Bedrohte Sicherheit Isolierung der WAN-Kommunikation

In seinem „Reference Blueprint for Industrial Control and SCADA“ beschreibt Palo Alto Networks die Notwendigkeit, Fernkommunikationstechnologien in einer separaten Zone zu isolieren. Funkbasierte Kommunikationsgeräte müssen demnach sorgfältig geprüft sein, bevor sie installiert werden.

Mit dem Aufkommen des Industriellen Internets der Dinge (IIoT) im Zuge von Industrie 4.0 kommen immer mehr Systeme für den großräumigen Datentransfer in ICS/SCADA-Umgebungen zum Einsatz. Diese bieten mehr Bandbreite und Flexibilität. Hierbei handelt es sich um Systeme wie iNets, nicht lizenzierte und lizenzierte Mikrowellenkommunikation, Satellitenkommunikation, AMI-Zähler (Advanced Metering Infrastructure) und andere Formen von kommunikationsfähigen Geräten.

»Auf der gerade zu Ende gegangenen Automatica in München wurde deutlich: Fortschritte in der Kommunikationstechnik machen die Fernautomatisierung attraktiv. So gibt es vielfältige Möglichkeiten, um intelligente Geräte zu platzieren und dadurch die Effizienz zu steigern«, berichtet Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. »Dezentrale Automatisierung ist nicht nur kostengünstig, zuverlässig und gilt als sicher, sie kommt auch der Wettbewerbsfähigkeit zugute. Bei der ICS/SCADA-Kommunikation sollte aber die tatsächliche Sicherheit an den entfernten Standorten stärker hinterfragt werden.«

Denn der Einsatz von sehr schnellen Verbindungen mit hoher Bandbreite an abgelegenen Standorten ohne Personal macht diese ideal für Cyberangriffe. Die Abgeschiedenheit macht die Anlagen zu idealen Zielen für den Zugang zu Unternehmens- und OT-Systemen und verschafft Angreifern genügend Zeit. So ist es denkbar, dass jemand Microcomputer installiert, die für Monate, wenn nicht Jahre, unbemerkt bleiben. Die Geräte vor Ort könnten mit bösartigem Code versehen werden, der in die internen Systeme des Betreibers geladen wird, um größere Störungen zu verursachen. Das Platzieren von neuen intelligenten Geräten – mit weit mehr Rechenleistung als bei den früheren Generationen – an entfernten Standorten stellt Angreifern bessere Möglichkeiten für Angriffe zur Verfügung.

Die heutige Breitband-Technologie ist in den meisten Fällen eine Form von gemeinsam genutztem Medium. Benutzer mit den richtigen Tools sind durchaus in der Lage, einen Lauschangriff durchzuführen. Möglich wird dies aufgrund der unsicheren Kommunikation der Systeme, die aber für den kritischen Echtzeit-Produktivbetrieb genutzt werden. Kommunikationstechnologien basierend auf Satelliten oder Mikrowellen könnten zudem leicht entfernt und an anderer Stelle aufgestellt werden. Ein weiteres Szenario wäre, dass diese Remote-Access-Points als Angriffsvektor gegen einen Konkurrenten oder für Denial-of-Service-(DoS-)Angriffe gegen den Netzwerkbetreiber eingesetzt werden.

Aufgrund der Fortschritte bei den Kommunikationstechnologien sind ältere Formen wie Frame Relay oder dedizierte Standleitungen nicht mehr in Gebrauch oder sehr teuer zu erhalten. Aber ältere Technologien bieten wegen ihrer Punkt-zu-Punkt-Architektur etwas mehr Sicherheit bei verteilten Standorten, im Gegensatz zu den meisten heutigen Internet-basierten Kommunikationstechnologien. Daher empfiehlt Palo Alto Networks sowohl der physischen Sicherheit als auch Cybersicherheit dieser Systeme viel größere Aufmerksamkeit zu widmen.

Physische Sicherheit an entfernten Standorten aufrechtzuerhalten ist schwierig, anders als die Cybersicherheit: So sollte gewährleistet werden, dass nur solcher Verkehr von einem entfernten Standort eingeht, der auch angefordert wird. Die Sicherheitsexperten bei Palo Alto Networks sind daher der Überzeugung, dass die beste Netzwerksicherheitspraxis das Zero-Trust-Prinzip ist. Sie empfehlen eindringlich, den Datenverkehr zu und von entfernten Systemen in einer komplett eigenen Zone abzuwickeln und die Kommunikation auf Anwendungen, Ports und Protokolle zu beschränken, die für den jeweiligen Prozess benötigt werden.