Startseite > Smarter World > Aspekte dezentraler IT-Sicherheit für industrielle Netzwerke

Security-Strategie statt nur Vertrauen

Aspekte dezentraler IT-Sicherheit für industrielle Netzwerke

18. Juli 2014, 10:28 Uhr | Robert Torscht und Wolfgang Wanner

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 2

3. Aspekt: IT-technische Maßnahmen

Security-Prozesse werden von Insys-Routern umfassend unterstützt, etwa durch Port-Security-Features und den sofortigen Versand von Status- und Störmeldungen über SNMP, E-Mail und/oder SMS statt der späteren Logfile-Auswertung – denn dann ist der »Cyber-Einbrecher« sehr wahrscheinlich schon wieder weg. Beispiele für derartige Ereignisse sind ein fehlerhafter oder unberechtigter Zugangsversuch am Web-Interface, eine Änderung der Konfiguration, das An- oder Abstecken eines Geräts am Switch (link up, link down) oder der Empfang von IP-Paketen von einem unbekannten Gerät (MAC-Firewall).

Intelligent schützen und melden: Als Technologiepartner für industrielle Datenkommunikation unterstützt Insys icom seine Kunden natürlich vor allem technisch in der Absicherung der IT-Netze mit wirksamen Sicherheits-Features: Die Router des Unternehmens erfüllen die Konzepte des BDEW-Whitepapers und lehnen sich an die zugehörigen Ausführungshinweise an. »Die Wirksamkeit der Sicherheits-Features wurde auf Herz und Nieren geprüft«, wie Produktmanager Heiko Noll mit Verweis auf Kunden aus dem Bereich »Kritischer Infrastrukturen« (KRITIS) betont. Wesentliche Punkte dabei sind der Manipulationsschutz des Routers, der Meldungsversand bei Ereignissen, die Verschlüsselung und Sicherung der Verbindung (VPN), die Sicherung des Routers vom und zum Netz (Firewall) sowie die Segmentierung lokaler Netzwerke.
Defence-In-Depth: Auch das Sicherheitszonen-Prinzip »Defence-In-Depth« lässt sich mit den Firewall-Routern von Insys icom wirksam umsetzen. Dabei wird den Bedrohungen nicht durch einzelne Schutzmaßnahmen begegnet, sondern sie werden durch die Implementierung gestaffelter und sich ergänzender Sicherheitsmaßnahmen abgewehrt, etwa durch Netz-Segmentierung. Damit lässt sich die Reichweite von Einbrüchen über Fernwartungszugänge genauso wirksam begrenzen wie die Ausbreitung eingeschleuster Schad-Software.
Zerstörung statt Verrat: Zum Manipulationsschutz des Routers kann die Konfiguration über das Web-Interface erlaubt oder verboten werden – egal ob der Zugriffsversuch lokal oder remote und gesichert oder ungesichert erfolgt. Ein physischer Zugriff auf den Router kann zwar zu dessen Zerstörung führen, ermöglicht aber auch bei angelegter Betriebsspannung nur das Rücksetzen auf Werkseinstellungen per Reset-Taster, was das Löschen aller Speicherinhalte zur Folge hat; verhindert wird dadurch der Zugriff unter anderem auf Konfigurationsinformationen, Zertifikate und Logfiles.
Vertrauenskette meint »Persönlich bekannt«: Wer Vertrauliches per E-Mail oder über unverschlüsselte Verbindungen überträgt, handelt mindestens fahrlässig. Deshalb sind VPN-Verbindungen nötig, bei denen sich die Router im Feld und die Zentrale bereits zum Verbindungsaufbau gegenseitig authentisieren. Selbstverständlich hat jeder Router zur Sicherung zwischen den Netzwerken, in die er routet, eine Firewall, in der nur erwünschter Verkehr per Whitelist freigeschalten wird. Last but not least stehen zur hochsicheren VPN-Vernetzung dezentraler Einrichtungen VPN-Dienste wie der Insys Connectivity Service zur Verfügung.