Pilz Security Bridge: Smartes Connecten bedingt sicheres Protecten

Die Firma Pilz veröffentlichte vor kurzem ein aufschlussreiches Whitepaper, das auf 20 Seiten gut verständlich zusammenfasst, worauf es bei der Umsetzung einer funktionierenden Security-Strategie wirklich ankommt.

In der Vergangenheit wurden Maschinen und Anlagen in aller Regel nach dem Grundsatz „Never change a running system“ betrieben: Musste ein Safety-Mechanismus aktualisiert werden, wurde die Steuerung vorzugsweise gegen ein neues Modell des gleichen Typs ausgetauscht. Denn die funktionale Sicherheit ist solange gewährleistet, solange an der Maschine keine wesentlichen Änderungen vorgenommen werden.

Security hingegen ist ein „Moving Target“. Hier geht es nicht wie bei Safety darum, dass ein Fehler beispielsweise mit einer Wahrscheinlichkeit von 1:100.000 auftritt, sondern das Verhältnis kann auch 1:1 sein, wenn ein Angreifer erst einmal in ein Netzwerk eingedrungen ist. Außerdem werden immer ausgeklügeltere Methoden entwickelt, um Abwehrmaßnahmen zu überwinden, und bisher sichere Algorithmen erweisen sich plötzlich als unsicher. So war bis vor einigen Jahren der Data Encryption Standard (DES) ein gängiges Verfahren. Heute empfiehlt das BSI (Bundesamt für Sicherheit in der Informationstechnik), es nicht mehr einzusetzen. Gleiches gilt etwa für den Hashing-Algorithmus MD5. Und mit Quantencomputern wird es in nicht allzu ferner Zeit möglich sein, kryptografische Schlüssel in wenigen Minuten oder gar Sekunden zu errechnen, was mit heutigen Computern noch eine Ewigkeit dauern würde.

Mit der SecurityBridge präsentierte Pilz eine industriegerechte Firewall, die sich durch anwendungsspezifische Voreinstellungen sehr einfach nach dem Plug &-Play-Prinzip in Betrieb nehmen lässt.

Beim Thema Security sind alle gefordert

Weil Security keine physikalische Größe ist, sondern ein „Moving Target“, müssen die Maßnahmen gegen Cyberbedrohungen ständig aktualisiert werden. Die Verantwortung dafür liegt in erster Linie bei den Anlagenbetreibern, für die Datensicherheit zugleich Investitionsschutz bedeutet. Denn durch eine effektive Security-Strategie können sie ihre Anlagen ebenso lange wie bisher nutzen. Umgekehrt sind Maschinenbauer und Komponentenhersteller in der Pflicht, die Betreiber sofort über neue Sicherheitsprobleme zu informieren und Software-Updates für die Behebung der Schwachstellen zu liefern. Das erfordert jedoch, dass beide Seiten über den gesamten Lebenszyklus der Produkte hinweg eng zusammenarbeiten.

Mit der IEC 62443 „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“ gibt es eine internationale Normenreihe, die in Teilen schon verabschiedet wurde und die IT-Sicherheit in der Automatisierung umfassend behandelt. Das Themenspektrum reicht von der Risikoanalyse über Best Practices (bewährte Verfahren) bis hin zur sicheren Entwicklung von Produkten (Security by Design). Dadurch bietet die IEC 62443 die derzeit beste Orientierungshilfe für Anlagenbetreiber und Gerätehersteller, um Security effektiv umzusetzen.

Das „ICS Security Kompendium“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) wendet sich insbesondere an die Betreiber industrieller Steuerungssysteme. Erläutert werden sowohl allgemeine Grundlagen als auch besondere Anforderungen und relevante Standards. Außerdem werden geeignete Maßnahmen vorgestellt und Wege aufgezeigt, wie sie durchgeführt werden können.

Während die IEC 62443 und das „ICS Security Kompendium“ eher etwas für Experten sind, ermöglicht die VDI-Richtlinie VDI/VDE 2182 einen vergleichsweise einfachen Einstieg in die Thematik.

Security ist ein Prozess

Eine Security-Strategie beginnt ebenso wie jede andere Strategie mit einer Bestandsaufnahme, oder anders formuliert: Die Anlagenbetreiber müssen sich zunächst ein Bild davon machen, welchen Bedrohungen sie ausgesetzt sind und welche Unternehmenswerte sie vorrangig schützen wollen. Im zweiten Schritt lassen sich dann gemäß IEC 62443 fünf Security Level definieren, die von 0 (nicht gefährdet) bis 5 (extrem gefährdet) reichen, und für die jeweils unterschiedlichen Anforderungen gelten. Wie diese konkret erfüllt werden können, wird jedoch nicht gesagt.

Grundsätzlich lässt sich davon ausgehen, dass alle Geräte mit Ethernet-Anschluss gefährdet sind. Sie können als Einfallstor für Angriffe von außen und innen dienen oder der Ausgangspunkt unbeabsichtigter Security-Verletzungen sein. Wenn auf diesen Geräten zudem gängige Betriebssysteme installiert sind, nimmt das Risiko zu. Vor allem dann, wenn für diese keine Sicherheits-Updates mehr angeboten werden.

Eine Risikoanalyse ist jedoch stets nur eine Momentaufnahme. Es können jederzeit neue Bedrohungen entstehen, die bei der Umsetzung einer funktionierenden Schutz-Strategie einbezogen werden müssen. Das bedeutet: Security ist ein kontinuierlicher Prozess, der einen langen Atem sowie permanente Anpassungen und Optimierungen bei den bestehenden Systemen erfordert.

Industriegerechte Firewall

Eine Maßnahme, um Security-Strategien umzusetzen, ist der Schutz des Netzwerks durch spezielle Geräte. Obwohl auch Router und Switche Sicherheitsmechanismen unterstützen können, spielen Firewalls nach wie vor eine zentrale Rolle. Dabei handelt es sich entweder um Softwarelösungen oder Appliances (Kombination aus Hard- und Software), die anhand individuell definierter Regeln und mit Funktionen wie Deep Packet Inspection oder Intrusion Detection den gesamten Datenverkehr überwachen. Mit der SecurityBridge hat Pilz eine industriegerechte Firewall entwickelt, die sich durch anwendungsspezifische Voreinstellungen nach dem Plug & Play-Prinzip leicht in Betrieb nehmen lässt. Mit ihr können nicht nur Steuerungssysteme vor Angriffen und unberechtigten Zugriffen geschützt, sondern auch Prozessdaten mit geringer Latenz übertragen werden.

Die SecurityBridge kann der Base Unit des PNOZmulti oder der SPS-Steuerung PSSuniversal PLC vorgeschaltet werden. Sie fungiert als VPN-Server, über den ein Virtual Private Network (VPN) zu einem oder mehreren Client-PCs (Konfigurations-PC) aufgebaut werden kann. Da Konfigurationsänderungen an einem Projekt nur von Anwendern durchgeführt werden können, die eine entsprechende Berechtigung besitzen, werden unautorisierte Zugriffe auf das geschützte Netzwerk verhindert. Die SecurityBridge überwacht auch den Prozessdatenverkehr und die Integrität des Safety-Systems: Denn etwaige Veränderungen in den Projekten von PNOZmulti und PSS 4000 würden sich sofort in der Prüfsumme widerspiegeln.

Perimeter-Schutz alleine reicht nicht

Firewalls werden klassischerweise am Übergang von einem sicheren in ein unsicheres Netzwerk platziert, also etwa zwischen einem Intranet und dem Internet. Dieser sogenannte Perimeter-Schutz stößt jedoch schnell an Grenzen, wenn es darum geht, zu verhindern, dass sich Malware wie eine Epidemie über das gesamte Netzwerk ausbreitet. Deshalb sieht die Norm IEC 62443 vor, Netzwerke nach dem „Zones and Conduits“-Modell zu unterteilen. Dadurch lassen sich beispielsweise das Verwaltungs- und das Produktionsnetzwerk trennen. Falls erforderlich, kann auch dieses Netzwerk segmentiert werden, und zwar bis hin zu einzelnen Fertigungszellen. Hierzu werden zunächst Zonen identifiziert, in denen Geräte ähnliche Security-Anforderungen haben. Diese werden dann durch Firewalls oder sichere Router gegeneinander abgeschottet. So lässt sich sicherstellen, dass über die Leitungen (Conduits) zwischen den Zonen nur die Geräte senden und empfangen können, die dazu berechtigt sind.

Um Angreifern das Handwerk so schwer wie möglich zu machen, kann das „Zones and Conduits“-Modell auch als zentrales Element für eine tief gestaffelte Verteidigung (Defense-in-Depth) des Netzwerks dienen. Als Mauern und weitere Sicherheit spendende Hindernisse werden Firewalls und sichere Router genutzt, die unterschiedliche Security-Mechanismen unterstützen. Zu ihnen gehören beispielsweise eine Zugriffskontrolle gemäß IEEE 802.1x und Access Control Lists, die unbekannte Geräte und Protokolle blockieren. Außerdem gibt es Mechanismen, die bei verdächtigen Netzwerkaktivitäten Alarme auslösen oder erkennen, wenn IP-Pakete mit gefälschten Absender-Adressen verschickt werden (IP-Spoofing). Dadurch ist gewährleistet, dass eine Angriffsmethode allein nicht zum „Erfolg“ führt. Es wären immer wieder neue, sich überlappende Schutzschichten zu überwinden. Und selbst wenn das Durchdringen bis zum Subnetz einer Fertigungszelle tatsächlich gelingen sollte, ist es bei einem koordinierten Einsatz mehrerer Sicherheitsmaßahmen kaum möglich, von dort aus Ziele in benachbarten Subnetzen anzugreifen.