IT-Security »Viele Komponenten sind für eine vernetzte Welt gar nicht ausgelegt«

In unserem Experten-Interview steht Torsten Rössel, Director Business Development bei Innominate, elektroniknet.de Rede und Anwort über Bedrohungen von »innen« und »außen«, allgemeine Security-Probleme und aktuelle Trends in der IT-Welt bezüglich der Netzwerksicherheit.

Welche Automatisierungstrends führen zu welchen Security-Problemen?

Rössel: Zum einen ganz klar die stark zunehmende Vernetzung industrieller Systeme auf Basis von Ethernet und TCP/IP. Das lässt die Anzahl der Knotenpunkte, von denen netzbasierte Störungen und Schädigungen ausgehen können, förmlich explodieren. Viele in der Automatisierung verwendete Komponenten wie z.B. speicherprogrammierbare Steuerungen (SPSen) sind heute konzeptionell gar nicht für eine derart vernetze Welt ausgelegt und verfügen weder über Authentisierungs- noch Autorisierungsmechanismen. Ohne weitere Schutzmaßnahmen könnte jeder Netzteilnehmer diese Systeme unbefugt manipulieren. Zum anderen die zunehmende Verwendung von Standard-IT Komponenten im industriellen Umfeld: z.B. PC-basierte Steuerungen und Bediensysteme, Microsoft Windows Plattformen und viele Applikationsprotokolle. Dadurch breiten sich aus Büronetzen bekannte Verwundbarkeiten in die Welt der Produktion aus.


Begünstigen die Webtechnologien, wie Ethernet, die Industrie-Spionage?

Ohne geeignete Schutzmaßnahmen natürlich schon, wenn ein Zugriff auf Informationen ohne physischen Zugang zu den Systemen über ein wachsendes Netz und offene Schnittstellen ermöglicht wird.


Wie lassen sich IT-Systeme vor Bedrohungen von Außen schützen? Und wie sieht es mit der Bedrohung "von Innen" (Werksspionage, Sabotage) aus? Welche Möglichkeiten hat der Betreiber, um seine Anlagen/Netzwerke zu schützen?

Ob Bedrohung von innen oder außen: wirksamste erste Schutzmaßnahme ist die Beschränkung der überhaupt zulässigen Kommunikation im Netzwerk auf das produktiv erforderliche Maß, d.h. sowohl der Teilnehmerbeziehungen als auch der Art der Verbindungen und Protokolle. Das ist die Aufgabe von Firewalls und zwar insbesondere auch von dezentralen, verteilten Firewalls, die im Sinne einer Defense-in-Depth Strategie kritische einzelne Subsysteme schützen. Zweiter wichtiger Punkt ist die starke Authentisierung autorisierter Teilnehmer, insbesondere z.B. beim Fernzugriff für Diagnose und Wartung. Das wird von Virtual Private Network (VPN) Technologie geleistet, die mit Verschlüsselung auch für die Vertraulichkeit und Integrität der übertragenen Daten sorgt.