Industrial IT Security
Strukturierte und sichere Lösungen bilden die Grundlage für die Verfügbarkeit der Produktion.
IT und OT haben unterschiedliche Anforderungen. Dadurch kommt es zu einer Verschiebung der Schutzziele: Im Produktionsbereich können wir uns Ausfälle nicht leisten – Verfügbarkeit ist das oberste Ziel. In der IT hingegen hat die Vertraulichkeit der Daten den höchsten Stellenwert. Wir sorgen mit unseren Services für beides! Dabei schauen wir uns individuell den dahinterliegenden Kundenprozess an und legen den Fokus auf die Verfügbarkeit der Produktion bzw. der Produktionsanlage.
Um die Risiken für die Sicherheit der Systeme zu vermindern ist eine Systemhärtung notwendig. Das bedeutet, dass sie besonderen Schutzmaßnahmen unterzogen werden müssen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt das Härten in der IT-Sicherheit mit: „die Entfernung aller Softwarebestandteile und Funktionen, die zur Erfüllung der vorgesehenen Aufgabe durch das Programm nicht zwingend notwendig sind.“
Beispiele dafür sind:
Auch im Produktionsumfeld ist ein umfangreiches Patch-Management notwendig. Jedoch kommt hier die Schwierigkeit hinzu, dass Anlagen nicht zu jeder Zeit gepatched werden können, weil die Produktion nicht einfach unterbrochen werden kann. Hinzu kommt, dass Patches oftmals erst durch den Anlagenhersteller / Lieferant freigegeben werden müssen, bevor man eine Installation machen kann. Ein Patch-Plan mit definiertem Rhythmus kann Abhilfe schaffen. Außerdem sollte es ein zentral verwaltetes Patch-Management-System geben, um die ICS-Serverlandschaft aktuell zu halten.
Auch die Software Verteilung muss für IT-Systeme in der Produktion geplant werden. Hierfür sind Wartungspläne der Anlagen hilfreich. Es muss abgewogen werden, ob Patches an den Wartungsterminen eingespielt werden können oder nicht. Der Patch-Plan sollte sich nah an den Wartungsplänen orientieren bzw. ist ggf. sogar ein Teil davon. Sobald eine Wartung ansteht, muss immer auch hinterfragt werden, ob auch Patches (z.B. Windows oder andere Software) eingespielt werden können und sollen. Dies kann manuell erfolgen oder durch eine zentral gesteuerte Software-Verteilung, wo Patches und Updates vorab „nur“ verteilt werden und noch nicht installiert werden. Am Wartungstermin kann die Installation des Patches bzw. des Updates dann vorgenommen werden. Ein zusätzlicher Bestandteil eines Patch-Plans sollte ein Notfallkonzept sein, in dem definiert ist, wie ein Update / Patch wieder deinstalliert werden kann, falls etwas nicht wie gewünscht funktioniert. Nach dem Einspielen der Patches sollten außerdem Funktionstests durchgeführt werden als Überprüfung.
Auch Viren und Malware kann IT-Systeme in der Produktion befallen. Hier ist ein besonderer Schutz gegen verschiedene Typen von Bedrohungen notwendig. Die besondere Herausforderung besteht darin, dass Anlagenlieferanten oftmals die Verwendung von Anti-Virus-Software verbieten bzw. nicht unterstützen. Hier muss also zunächst abgeklärt werden, ob eine Anti-Virus-Software auf einem ICS-System installiert werden darf.
Nach dem Whitelisting-Ansatz dürfen auf Endgeräten nur Programme und Prozesse ausgeführt werden, die explizit von einem Administrator freigegeben wurden. Dafür wird eine „Positivliste“ für Anwendungen und Prozesse erstellt. Gerade im Produktionsumfeld, in dem die Systeme minimale / keinerlei Änderungen erfahren und Anti-Viren-Lösungen vom Hersteller / Lieferant oft nicht unterstützt werden, trägt diese Methode zu einer Stärkung der Sicherheit der Systeme bei.
Damit Zugänge besser geschützt werden, sollte eine personalisierte Authentisierung verwendet werden, d.h. die Nutzung von personenspezifischen Benutzernamen in Kombination mit sicheren Passwörtern. Das System autorisiert den Nutzer daraufhin, gibt den Zugang also frei. Es prüft aber auch, ob ein Nutzer für eine bestimmte Aktion berechtigt ist. Eine zusätzliche Sicherheit entsteht durch die Zwei-Faktor-Authentifizierung, die vor allem bei Fernzugriffen auf ICS-Systeme empfehlenswert ist.
Die Industrie Protokoll Analyse findet im Rahmen der Anomalieerkennung statt. Die Anomalieerkennungs-Software kennt die Industrieprotokolle (z.B. STEP7, BACnet) und kann hineinschauen und z.B. Steuerungsbefehle von einer SPS an ein SCADA – System erkennen. Wenn bspw. jemand an einer Klimaanlage 20 °C einstellt, können wir diesen Befehl erkennen. Sollte die Temperatur auf einmal bspw. auf unübliche 35 °C eingestellt worden sein, kann dies dann entsprechend zu einem Alarm führen. Wichtig ist hierbei, dass die passiven Sensoren der Anomalieerkennung ganz nah an der Steuerung platziert werden, sonst kann es zu wiederholten False-Positvive-Alarmen kommen.
Durch Netzwerkmanagement können Netzwerkkomponenten zentral überwacht, konfiguriert und gesteuert werden. Das geschieht über das Simple Network Management Protocol (SNMP). Das Protokoll sieht den Informationsaustausch zwischen Agenten und einem zentralen Manager über Netzwerkpakete vor. Bei den Daten kann es sich um Statistik- oder Statusdaten aber auch um Steuerungs- und Konfigurationsdaten handeln. Der genaue Aufbau der Datenpakete und der Ablauf der Kommunikation wird von dem Protokoll beschrieben.
Mit Netzwerkperformance-Analysen lässt sich schnell und einfach herausfinden, welche Ursachen für Probleme mit der Applikationsantwortzeit verantwortlich sind. Wir verwenden dafür die Software Suite GeniEnd2End. Sie überwacht und verwaltet die Leistung von IT-Systemen mithilfe von Performancetests an Ende-zu-Ende-Verbindungen und liefert Kennzahlen von Applikationsantwortzeiten aus der Benutzerperspektive. Die Software setzt auf Langzeit-Statistiken und definierte Schwellwerte. Wenn ein bestimmter Wert nicht erreicht wurde, wird der Administrator darüber informiert. Mit GeniEnd2End Application kann ein Skript gestartet werden, welches ein Programm startet und bestimmte Schritte ausführt. Bei jedem Schritt wird mit einem Timer gemessen. Wenn diese Tests mehrmals ausgeführt werden, kann ein Schwellwert definiert werden und bei Unterschreitung dieses Wertes eingegrenzt werden, woher der Fehler kommt.
Die Netzwerksegmentierung gehört zu einer der grundlegenden technischen Maßnahmen zur Schaffung einer Sicherheitsstruktur. Dabei geht es um die grundsätzliche Idee das Netzwerk in kleine Teilbereiche aufzuteilen. Dafür werden Produktionsanlagen in „Zellen“ segmentiert und durch Firewalls abgesichert, sodass ein potenzieller Schaden oder Störfall auf eine Anlage begrenzt werden kann. Es gibt keine Vorlage, was genau eine Zelle ist. Eine Zelle bildet in der Regel eine Produktionsanlage ab kann aber auch je nach betrachtetem Produktionsprozess gebildet werden. Die individuelle Betrachtung der Prozesse ist daher essenziell. Zwischen den Segmenten sollten Firewall-Funktionalitäten eingesetzt werden, die den Traffic überwachen und ggf. blockieren. Bestenfalls handelt es sich dabei um eine Firewall, die den Inhalt der Pakete analysieren und bewerten kann.
Mit modernen Technologien, wie der Anomalie Erkennung, lassen sich Auffälligkeiten und Abweichungen zum Normalbetrieb im Netzwerk erkennen. Dadurch können Vorboten von Störungen erkannt und entsprechende Gegenmaßnahmen eingeleitet werden. Gerade im Produktionsumfeld ist die Kommunikation fast immer identisch, dadurch lassen sich Anomalien gut erkennen. Zunächst werden in einer Lernphase Daten gesammelt, in Statistiken zusammengefasst und schließlich ausgewertet. Dadurch lernt das System immer weiter dazu. Die Kommunikation wird dabei immer passiv mitgelesen, es wird nicht aktiv eingegriffen.
Sobald Alarme bzw. Abweichungen erkannt werden, kann der Betreiber darüber informiert werden. Eine Abweichung wie neue Kommunikationsbeziehungen, Konfigurationsfehler, oder Angriffsmuster können somit schneller erkannt und behoben werden.
Durch einen Fernzugriff können auch Anlagen aus der Ferne eingerichtet, gewartet, optimiert oder Fehler behoben werden. Das spart Kosten und schont die Umwelt, denn der Servicetechniker muss nicht für jeden Einsatz vor Ort sein. Bei der Einrichtung von Fernzugriffen müssen jedoch Sicherheitsstandards eingehalten werden, die die externen Verbindungen absichern. Das können z.B. Zwei-Faktor Authentifizierung, Passwort Richtlinien, Zutrittskontrolle, Verschlüsselung und Überwachung / Kontrolle der Zugriffe sein. Durch Logging kann außerdem jederzeit nachverfolgt werden, wer, wo, wie und was gemacht hat.
Netzwerk-Zugangskontrolllösungen können bei der Verwaltung von Industriegeräten helfen, einschließlich der Verfolgung jedes angeschlossenen Geräts im Netzwerk. Mit modernem Network Access Control können unbefugte Zugriffe im Netzwerk festgestellt werden. Aber neben der Transparenz im Netzwerk können auch Patch-Stände von Betriebssystemen sowie Signaturen von Virenscannern geprüft und darauf reagiert werden. Nicht regelkonforme Systeme können automatisiert in ein Quarantänenetzwerk verschoben werden bis die erforderlichen Maßnahmen ergriffen wurden. Auch nach umfangreicher Integration in ein Netzwerk bedarf es weiterer Pflege und Aufmerksamkeit einer NAC Lösung.
Für eine reibungslose Zusammenarbeit von OT- und IT- Netzwerken.
Strukturierte und sichere Lösungen als Grundlage für eine zukunftsorientierte Netzwerkinfrastruktur.
IT-Infrastrukturen als hochflexible Trägersysteme für jede Art von Daten und Anwendungen.