Der Trojaner Stuxnet hat gezeigt, wie anfällig Industrieanlagen gegen Hacker-Angriffe sind. „Es wird Nachahmer geben, die über diesen Weg erheblichen Schaden anrichten können“, betont Dr. Michaela Harlander, Geschäftsführerin der Firma Genua – Gesellschaft für Netzwerk- und Unix-Administration aus Kirchheim bei München auf der SPS/IPC/Drives . Industrieunternehmen sollten deshalb die IT-Sicherheit im Produktionsbereich verbessern. Als wichtige Gegenmaßnahmen nennt Harlander die Einrichtung eigener Sicherheitszonen für die Produktionssysteme sowie die strikte Kontrolle externer Zugriffe in diese Netzwerk-Bereiche via Firewalls. „Weder Buchhaltung, Vertrieb oder Personalabteilung müssen auf die Systeme in der Produktion zugreifen – sind aber mit ihren zahlreichen Außenkontakten gut erreichbare Angriffsziele“, betont Harlander.

Als typische Einfallstore führt sie Laptops der Vertriebsmitarbeiter an: Unterwegs irgendwo infiziert kann darüber Schadcode in das Vertriebsnetz eindringen. Bei einer Absicherung mit Firewalls können die Viren aber nicht weiter auf die abgeschotteten Produktions- und Steuerungssysteme weiterwandern. „Aber nicht alle Verbindungen in die Sicherheitszone der Produktionsserver können gekappt werden“, so Harlander und nennt die Fernwartung als Beispiel. „Speziell für die Fernwartung von Anlagen in sensiblen Produktionsbereichen haben wir eine Lösung entwickelt, in deren Mittelpunkt ein Rendezvous-Server steht“, skizziert Harlander das auf der SPS ausgestellte Konzept.

Grundprinzip ist, keine einseitigen Wartungszugriffe von Herstellern in das Netz des Industrieunternehmens zuzulassen. Stattdessen führen alle Fernwartungsverbindungen auf den Rendezvous-Server, der in einer so genannten demilitarisierten Zone (DMZ) installiert ist. Für den Aufbau einer Fernwartungsverbindung, muss sich der Anwender – bildlich gesprochen – dort mit seinem Maschinenlieferanten treffen. Das heißt: Beide müssen aktiv eine Verbindung zum Server aufbauen. Erst dann kann der Maschinenhersteller die freigeschaltete Verbindung auf die betreute Anlage nutzen.

Nur tatsächlich notwendige Verbindungen erzeugen

Die Verbindungen zu dem Rendezvous-Server werden mit dem VPN-Verfahren SSH (Secure Shell) aufgebaut, das komplexe Verschlüsselungs- und Authentifizierungsverfahren bietet. „Das SSH-Protokoll unterscheidet sich in einem wesentlichen Punkt vom häufig genutzten VPN-Verfahren IPsec“, betont Harlander. IPsec erzeugt immer eine vollständige Koppelung zwischen den verbundenen Netzwerken. Sollte ein Rechner in einem Netzwerk mit Schadcode infiziert sein, kann er die Systeme aller via IPsec angebundenen Netzwerke befallen und sich rasant ausbreiten. „Mit SSH werden dagegen nur die tatsächlich notwendigen Verbindungen zwischen einzelnen Rechnern erzeugt, so dass Schadcode keine schnellen Verbreitungswege findet“, erklärt Harlander.

Für zusätzliche Sicherheit sorgt die Fernwartungs-Appliance-Genu-Box. Sie wird an der per Fernzugriff betreuten Anlage installiert und separiert mit einer Firewall-Funktion den Wartungsbereich von anderen Systemen in diesem Netzsegment. Daher führt die SSH-Verbindung ausschließlich zum Wartungsobjekt. Selbst wenn Schadcode bis zur Maschinensteuerung vordringen sollte, kann er von der isolierten Anlage aus keine weiteren Systeme infizieren. Die Gesellschaft für Netzwerk- und Unix-Administration (GeNUA), ist auf IT-Sicherheit spezialisiert.

Das Leistungsspektrum umfasst Firewalls, Fernwartungs- und VPN-Lösungen, Datenoptimierung für Satellitenkommunikation sowie Dienstleistungen. Die Firewalls Genu-Gate und Genu-Screen sind vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nach CC EAL 4+ zertifiziert. Genu-Gate ist zusätzlich als „highly-resistant“ eingestuft – „als einzige Firewall weltweit“, so Harlander.