Umgebung: Neben den klassischen Elementen (RAM-Baustein, ­Prozessor und Flash-Speicher) sind hier noch das ­Boot-ROM sowie ein Secure-Element hinzugefügt.

© MB Connect Line

Die klassische Architektur in Embedded-Systemen besitzt in der Regel einen RAM-Baustein, Prozessor und Flash-Speicher. Auf dem Flash sind die Firmware und Benutzerdaten gespeichert. In dem hier vorgestellten Konzept wurden zusätzlich zwei Hardware-Elemente hinzufügt. Das Boot-ROM mit dem fest eingebrannten Bootloader und den Hersteller-Zertifikaten stellt sicher, dass das System mit einem unveränderlichen Vertrauensanker gebootet wird (Chain of Trust). Die Firmware auf dem Flash ist mit dem Herstellerzertifikat signiert und wird vom Bootlader nur nach Übereinstimmung akzeptiert. Als zweites Element wurde ein Secure-Element hinzugefügt. Das ist ein eigener Hardwarebaustein (IC), welcher die digitalen Schlüssel und Zertifikate separat vom Flash speichert. Der verschlüsselte Benutzerspeicher auf dem Flash wird in diesem Fall mit einem Schlüssel aus dem Secure-Element freigegeben.

Die Software-Architektur der Daten-Diode basiert auf sogenannten Docker-Containern. Diese Architektur ermöglicht die Isolierung vom Betriebssystem.

© MB Connect Line

Die dazugehörige Software-Architektur des Systems basiert auf sogenannten Docker-Containern. Dieses Prinzip ist vergleichbar mit einer Virtualisierung, hat aber den Vorteil, dass es weniger System-Ressourcen wie Speicher und CPU-Leistung benötigt. Durch die Aufteilung der Applikationen in Containern erreicht man eine Isolierung vom Betriebssystem und eine eventuelle Verwundbarkeit verbleibt im Container und breitet sich nicht auf die gesamte Applikation aus. 

Ein Beispiel ist der IIOT-Baukasten Node-RED, der ebenfalls in einem Docker-Container läuft, und somit eine intelligente Lösung zur Vorverarbeitung der erfassten Daten darstellt. Der Anwender kann mit eigenen Docker-Applikationen individuelles und sicheres Edge-Computing realisieren.

Sicherheitsrisiko Webserver

Ein Beispiel für unsichere Technologien sind Webserver in Steuerungen und anderen Automatisierungskomponenten. Bei vielen in der Praxis genutzten Steuerungen sind Webserver bereits werksseitig aktiviert. Manche dieser Systeme geben Informationen über Seriennummer, Firmware-Version oder Bestellnummer ungefragt wider. Diese, ursprünglich für den Automatisierer gedachten Funktionalitäten, stellen Angriffsvektoren dar, durch die sich Hacker Informationen, Daten und im schlimmsten Fall Zugriff auf die Komponenten erschließen können, um die Steuerungssysteme zu beeinflussen. Auch wenn diese Funktionen durch Authentifizierungsmaßnahmen gesichert sind, sind sie doch oft mit Standardpasswörtern versehen. Selbst wenn hierfür Sicherheits- und Firmware-Updates zur Verfügung stehen, werden in der Regel an einer funktionierenden Maschine im laufenden Betrieb keine Änderungen vorgenommen. 

Grundsätzlich ist es unter dem Aspekt der Cyber-Sicherheit ratsam, vorhandene Systeme auf bekannte Schwachstellen zu prüfen. Häufig sind die Webserver unwissentlich aktiviert und besitzen keine betriebsrelevante Funktion im Netzwerk. In diesem Fall ist dringend geboten, diese Webserver stillzulegen und damit dieses Einfallstor zu schließen. 

In der Praxis ergeben sich dabei aber zwei Schwierigkeiten: Zum einen bedeutet ein Eingriff einer am laufenden Prozess beteiligten SPS das Risiko eines Produktionsstillstands und zum anderen hat der Betreiber oft gar nicht die Möglichkeit, auf das Steuerungsprogramm einzuwirken – sei es, weil die notwendigen Programmierwerkzeuge nicht zur Verfügung stehen oder, weil bei einem derartigen Eingriff der Garantieanspruch an den Hersteller verlorengeht. 

Industrielle Netzwerke segmentieren

Segmentierung der Netzwerke mit der Industrie-Firewall. Klare Trennung von gleichen IP-Segmenten voneinander mit gleichzeitiger Anbindung an ein übergeordnetes Netzwerk.

© MB Connect Line

Um trotzdem einen wirkungsvollen Schutz gegen Angriffe zu erreichen, empfehlen Fachleute eine Segmentierung des Netzwerks in überschaubare logische Einheiten. Mit der Einrichtung sicherer Zonen entschärft der Anwender nicht nur die Update-Problematik, sondern schützt auch Geräte wie Panels und Steuerungen, die keine eigenen Sicherheitsmechanismen haben. Dafür hat MB connect line die Automation-Firewall ‚mbNetflix‘ entwickelt. Diese filtert den Datenverkehr zu- und von der Steuerung und ist in der Lage, nur autorisierten Datenaufbau zuzulassen. So lässt sich einfach und preiswert der transparente Kommunikationsfluss gewährleisten, ohne Gefahr zu laufen, dass diese bekannten Sicherheitsschwachstellen angegriffen werden.

Mit der Automation-Firewall lassen sich daneben neue Maschinen sicher in bestehende Anlagen-Netzwerke integrieren. Zwei Netzwerke – das des Betreibers und das der neuen Anlage – müssen miteinander gekoppelt werden. Bei der Konzeption der Netzwerke haben sich beide Seiten jeweils eine Struktur überlegt und Festlegungen getroffen, die in der Praxis selten direkt zusammenpassen. Hier entsteht erfahrungsgemäß ein hoher Abstimmungsaufwand, um die beiden Netzwerke sinnvoll zu verbinden. Der Maschinenbauer als Lieferant möchte möglichst seinen IP-Adressraum, den er bei allen Anlagen identisch auslegt, beibehalten. Gleichzeitig will er verhindern, dass die von ihm gelieferte Anlage von außen beeinflusst oder geändert wird. Das ist auch ein Thema der Gewährleistung. Gleichzeitig möchte der Betreiber sicherstellen, dass die neue Anlage keine Störungen am bisherigen Netzwerk verursacht und dass auf sensible Daten seiner Produktionsanlage nicht zugegriffen werden kann. 

Die Implementierung einer Automation-Firewall ist nicht nur im Interesse des Betreibers. Seitens des Maschinenbauers, der als Zulieferer eine Maschine oder Anlage installiert, ergibt sich die Sicherheit, dass sein Kunde betreiberseitig Änderungen nur über definierte Schnittstellen und nicht direkt auf der SPS vornimmt. Das erhöht das gegenseitige Vertrauen und verringert Aufwand sowohl beim Kunden als auch im eigenen Support.

Firewall als Geräteschutz

Vereinfacht ausgedrückt besteht eine Konfiguration in Automatisierungsnetzen in der Regel aus einer Benutzerschnittstelle (HMI) und einer SPS-Steuerung. Die Benutzerschnittstelle kommuniziert über das entsprechende Steuerungsprotokoll mit der Maschinensteuerung und visualisiert deren Daten. Natürlich muss diese Funktion erhalten bleiben, während krisenevidente Einfallstore wie der Webserver der SPS abgesichert werden müssen.

Die Automation-Firewall wird in diesem Fall zwischen HMI und SPS geschaltet und aktiviert das sogenannte Whitelisting. Dabei sorgt die Whitelist dafür, dass jeweils nur ein autorisierter Datenaufbau zugelassen wird. Im vorliegenden Beispiel wäre somit jeglicher Datenaufbau blockiert, außer der des HMI zur SPS.

Im Entwicklungsprozess der Firewall wurde bereits bei der Konzeptionierung darauf Wert gelegt, den Workflow des Automatisierers aufzunehmen – dabei erfolgt die Konfiguration direkt am Gerät (Online) oder auf dem Computer (Offline). Die Integration der Firewall gelingt einfach und schnell, da sie der Arbeitsweise des Automatisierers wesentlich Rechnung trägt. Zur Einstellung wird die Konfigurationssoftware auf einem Windows-Computer installiert. Im Anschluss wird dieser per USB-Kabel mit der Programmierschnittstelle der Firewall verbunden. Der Benutzer erstellt mit wenigen Mausklicks das eigene Projekt für die Installation und die Firewall zeichnet im Lernmodus alle Verbindungen auf. Dann zeigt die sogenannte MapView grafisch, welcher IP-Teilnehmer im Netz über welche Protokolle mit welchem Ziel kommuniziert. Anhand der erfassten Paket-Tabelle entscheidet der Anwender, welche Verbindungen zulässig sind und sperrt alle anderen. Mit wenigen Klicks können die Kommunikationseinstellungen vorgenommen werden und in wenigen Minuten ist die Konfiguration abgeschlossen. Besondere IT-Kenntnisse sind nicht erforderlich, dadurch kann die Installation direkt durch das technische Wartungspersonal durchgeführt werden. 

Um die Angriffsvektoren der Firewall so klein wie möglich zu halten, wurde auf ein Web-Interface zur Konfiguration bewusst verzichtet. Per Default kann die Firewall nur über die USB-Schnittstelle konfiguriert werden. Die Authentifizierung erfolgt unter Verwendung eines sogenannten RSA-Schlüssels und bietet im Vergleich zu einem Passwortschutz einen erheblich höheren Sicherheitsstandard. Für IT-Experten steht – optional aktivierbar – auch ein SSH-Interface zur Verfügung.

Autor:
Siegfried Müller ist Geschäftsführer bei MB Connect Line.