VPN-Gateway Sichere Fernzugriffsplattform

Remote Access Gateways von SSV unterstützen gängige Sicherheitsverfahren und ermöglichen somit den Aufbau eines VPN, in dem alle Daten verschlüsselt übertragen werden.

Bild: SSV Software Systems
23.10.2014

Das Vernetzen von Automatisierungskomponenten, Maschinen und Anlagen mit dem Internet für einen Fernzugriff bringt viele Vorteile mit sich. Allzu oft werden die Sicherheitsrisiken einer solchen Anbindung aber nicht beachtet. Eine Plattform als intelligentes Vermittlungsportal und ein Security-Gateway sorgen für die nötige Sicherheit.

Das Stichwort Industrie 4.0 und eine durchgängige Vernetzung von Automatisierungsbaugruppen ist in aller Munde. Doch was bringt die Vernetzung von Anlagen, Antrieben, Komponenten und Sensoren für die Automatisierung eigentlich mit sich? Neben vielen Vorteilen werden sich Unternehmen zunehmend auch der daraus erwachsenden Risiken bewusst, denn vernetzte Baugruppen werden auch zunehmend safety-critical. Echte Safety – hierzulande etwas sperrig als „Funktionale Sicherheit“ bezeichnet – kann es allerdings nur geben, wenn parallel angemessene Security-Maßnahmen, also Datensicherheitsmaßnahmen, ergriffen und implementiert werden.

Bei der oft anzutreffenden Abschottung der produktionsnahen IT beschränken sich die Sicherheitsaktivitäten meist ausschließlich auf den Safety-Bereich, das heißt, auf die Vermeidung von Gefahren für den Maschinenführer beziehungsweise die Abwendung kostspieliger Beschädigungen von Maschinen oder Material. Die Verbindungen zum Fabrik-LAN oder lediglich temporär genutzte Wartungszugänge stehen dabei eher selten im Fokus. Gerade hier sind aber gängige und an die jeweilige Automatisierungs- und Produktionsumgebung angepasste IT-Standards wie Authentisierung, abgesicherte Kommunikation und Virtual Private Networks (VPN) gefragt. Das Management von Benutzern, Benutzergruppen und deren Berechtigungen gewinnt dabei immer mehr an Bedeutung.

Internetanbindung schafft Sicherheitsrisiken

Bereits seit vielen Jahren besitzen unzählige Automatisierungskomponenten und Steuerungen eine Ethernet-Schnitt­stel­le, Modbus-Schnittstellen oder auch eingebettete ­Webserver als Benutzerinterface. So dienen zum Beispiel Human-Machine-Interface-Systeme (HMI) neben der Visualisierung von Anlagenzuständen zur Konfiguration, dem Lesen von Eingangssignalen oder dem Schreiben von Ausgabewerten. Sicherheitsaspekte wurden dabei teilweise über Jahrzehnte von vielen Herstellern vernachlässigt. Anfangs waren viele sogar der Meinung, dass eine Benutzerauthentifizierung durch Name und Passwort für den Webzugriff völlig ausreicht. Dass diese Meinung sich in der Praxis inzwischen nicht mehr halten lässt, ist längst durch etliche Negativbeispiele, zum Beispiel unter Nutzung des Webservers zur Fernwartung, belegt worden.

Hierbei wird die LAN-Schnittstelle einer beliebigen Automatisierungskomponente kurzerhand mit einem DSL-Router verbunden. Im Router selbst wird das Port Forwarding (Portweiterleitung) für den TCP-Port 80 eingeschaltet, der DynDNS-Dienst (dynamischer DNS-Service) aktiviert und ein entsprechender Account eingerichtet. Dadurch kann anschließend von unterwegs oder einem anderen beliebigen Ort aus über einen leicht zu merkenden Hostnamen auf den Webserver zugegriffen werden. Die ständig wechselnde IP-Adresse des Routers im Internet wird so stets dynamisch angepasst. Das schlimme einer solchen Lösung ist nur, dass nun praktisch jeder, der Benutzername und Passwort kennt, per Internet die Daten der Baugruppe lesen oder schreiben kann. Da als Name/Passwort-Kombination vielfach die Standardeinstellungen der Hersteller oder sehr einfache Kombinationen – zum Beispiel „admin/admin“ – zur Anwendung kommen, ist einem Missbrauch der Verbindung im wahrsten Sinne des Wortes Tür und Tor geöffnet.

Noch brisanter als die Nutzung eines dynamischen DNS-Dienstes ist, eine fixe IP-Adresse für den Internetzugang des Routers zu verwenden. In diesem Fall ist die entsprechende Baugruppe immer unter der gleichen IP-Adresse per Internet erreichbar. Spezial-Suchmaschinen wie Shodan, die das gesamte Internet nach erreichbaren Geräten beziehungsweise Anlagen indizieren und die Ergebnisse als Webseiten mit Hyperlinks für jeden frei zugänglich anbieten, werden früher oder später auch den Webserver der Automatisierungskomponente finden und den entsprechenden Link veröffentlichen. Der erste Hackerangriff ist dann nur noch eine Frage der Zeit.

Safety First beim Fernzugriff

Dass unautorisierte Fernzugriffe über solche Schwachstellen in der Praxis auch tatsächlich vorkommen, musste neben der amerikanischen Wasserversorgung und damit verbunden den Sicherheitsexperten des ICS-Cert Ende 2012 bereits Anfang 2013 auch ein deutscher Heizungshersteller erfahren. In beiden Fällen wurden Industriesteuerungen eingesetzt, die fatalerweise aus dem Internet erreichbar waren.

Ein Unbefugter analysierte den Klartext-LAN-Verkehr auf der Kabelverbindung zwischen Steuerung und Router in seiner Anlage und kam dadurch sogar in den Besitz der Name/Passwort-Eingaben für Servicetechniker. Dadurch konnte er auch Heizungen anderer Betreiber nach Belieben per Internet ein- und ausschalten. Da die betreffenden Steuerungen in automatisierten Produktionsprozessen und sogar der öffentlichen Strom- und Wasserversorgung integriert sind, hat sich in diesem Fall sogar das BSI (Bundesamt für Sicherheit in der Informationstechnik) eingeschaltet.

Sicherheitszentrale Fernwartungsportal

Die Beispiele zeigen, dass dem Thema Security beim Vernetzen und Fernzugriff von Anlagen eine erhöhte Aufmerksamkeit geschenkt werden muss. Zentrale Security-Fernwartungs-Plattformen wie die SSR/525 von SSV Software Systems dienen als zentrales intelligentes Vermittlungsportal zwischen dem Anlagenbetreiber, dem Servicepersonal und der Anlage. Die durch externe Dienstleister geprüfte und auf aktuellster SSL/TLS-Verschlüsselung basierende Open-VPN-Architektur (Virtual Private Network) erfüllt die hohen Sicherheitsanforderungen zur Datenübertragung über Internet-Verbindungen. Da Verbindungen immer von der Anlage zum Portal-Server – beziehungsweise dem Servicemitarbeiter – hin aufgebaut werden, gibt es auch keine Schwierigkeiten mit den Firewalls innerhalb der Unternehmen. Auch die Servicetechniker selbst benötigen neben einem VPN-Client mit Zugangsdaten auf ihrem PC lediglich eine Verbindung zum Internet, entweder über das firmeninterne Netzwerk (LAN), den heimischen DSL-Anschluss oder mobil per UMTS- oder LTE-Modem.

VPN-Gateway schafft Sicherheit

Internetverbindungen von Automatisierungssystemen sollten grundsätzlich durch ausgereifte und dem aktuellen Sicherheitsstand entsprechende Übertragungsprotokolle abgesichert werden. Die Remote Access Gateways von SSV unterstützen gängige Sicherheitsverfahren wie SSL/TLS (Secure Sockets Layer/Transport Layer Security) und IPsec (Internet Protocol Security). Dadurch ermöglichen sie den Aufbau eines VPN, in dem alle Daten verschlüsselt übertragen werden.

Darüber hinaus stehen geeignete Authentifizierungsmechanismen zur Verfügung. Bei einem Fernzugriff auf den Webserver einer Steuerung ist beispielsweise eine beidseitige Authentifizierung mit X.509-Zertifikaten sinnvoll. Zusätzlich wird bei einem SSL/TLS-basierten VPN jedes Datenpaket mit einem Hash-Algorithmus signiert, um gezielte Verfälschungen zu erkennen. Verschlüsselung, bidirektionale Authentifizierung und Signierung mit Hilfe von SSL/TLS empfiehlt beispielsweise auch das BSI für den Fernzugriff auf Steuerungen.

Da die meisten am Markt verfügbaren Automatisierungskomponenten sich nicht direkt in ein VPN integrieren lassen, wird oftmals einfach ein zusätzliches Security-Gateway wie zum Beispiel das IGW/922 in die Verbindung zwischen Steuerung und Internet-Router eingefügt. Das VPN selbst arbeitet als gesicherter Tunnel durch das unsichere Internet. Durch diesen Tunnel kann per PC-Webbrowser nach wie vor auf den Webserver einer Automatisierungskomponente oder auch ganze Netzwerke zugegriffen werden. Der PC, von dem aus der Zugriff erfolgt, muss allerdings ebenfalls eine VPN-Software und ein entsprechendes X.509-Zertifikat als Zutrittsberechtigung für das virtuelle private Netz besitzen. An der Anlagensteuerung selbst müssen keinerlei Einstellungen vorgenommen werden.

Über den integrierten Webserver der Gateways ist zudem ein einfacher und mobiler Webzugang gegeben, mit dem sich per Smartphone oder Tablet auch von unterwegs die wichtigsten Anlagendaten oder beispielsweise die Konfiguration einer Automatisierungskomponente einsehen lassen. Der Zugang auf die Webvisualisierung funktioniert mit jedem Standard-Web-Browser, ohne dass eine zusätzliche Software oder Plug-Ins notwendig sind. Servicetechniker können sich so den Anlagenzustand im Detail anschauen, Parameter ändern oder Softwareupdates einspielen, ohne direkt vor Ort zu sein.

Bildergalerie

  • Durch eine Internetverbindung mit Portweiterleitung, dynamischen DNS oder fixer IP-Adresse sind Automatisierungskomponenten für externe Angreiferoder der Verwendung einer fixen IP-Adresse ohne größeren Aufwand manipulierbar.

    Durch eine Internetverbindung mit Portweiterleitung, dynamischen DNS oder fixer IP-Adresse sind Automatisierungskomponenten für externe Angreiferoder der Verwendung einer fixen IP-Adresse ohne größeren Aufwand manipulierbar.

    Bild: SSV Software Systems

  • Die über VPN abgesicherte Anbindung von Automatisierungskomponenten ist mit Security-Gateways wie dem IGW/922 auch nachträglich ohne größeren Aufwand möglich.

    Die über VPN abgesicherte Anbindung von Automatisierungskomponenten ist mit Security-Gateways wie dem IGW/922 auch nachträglich ohne größeren Aufwand möglich.

    Bild: SSV Software Systems

Firmen zu diesem Artikel
Verwandte Artikel