Elektroniknet Logo

IT-Sicheres Messlabor

Vernetzung, aber sicher!

Themenwoche Mess- und Prüftechnik
© Rohde & Schwarz | Shutterstock.com

Laborübergreifende Vernetzung und Fernzugriff auf Messapplikationen sind Teil von modernen Entwicklungslaboren. Mögliche Sicherheitsvorbehalte standen einer größeren Verbreitung bisher entgegen. Ein neuer, ganzheitlicher Ansatz adressiert die Bedenken.

Messgeräte und Testsysteme bieten schon seit Jahrzehnten Schnittstellen zur Fernsteuerung und Messdatenübertragung. In den letzten Jahren hat sich die IP-basierte Ethernet-Vernetzung als Industriestandard etabliert, sodass die vorhandene Unternehmens-IT-Infrastruktur dafür genutzt werden kann. Moderne Messtechnikprotokolle wie VXI-11 und HiSLIP setzen darauf auf.

 

IT-Sicherheit durch Datenflusskontrolle

Was nun aus OT-Sicht (Operation Technology) durch die problemlose Handhabung Vorteile bringt, bereitet der Unternehmens-IT unter Sicherheitsaspekten Kopfzerbrechen. Denn als gängige Praxis wird eine Messtechnikapplikation an das normale Liegenschaftsnetz angeschlossen. Über die vorhandene IT-Infrastruktur erhalten die Geräte IP-Adresse und Netzwerkzugriff, ohne dass darüber hinaus besondere Sicherheitsvorkehrungen getroffen würden. Natürlich sind die Hausnetze größerer Unternehmen in der Regel professionell aufgesetzt und durch Virenscanner und Firewalls geschützt. Dass die Schutzwirkung solcher Maßnahmen aber Grenzen hat, zeigen erfolgreiche Angriffe mit Cyberschädlingen wie WannaCry, Conficker und NotPetya. Ein einzelner befallener Datenträger oder eine infizierte Maschine, die in das System eingebracht wird, genügen, um die Misere auszulösen. Die Folgen können bedrohlich sein, wenn Compliance-Messsysteme oder Produktionsumgebungen betroffen sind und ein Unternehmen deshalb keinen Output mehr erzielt.

Totale Abschottung ist aber keine Lösung, zumal der Bedarf nach standortübergreifender Vernetzung auch für messtechnische Einrichtungen und Applikationen stetig zunimmt. Die Lösung läuft deshalb auf eine strikte Datenflusskontrolle hinaus, bei der die Kommunikation aller vernetzten Komponenten permanent und Datenpaket für Datenpaket auf Regelkonformität überwacht wird. Das gelingt nur mit einem ganzheitlichen Ansatz über alle Netzwerk- und Protokollschichten hinweg. Und führt zur Unified Firewall der neuesten Generation als Secure Application Gateway, das speziell für den Einsatz im T&M-Umfeld entworfen wurde.

Zentrale Firewall

In der Industrie steht die Stabilität und Ausfallsicherheit der betriebswichtigen Mess- und Steuerungstechnik im Vordergrund. Die IT-Sicherheit wurde demgegenüber in der Vergangenheit oft nachrangig behandelt oder hielt einer kritischen Prüfung nicht stand. Nachdem das OT-Personal, das an isolierte, proprietäre Mess- und Steuerungssysteme gewöhnt war, sich aufgrund der technischen Entwicklung mit IP-basierter Netzwerktechnik auseinandersetzen musste, konnten kulturelle Irritationen nicht ausbleiben. Entweder hatte sich ein Netzwerkexperte mit unbekannten Maschinen und Applikationen vertraut zu machen oder ein Testprofi mit fremdartigen Netzwerkarchitekturen und IT-Sicherheitskonzepten. Da die Betriebsmittel in der Regel nicht über ausgeprägte Sicherheitsarchitekturmerkmale verfügten, musste die IT-Sicherheit durch externe Maßnahmen nachgerüstet werden, im Zweifel mit einer veralteten oder aufwendig zu konfigurierenden Firewall.

Frühere Paketfilter-Firewalls nutzten lediglich den Header des Datenpakets, um anhand der Zieladresse den Zugang über Ports zu erlauben oder zu blockieren. Anwendungen wurden also nicht über ihren Inhalt, sondern lediglich über den Zielport der Pakete identifiziert. Deshalb ließen sich Softwareapplikationen nicht ohne Weiteres von Trojanern unterscheiden. Auch die Administration solcher Legacy-Firewalls über ein komplexes tabellarisches Regelwerk ist aufwendig, fehleranfällig und erfordert eine kundige Hand.

Die Familie der LANCOM R&S Unified Firewalls besteht aktuell aus sechs Modellen, die unterschiedliche Datendurchsätze ermöglichen
Bild 1. Die Familie der LANCOM R&S Unified Firewalls besteht aktuell aus sechs Modellen, die unterschiedliche Datendurchsätze ermöglichen.
© Rohde & Schwarz

Firewalls der neuesten Generation (Bild 1) hingegen sind auch gegen perfide Angriffsmuster gewappnet. Nach dem Motto »Vertrauen ist gut, Kontrolle ist besser« werten sie nicht nur den Header aus, sondern filtern mittels Deep Packet Inspection auch Informationen aus den transportierten Daten und dem Kommunikationsmuster der aufgebauten Verbindung. Damit nutzen sie den Datenstrom ganzheitlich, um die Zielapplikation verlässlich zu identifizieren. Jedes Datenpaket wird zudem einer aktiven Session zugeordnet (Stateful-Firewall-Prinzip) und verworfen, wenn es Anzeichen für ein inkonsistentes Kommunikationsverhalten gibt. Darüber hinaus lassen sich Standarddateien (pdf, docx etc.) sowie Makros und Executables, die einen Zero-Day-Exploit ausnutzen könnten, zunächst in einer abgeschlossenen Testumgebung ausführen und analysieren (Sandboxing), sodass Schadsoftware nicht ins Produktivnetz gelangt.

Das applikationsbasierte Filtern und Routen der Datenströme durch eine moderne Firewall macht es möglich, Netze für dedizierte Anwendungen sehr sicher auszulegen. Denn je besser sich die zu übertragenden Datenstrukturen und -inhalte kategorisieren lassen, desto leichter ist es, alle übrigen auszugrenzen und zu verbieten. In einem konsequent für Messtechnik ausgelegten Netz sind nur Datenverkehre möglich, die auf messtechnischen Protokollen und typischen Daten wie SCPI-Fernsteuerbefehlen basieren. Ein solches messtechnisches (Sub-)Netz ist durch Unbefugte selbst bei bekannter IP-Adresse und offenem Internetzugang nicht korrumpierbar. Der operative und administrative Zugriff auf die Netzwerkkomponenten unterliegt sicheren Authentifizierungsmechanismen. Für die lokale rollenbasierte Nutzerauthentifizierung wie auch für den Fernzugriff über einen VPN-on-Demand-Tunnel können vorhandene AD-LDAP-Server problemlos angebunden und genutzt werden.

Dank der zentralen Rolle der Firewall als »Türhüter« ist das messtechnische Teilnetz vom Unternehmensnetzwerk leicht isolierbar. Je nach Konfiguration nimmt die Firewall eine weitergehende Segmentierung in kleinere Einheiten vor, etwa in ein Gerätesubnetz, das nur Messgeräte umfasst, und ein Applikationssubnetz mit den Rechnern, auf denen messtechnische Software läuft. Diese Segmentierungstechnik erlaubt es auch, ein Gerät für die Zeit einer Fernwartung in ein Quarantänenetz zu verschieben, und das innerhalb von Sekunden.


  1. Vernetzung, aber sicher!
  2. Der Weg zum sicheren Netz

Das könnte Sie auch interessieren

Verwandte Artikel

Rohde&Schwarz Messgerätebau GmbH, Rohde & Schwarz GmbH & Co. KG