de-BuchshopEs gab Zeiten, da war der Shop Floor sicher gegen externe Angreifer geschützt – nämlich als das OT-Netz noch autark war, streng abgeschirmt vom IT-Netz und ohne Verbindung zu externen Systemen. Doch die fortschreitende Automatisierung der Industrie hat die Trennung von IT und OT (Operational Technology, Betriebstechnologie) aufgeweicht. Moderne Maschinen und Anlagen erhalten Auftragsdaten vom ERP, bieten Zugriff auf Betriebsstatus und Fertigungsfortschritt per Dashboard auf Tablet und Smartphone, optimieren Prozesse mittels KI aus der Cloud und lassen sich aus der Ferne konfigurieren und warten.
Das Dilemma mit der Vernetzung
Die Kehrseite der Medaille: Auch Cyberkriminelle versuchen von außen auf die Systeme zuzugreifen. Um wertvolle Kundendaten und geistiges Kapital zu stehlen, Fertigungsprozesse zu sabotieren oder die Anlage stillzulegen, um Lösegeld zu erpressen. Beinahe im Wochentakt melden deutsche Unternehmen schwerwiegende Angriffe, zum Teil mit gravierenden Folgen. So wurde jüngst der Rüstungshersteller Rheinmetall attackiert, ebenso SAF-Holland SE, ein Zulieferer der Lkw- und Trailer-Industrie. Dieser rechnet nach einem erzwungenen Produktionsstopp mit Fertigungsrückständen in den kommenden drei Monaten. Ende vergangenen Jahres trugen Cyberkriminelle sogar zum Ende des Fahrradherstellers Prophete Group bei, der nach einem mehrwöchigen Produktionsausfall Insolvenz anmelden musste.
Hochsichere Datenausleitung
Beim Blick auf die Wartung von Maschinen und Anlagen zeigen sich im Kontext der Industrie 4.0 zwei wesentliche Trends mit unterschiedlichem Risiko-Potenzial. Das reine Monitoring von Maschinen und Anlagen für zum Beispiel Predictive Maintenance benötigt einen kontinuierlichen Datentransfer, bei dem Daten vom Shop-Floor nach außen geleitet werden. Eine Kommunikation in die Gegenrichtung ist in der Regel nicht notwendig. Monitoringaufgaben können mit Datendioden recht sicher und zuverlässig umgesetzt werden.
So lässt die cyber-diode des deutschen IT-Sicherheitsanbieters genua GmbH abgesehen von einen Bestätigungsbit ausschließlich One-Way-Kommunikation zu (Kommunikation in nur eine Richtung). In Gegenrichtung blockt sie per Design jeglichen Informationsfluss ab. Dies ermöglicht eine rückwirkungsfreie Ausleitung von Maschinen- und Anlagendaten in unsichere Netze, etwa in die Cloud zur Datenanalyse. Die Integrität und Verfügbarkeit der Daten und Maschinen bleibt geschützt. Der Datenversand an Client-Applikationen kann über Internet Protocol Security (IPsec) verschlüsselt erfolgen. Ist IPsec aktiviert, dürfen externe Clients nur über IPsec verschlüsselt mit der Diode kommunizieren. Dies wird durch eine Dioden-interne Firewall sichergestellt (Bild 1).
Mehr Angriffsfläche durch Fernwartungszugänge
Fernwartungszugänge beruhen hingegen auf einer Zwei-Wege-Kommunikation, die auch Schreibrechte für Anwender von außen umfasst. Damit ist das Risiko für Angriffe ungleich höher. Um dieses wirksam zu begrenzen, muss eine Reihe von Herausforderungen gemeistert werden. Für den Anlagenbetreiber ist es von elementarer Bedeutung, dass die Zugriffe kontrollierbar, steuerbar und nachvollziehbar sind sowie ein fehlerfreier und störungsfreier Produktionsprozess gewährleistet wird. Das bedeutet, dass nur autorisierte Personen Zugriff haben dürfen, ihre Aktivitäten begrenzt und überwacht werden müssen und diese keine unerwarteten Nebenwirkungen auslösen, die den Anlagenbetrieb beeinträchtigen.
Stand der Technik bei Remote Access
Der VDMA-Arbeitskreis »Sichere Fernwartung« hat im Jahr 2021 die am häufigsten eingesetzten Architekturen im Bereich Remote Access auf ihre Vor- und Nachteile hin bewertet. Sie lassen sich grob in drei Klassen einteilen:
- die Netzkoppelung von außen per VPN mit direktem Zugriff auf interne Ressourcen
- die Netzkoppelung von außen mit einem »Zwischenstopp« über Jump Hosts
- das Rendezvous-Konzept mit einem Verbindungsausbau von innen nach außen.
Gerade bei älteren Installationen findet sich noch häufig eine einfache VPN-Verbindung von außen auf einen VPN-Server direkt auf die OT-Ebene, so dass Netzwerksegmentierungen und Demilitarisierungszonen (DMZ), also Sicherheitszonen, die sich zwischen öffentlichem Internet und privatem Intranet befinden, keine Wirkung entfalten können. Diese Konstellation bietet den geringsten Schutz unter den betrachteten Konzepten und sollte schnellstmöglich auf zeitgemäße Lösungen umgerüstet werden.
Einen etwas besseren Schutz bietet die Variante, bei der eine VPN-Verbindung von außen auf einen sogenannten Jump Host aufgebaut wird, der sich in einem relativ unkritischen und gut geschützten Netzwerksegment befindet. Von diesem aus kann sich der Dienstleister weiter durch die Netzwerksegmente arbeiten, indem er sich jeweils autorisiert, bis er beim Zielsystem angelangt ist. Das Risiko diese Architektur ist zwar geringer, das Verfahren erfordert jedoch einen hohen Wartungsaufwand und ist nur schlecht skalierbar.
Als »Stand der Technik« wird vom VDMA das Rendezvous-Konzept bewertet (Bild 2). Dieses beruht darauf, dass sich ein Dienstleister von außen zu einem sogenannten Rendezvous-VPN-Server verbindet. Die Verbindung zwischen Rendezvous-Server und Maschine bzw. Anlage kann dann allerdings nur von innen her aufgebaut werden. Für die Positionierung des VPN-Servers gibt es eine ganze Reihe unterschiedlicher Möglichkeiten: zum Beispiel in der Industrial Zone des Unternehmens, beim Dienstleister oder in der Cloud – jedoch nicht im OT-Netzwerk. Das Angriffsrisiko für diese Varianten unterscheidet sich kaum. Die Sicherheit hängt in erster Linie von der konkreten technischen Umsetzung ab.
Den höchsten Angriffsschutz bietet die Rendezvous-Architektur Betreibern in Kombination mit anderen Sicherheitskonzepten. So ist es grundsätzlich sinnvoll, den gesamten Netzwerkverkehr auf ungewöhnliche oder unerwünschte Kommunikation zu überwachen. Weitere Ansätze, um die Sicherheit zu erhöhen, sind:
- der Einsatz von Applikationsfiltern bzw. Application Level Gateways
- das Protokollieren aller Zugriffe
- die automatisierte Überwachung durch ein SIEM (Security Information and Event Management) System
- die Nutzung eines zentralen Managements der erlaubten Fernwartungszugriffe
- die Unterstützung gängiger Authentifizierungsdienste zur nahtlosen Integration.
Trend zur Cloud, hin zu Zero Trust
Nicht zuletzt durch die zunehmende Verlagerung von Diensten in die Cloud gewinnt außerdem Zero Trust erheblich an Bedeutung. Die Verlagerung des Rendezvous-Servers in die Cloud erlaubt es Betreibern und Maschinenbauern zum Beispiel, den Betrieb zu vereinfachen, die Verfügbarkeit zu erhöhen und die Skalierbarkeit zu verbessern. Gleichzeitig erhöhen sich jedoch die Ansprüche an die IT-Sicherheit weiter (Bild 3). Gemäß dem Motto »Vertraue niemals, verifiziere immer!« basiert das Zero-Trust-Paradigma auf der Idee restriktiver, individueller Zugriffsrechte und Identitäten, die auf starker Authentifizierung basieren. In der Konsequenz muss sich jeder Anwender und jeder Dienst einzeln authentifizieren und es werden nur die absolut nötigen Zugriffsrechte vergeben.
Der IT-Sicherheits-Dienstleister ist Teil der Bundesdruckerei Gruppe und spezialisiert auf den Schutz komplexer und kritischer, digitaler Infrastrukturen von Unternehmen und öffentlichen Organisationen. Man fokussiert sich in dem Unternehmen, das in Kirchheim bei München beheimatet ist – auf den Schutz sensibler Schnittstellen und Netze in Behörden und Industrieunternehmen bis hin zur Anbindung kritischer Infrastrukturen.Hierfür bietet genua Firewalls, zuverlässig verschlüsselte Datenkommunikation via VPN sowie hochsichere Fernwartungs- und Remote-Access-Lösungen. Das 1992 gegründete Unternehmen erwirtschaftete im Geschäftsjahr 2021 einen Umsatz von 66,8 Mio. € und beschäftigt mittlerweile an fünf Standorten in Deutschland etwa 350 Mitarbeiter (www.genua.de).
Sollte es Probleme mit dem Download geben oder sollten Links nicht funktionieren, wenden Sie sich bitte an kontakt@elektro.net
