Die Zeiten, in denen man sagen konnte, ein Netzwerk sei aufgrund der Tatsache sicher, dass alle industriellen Protokolle mit modernen PC-Systemen nicht kompatibel wären, sind längst vorbei. Das gilt ebenso für den Mythos des sogenannten Air Gap (isolierender Luftspalt), der lange Zeit ein Gefühl der effektiven und verständlichen Sicherheit für industrielle Anlagen bot. Die Verhältnisse haben sich jedoch nicht nur aufgrund des Industrial Internet of Things und von Industrie 4.0 verändert. Bereits zuvor begannen die Hersteller von Industriekomponenten ihre SCADA-Appliances auf Basis von Standard-Industrie-PC-Systemen zu bauen und stiegen von proprietären Protokollen auf die Standardprotokolle Ethernet und TCP/IP um. Allerdings haben nur wenige Unternehmen ihre Netzwerksicherheit entsprechend angepasst.
Viele Überwachungs- und Steuerungssysteme werden außerdem Jahre und Jahrzehnte lang eingesetzt, ohne dass sie rechtzeitig Sicherheits-Patches erhalten. Entweder weil solche Patches nicht verfügbar sind, weil eine Änderung der Software Risiken birgt oder weil bestehende Zertifizierungen dadurch ungültig werden. Das führt zu zahlreichen so genannten Soft Targets (weichen Zielen) bei industriellen Steuerungssystemen. Diese wichtigen, aber anfälligen Systeme müssen geschützen werden. Viele Unternehmen setzen am Rand ihres industriellen Netzwerks eine Perimeter-Firewall ein, um diese Soft Targets zu schützen. Obwohl das ein unabdingbarer Schritt ist, umfasst Netzwerksicherheit weit mehr als diese Perimeter-Sicherheit.
Konzepte für eine umfassende Netzwerksicherheit sollten sowohl unterschiedliche Angriffsmethoden als auch die verschiedenen Typen von Angreifern berücksichtigen. Dazu gehören Szenarien, in denen die erste Verteidigungslinie bereits überwunden wurde, also die Firewall am Übergang vom Produktionsnetz zum Office-Netzwerk oder dem Internet. Sobald ein Angreifer in ein Netzwerk eingedrungen ist, kann er schnell großen Schaden anrichten. Besonders wenn die Architektur und die Konfiguration dieses Netzwerks ohne Berücksichtigung notwendiger Sicherheitsaspekte gewählt wurden. Ein Netzwerk zu realisieren, das einem eingedrungenen Angreifer widersteht, ist weniger kompliziert als es scheint. Dennoch muss die Sicherheit bereits in der Planungsphase eines Netzwerks berücksichtigt werden.
Überblick sicherer Netzwerkstrukturen
Es gibt verschiedene Netzwerk-Architekturen, die den Unterschied zwischen einem leicht angreifbaren und einem widerstandsfähigen Netzwerk ausmachen. Da die Architektur und die Topologie die Grundpfeiler eines sicheren Netzwerks sind, haben industrielle Sicherheitsstandards wie ISO/IEC 62443 entsprechende Richtlinien für den Entwurf von Netzwerken definiert, um Anlagenbetreibern und Systemintegratoren einen Weg zu effektiveren Netzwerkstrukturen aufzuzeigen.
Eine der wichtigsten Leitlinien ist das Prinzip der Zones and Conduits (Zonen und Leitungen). Es sieht vor, dass ein industrielles Netzwerk in verschiedene funktionale Zonen aufgeteilt wird und die Verbindungen zwischen diesen, also die Leitungen, nur zulässigen Datenverkehr zwischen den Zonen weiterleiten. Beispielsweise könnte eine Maschine oder ein Teil einer Maschine eine Zone sein, in der unterschiedliche Geräte ungehindert kommunizieren. Dagegen müssen nur wenige Geräte mit Geräten in anderen Zonen, etwa einem Protokollserver, kommunizieren. Deshalb sollte die Kommunikation über die Verbindung mit der nächsten Zone so eingerichtet werden, dass nur der Datenverkehr zum Protokollserver erlaubt ist, während jede andere Kommunikationen blockiert wird.
In den meisten Fällen sind Firewalls das geeignete Mittel dafür. Strenge Firewall-Regelsätze nach dem Whitelisting-Prinzip, das bedeutet nur bekannter Datenverkehr ist erlaubt, trägen dazu bei, dass der Datenverkehr zwischen den Zonen streng kontrolliert wird. Die Konfiguration der Firewalls ist ausschlaggebend für das Zonen- und Leitungen-Prinzip. Es gibt allerdings eine Reihe von schlechten Entwurfsmustern (Anti-Patterns), die die Sicherheit eines Systems schwächen können.
Screened-Subnet-Pattern als effektives Modell
Die beiden wichtigsten negativen Entwurfsmuster sind das Flat Network- sowie das Screened-Host-Anti-Pattern. Ein deutlich effektiveres Modell ist hingegen das Screened-Subnet-Pattern.
Flat Network: Eine Flat-Network-Topologie entsteht, wenn Sicherheitsaspekte beim Netzwerkdesign nicht berücksichtigt werden. Ein Netzwerk mit flacher Topologie verbindet alle Geräte unabhängig von deren Funktion und Gefährdungspotenzial. Der offensichtliche Vorteil besteht darin, dass diese Struktur für alle Netzwerke funktional geeignet ist, da es bei den Verbindungen zwischen beliebigen Geräten keine Einschränkungen gibt. Der Nachteil liegt im vollständigen Verlust der Kontrolle über die Kommunikation im Netzwerk. Da jedes Gerät im Netzwerk mit jedem anderen darin kommunizieren kann, muss ein Angreifer lediglich ein Gerät eines Flat Networks kompromittieren, um eine Verbindung zu allen Geräten herstellen zu können. Deshalb ist es unmöglich Soft Targets oder unternehmenskritische Geräte besonders zu schützen. Trotz dieser Tatsache ist es in Industrieanlagen leider noch immer weit verbreitet.
Screened-Host-Anti-Pattern: Ein Mittel, um das Flat-Network-Modell sicherer zu machen, besteht in der Einrichtung von Zonen und Leitungen, indem das Netzwerk durch Firewalls segmentiert wird. Allerdings führt ein solcher Ansatz oft zu dem zweiten gefährlichen Entwurfsmuster – dem Screened-Host-Anti-Pattern. Wird ein Netzwerk mit Hilfe einer Firewall in mehrere Zonen unterteilt, muss dennoch bestimmte Kommunikation zwischen den Zonen durch die Firewalls fließen. Das liegt häufig an Diensten, die Geräte (Hosts) anderen Hosts in anderen Zonen anbieten. Ein Beispiel dafür könnte der oben erwähnte Protokollserver sein. Wenn seine Aufgabe zum Beispiel darin besteht, die Protokolldaten aller Geräte einer Anlage zu konsolidieren, um ein vollständiges Bild über sämtliche Ereignisse in der Anlage zu liefern. Der Protokollserver (Host A) muss von außerhalb seiner Zone (Zone X) erreichbar sein. Um das zu ermöglichen, kann der Netzwerkadministrator ein Loch in der Firewall öffnen, damit Geräte von außerhalb der Zone X Host A erreichen. Vielleicht gibt es einen weiteren Dienst B, der auch von außerhalb der Zone X zugänglich sein muss. Um diesen Dienst zur Verfügung zu stellen, wird ein weiteres Loch in der Firewall geöffnet, indem die Kommunikationsprotokolle und Kommunikationsendpunkte für diesen Dienst in der Firewall freigegeben werden. In der Theorie ermöglicht die Firewall einen Zugriff auf A und B aus anderen Zonen und schützt gleichzeitig die weiteren Geräte vor Angreifern. In der Praxis kann ein Angreifer jedoch eine Software-Schwachstelle in den Diensten A und B ausnutzen, um den Protokollserver A oder den Host B zu übernehmen. In diesem Fall hat der Angreifer ein Standbein in Zone X und kann ungehindert über Host A auf die Dienste in der Zone zugreifen. Die Schwierigkeit beim Screened-Host-Architekturmodell besteht darin, dass Zone X sowohl erreichbare und gefährdete Dienste (A und B) als auch weitere Dienste, deren Erreichbarkeit nicht gegeben sein sollte enthält. Die Lösung besteht darin, die gefährdeten Dienste A und B durch die Screened-Subnet-Architekturmodells von den anderen Geräten in Zone X zu trennen.
Gefährdete Dienste in einer Zone isolieren
Screened Subnet: In der IT-Sicherheit besteht eine Best Practice darin, gefährdete Dienste in einer separaten Zone zu isolieren. Diese Zonen werden in der Regel als Demilitarisierte Zone (DMZ) bezeichnet und enthalten Dienste wie Web-, DNS- und Mail-Server. Typischerweise befinden sich diese Zonen am Rande des Unternehmensnetzwerks, also am Übergang in das Internet. Dieses Modell wird als Screened-Subnet-Architekturmodell bezeichnet. Die Dienste A und B sind in der Zone Y isoliert, aber noch aus der Zone X und aus anderen Zonen der Anlage zugänglich. Allerdings ist die Kommunikation von den Diensten A und B zu den Geräten in der Zone X untersagt. Selbst wenn ein Angreifer die gefährdeten Dienste in der DMZ beeinträchtigt, sind die Dienste in Zone X immer noch durch eine Firewall geschützt. Die Umsetzung des Screened-Subnet-Modells erfordert eine Firewall, die mehrere Ports für mehreren Zonen unterstützt oder zwei unterschiedliche Firewalls zwischen der DMZ und dem übrigen Netzwerk. Die verbesserte Sicherheit rechtfertigt den zusätzlichen Aufwand in jedem Fall.
