Zugriffssicherheit im Industrie-Netzwerk Security – aber mit System!

Bild 1: Typische Netzwerksegmente, hier abgesichert durch eine Firewall-Technologie der Security-Appliances der Baureihe „FL mGuard“
Bild 1: Typische Netzwerksegmente, hier abgesichert durch eine Firewall-Technologie der Security-Appliances der Baureihe »FL mGuard«

Obwohl mehrere einschlägige Normen und Standards vorliegen, ist es nach wie vor eine Herausforderung, Produktions-Netzwerke sicher zu machen. Es bedarf dafür einer systematischen Vorgehensweise sowie geeigneter Hard- und Software-Tools.

Die Digitalisierung schreitet derzeit bis in die unterste Produktionsebene fort, was neue Optimierungs-Chancen sowohl am Produkt als auch entlang der gesamten Wertschöpfungskette eröffnet. Der Entstehungsprozess kundenspezifischer Produkte lässt sich so vom späteren Eigentümer live verfolgen. Möglich wird dies durch die Interaktion zwischen der Operational Technology (OT) und den öffentlichen Netzwerken, Websites oder dem Intranet. Diese Wechselwirkungen machen die Fertigung zwar besser, aber auch unübersichtlich und angreifbar.

Am 25. Juli 2015 hat der Deutsche Bundestag das IT-Sicherheitsgesetz zum Schutz kritischer Infrastrukturen verabschiedet. Darunter fallen beispielsweise die Branchen Energie, Gesundheit, Wasser, Ernährung, Informationstechnik und Telekommunikation sowie Transport und Verkehr. Als „ISA99: Security for Industrial Automation and Control Systems“ stellt die ISA (International Society of Automation) zudem einen schon 2007 vom American National Standards Institute (ANSI) bestätigten Standard bereit. Er wurde bis 2009 überarbeitet und ergänzt und dient als Grundlage für den 2010 von der International Electrotechnical Commission (IEC) aufgenommenen Standard IEC 62443. Darüber hinaus gibt es die ISO/IEC-27000-Serie als Normensammlung zur Informationssicherheit (Information Technology – Security Techniques). Die drei genannten Standards stellen den Schutzbedarf der industriellen Anwendungen in den Vordergrund und leiten daraus technische und organisatorische Maßnahmen ab.

Kompletter Überblick über den produktiven Netzbetrieb

Häufig kommen Anwender nach dem Studium der Normen und Richtlinien zu der Erkenntnis, dass deren Anforderungen nicht zu erfüllen sind, weil auf der technischen operativen Ebene die nötigen strukturellen Maßnahmen fehlen. Nach einer Bedrohungsanalyse bleiben viele Fragen offen – besonders zur Realisierung technischer Maßnahmen. Ein Grund liegt meist im Mangel an Detailinformationen über die tatsächlichen Gegebenheiten im produktiven Netzbetrieb. Maschinen und Anlagen werden zwar mit der entsprechenden Dokumentation vom Hersteller geliefert; eine zentrale und vor allem vollständige Erfassung sämtlicher Netzwerkteilnehmer ist aber oft nicht vorhanden. Außerdem gibt es keine Angaben über die Kommunikationsbeziehungen und Revisionsstände mancher Systeme.

In der Praxis haben sich verschiedene Vorgehensweisen bewährt, um sich einen kompletten Überblick über die Fertigung zu verschaffen. Der erste Schritt dient der Strukturierung und Kontrolle: Eine Segmentierung der Netzwerke, die Absicherung der einzelnen Bereiche durch Firewalls sowie eine Überprüfung der Datenströme zwischen den Segmenten, besonders jedoch zwischen OT und IT, erweisen sich als Voraussetzung für eine genauere Untersuchung. Erst dann lassen sich die nächsten Schritte einleiten. Hierzu gehören Zugriffskontrollen und eine aufgabenbezogene Rechtevergabe, die das Sicherheitsniveau verbessern und die Grundlage eines sicheren Prozessablaufs bilden. Ein Patch-Management – also das Einspielen von Systemaktualisierungen zum Stopfen von Sicherheitslücken, Beheben von Programmfehlern und Verhindern eines unbefugten Eindringens in das Netzwerk – unterstützt die Systemsicherheit.