Marktübersicht: Produkte zur Absicherung industrieller Netzwerke

Seit Längerem verzeichnen die Sicherheitsbehörden einen Zuwachs von Angriffen auf Produktionsnetze. Nicht nur die Anzahl der bekannt gewordenen Vorfälle ist gestiegen, auch die Qualität der Angriffe steigt. Insbesondere Strom- und Wasserversorger finden sich immer häufiger im Visier von Hackern. Aber auch Steue­rungen in der Fabrikautomation werden auf ähnliche Art angegriffen wie herkömmliche IT-Netze: Kriminelle verbreiten Schadsoftware, spähen Zugangsdaten aus und manipulieren Abläufe. Die Top 10 der Bedrohungen bei Systemen zur Fertigungs- und Prozessautomatisierung nebst einigen Gegenmaßnahmen sind in einem Dokument des Bundesamts für Sicherheit in der Informationstechnik (BSI) veröffentlicht (es ist über ix.de/zg6f zu finden).

Ziel ist häufig das Provozieren von Produktionsausfällen durch Denial-of-Service-Angriffe sowie das Ausspähen von geistigem Eigentum. Es fällt auf, dass neben nicht zielgerichteten Angriffen auch sehr spezifisch und professionell an das Ziel angepasste Angriffsmethoden und -werk­zeuge zum Einsatz kommen. Um Indus­trienetzwerke abzusichern, gibt es eine Reihe von Produkten, die im folgenden Überblick und in der Hersteller-/Produkttabelle dargestellt werden.

OT und IT: Zwei Welten verschmelzen

Der Sammelbegriff „Operational Tech­nology“ (OT) umfasst Geräte und Software, die der Überwachung und Steuerung physischer Systeme und Prozesse dienen. Hierzu zählen Industriesteuerungen oder SCADA-Systeme (Supervisory Control and Data Acquisition). OT-Netze unterscheiden sich in ihrer Zusammensetzung und den damit verbundenen Anforderungen erheblich von klassischen Büroinfrastrukturen, schon weil in ihnen wesentlich häufiger proprietäre Kommunikationsprotokolle zum Einsatz kommen.

Außerdem sind veraltete und ungepatchte Betriebssysteme in Produktionsnetzwerken aufgrund der langen Lebenszyklen der Maschinen verbreitet. So wird man dort vermutlich auch weiterhin auf Windows-XP- und NT-Systeme stoßen. Ein Malwareschutz, wie er auf Bürorechnern üblich ist, ist aufgrund der geringen Hardwareleistung und der auf den Steuerungen eingesetzten Betriebssysteme nur schwer umzusetzen und entspricht nicht den spezifischen Anforderungen im Industrieumfeld. Schließlich wird mit einer speicherprogrammierbaren Steuerung (SPS) weder im Internet gesurft, noch werden mit ihr E-Mails mit angehängten Office-Dokumenten empfangen und verarbeitet.

Der flächendeckende Umstieg von serieller Kommunikation auf IP- und Ethernet-Protokolle bewirkt, dass Industrie­anlagen über das Netzwerk erreichbar sind. Dies vergrößert die Angriffsoberfläche immens, da selbst moderne Industriesteuerungen meist nicht ausreichend gehärtet sind. Um ein Mindestmaß an Sicherheit herzustellen, galt bislang das Paradigma der strikten Abschottung der Maschinennetze von klassischen Büronetzwerken und insbesondere dem Internet.

Aufgrund fehlender (IT-)Sicherheitsfunktionen in Steuerungen und Kommunikationsprotokollen ist dieser Ansatz auch heute noch relevant. Das Vermeiden von Unfällen (Safety) sowie der reibungslose Ablauf der Produktion (Verfügbarkeit) sind die obersten Schutzziele in industriellen Netzen. Auch der Schutz des geistigen Eigentums rückt stärker in den Fokus von Anlagenbetreibern. Die Abschottung steht jedoch im Konflikt mit den Bestrebungen, auf Produktionsdaten möglichst flexibel und in Echtzeit zuzugreifen. Immer häufiger tauchen Begriffe wie „Digitalisierung“, „Predictive Maintenance“ oder schlicht „Wertschöpfungspotenziale“ in aktuellen Diskussionen auf.

Abschottung ist kein Sicherheitsgarant

Dass die Abschottung industrieller Netz­werke keinen ausreichenden Schutz vor Angriffen bietet, zeigen unter anderem Untersuchungen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Laut diesen entsteht durch das „Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware“ die größte Bedrohung für Industrieanlagen. Auch Infektionen mittels Schadsoftware über das Internet sowie Einbrüche über Fernwartungszugänge zählen zu den Top Ten der Bedrohungen in der jüngsten Version der Veröffentlichung von 2019. Die Konsequenz sind gestiegene Anforderungen und eine verstärkte Nachfrage nach Produkten zur nachträglichen Absicherung industrieller Netze.

Etliche Hersteller entwickeln neue Sicherheitsprodukte für das OT-Umfeld und gehen mit den Bedürfnissen auf sehr unterschiedliche Art um. Manche versuchen, den komplexen Prozess der Verschmelzung von IT und OT (man spricht dabei auch von IT/OT-Konvergenz) durch Produktlinien mit großem Funktionsumfang zu vereinfachen. Hintergrund ist dabei die Beobachtung, dass Angriffe auf das OT-Netz häufig indirekt über infizierte Rechner des angeschlossenen Büronetzwerks erfolgen und Lösungen daher sowohl IT- als auch OT-Bereiche abdecken müssen.

Andere Firmen werben mit Produkten, die weitgehend unabhängig vom IT-Netzwerk funktionieren. Sie stammen häufig aus dem Automationsumfeld und argumentieren, dass sich die OT- und die IT-Welt nicht vereinen lassen.

Einzelne Hersteller setzen den Fokus auf einen möglichst komfortabel nutzbaren Fernzugriff. Mithilfe von VPN-Gate­ways wird ein „virtuelles Kabel“ bis zur Hutschiene gelegt, das der Wartungstechniker für den Zugriff auf die angeschlossenen Steuerungen benutzt. Einige Anbieter vernetzen dezentral verteilte IoT-Geräte wie Geldautomaten oder Überwachungskameras, die eine gesicherte WAN-Verbindung über das Internet bis hin zum zentralen Managementserver benötigen. Mithilfe komplexer Lösungen sollen ferner Angriffe und Fehlfunktionen in industriellen Netzen durch Anomalieerkennung und IDS-­Komponenten entdeckt werden. Andere Hersteller versprechen ein höheres Sicherheitsniveau durch die Segmentierung der OT-Netze mit speziellen Industrie-­Firewalls.

Eine von vielen Anforderungen: Der sichere Fernzugriff

Der sichere Fernzugriff zum Überwachen und Warten von Maschinen gehört zu den Grundanforderungen moderner Produktionsanlagen. Häufig muss dieser Zugang auch für Personal von Drittfirmen im Rahmen von Wartungsarbeiten oder Supportanfragen zur Verfügung stehen. In diesem Fall ist es besonders wichtig, dass der Anlagenbetreiber granular definieren kann, wer welche Zugriffsrechte erhält. Eine zeitliche Begrenzung der Zugangsberechtigungen sowie das Überwachen und Aufzeichnen der Wartungstätigkeiten ist dabei ebenso erforderlich wie ein Rollenkonzept. Um den Überblick zu behalten und die Rechte zu vergeben, lohnt sich der Einsatz einer zentralen Plattform. Dabei muss der Kunde zwischen einer Cloud-Lösung und dem On-Premises-­Hosting im eigenen Netzwerk abwägen.

Die Hersteller, die sich auf das virtuelle Kabel zur Hutschiene konzentrieren, sprechen oft gezielt kleine Firmen an und werben damit, dass sich die Lösungen auch ohne tiefere IT-Kenntnisse einsetzen lassen. Die Anbieter nutzen Techniken, die in der IT-Welt bereits etabliert sind, und stellen diese als autonom funktionierende Einheiten speziell für den Einsatz in OT-Netzen bereit. Ein Fernzugriff kann dabei auch nachträglich in bestehende Infrastrukturen integriert werden, ohne dass tief greifende Anpassungen an anderen Komponenten notwendig sind.

Das kann auch zu einer Art von Schatten-IT führen, wenn diese Produkte ohne Kenntnis der IT-Abteilungen eingesetzt werden. Für die Konfiguration der Gateways stellen einige Hersteller grafische Tools bereit, was die Inbetriebnahme sehr einfach gestaltet. Die meist sehr kompakten Geräte werden direkt auf der Hutschiene montiert und per Netzwerkkabel mit den Steuerungen verbunden. Mithilfe der integrierten Firewall-Funktionen bilden sie das Bindeglied zwischen dem öffentlichen Netzwerk und dem Produktionsnetz.

Die Fernverbindung erfolgt in vielen Fällen über einen zentralen Rendezvous-­Server, zu dem die Remote-Gateways automatisch eine VPN-Verbindung über das Internet aufbauen und gegebenenfalls aufrechterhalten. Die Initiierung erfolgt hierbei oft von den Gateways aus dem OT-­Netzwerk heraus. Das soll Anpassungen an der bestehenden Firewall-Infrastruktur erleichtern oder gar vermeiden; oft genügt das Freischalten ausgehender VPN-Verbindungen.