Herzlich Willkommen beim beam-Verlag in Marburg, dem Fachverlag für anspruchsvolle Elektronik-Literatur.


Wir freuen uns, Sie auf unserem ePaper-Kiosk begrüßen zu können.

Aufrufe
vor 3 Jahren

9-2020

  • Text
  • Bauelemente
  • Positioniersysteme
  • Elektromechanik
  • Antriebe
  • Stromversorgung
  • Hmi
  • Kommunikation
  • Robotik
  • Qualitaetssicherung
  • Bildverarbeitung
  • Automatisierungstechnik
  • Sensorik
  • Visualisieren
  • Regeln
  • Systeme
  • Pc
  • Messtechnik
  • Kommunikation
  • Automation
  • Electronics
Fachzeitschrift für Industrielle Automation, Mess-, Steuer- und Regeltechnik

Sicherheit Prävention

Sicherheit Prävention für den Cyber-GAU Vier Ansatzpunkte für ein Security-Konzept zum Schutz von IT- und OT-Infrastrukturen Bild 1: Hochsichere Schnittstellen durch zweistufige Firewall Der Angriff erfolgte lautlos, schnell und gezielt: Auf die Kontroll- und Kommunikationseinrichtungen im OT-Netz der Erdgasverdichtungsanlage eines Pipelinebetreibers hatten es Cyber-Kriminelle abgesehen. Per Spear-Phishing-Link erschlichen sie sich zuerst den Zugang zum IT-Netzwerk des US- Unternehmens, drangen ins OT- Netz des Maschinen parks vor und setzten sich in beiden Netzwerken mit Schadsoftware fest. Der nächste Akt war eine perfide Erpressung: Die „infizierten“ Geräte waren nicht mehr in der Lage, von Low- Level-OT-Geräten gemeldete Echtzeit-Betriebsdaten zu lesen und zu aggregieren, was teilweise zu Einschränkungen bei der Bedienbarkeit der Maschinen führte. Außerdem zerstörte der Verschlüsselungstrojaner im Netzwerk abgelegte Dateien. Zugleich verlor das Unternehmen aber zu keinem Zeitpunkt die komplette Kontrolle über den Betrieb. Mit einer Lösegeldzahlung sollte sich das Management bei den Erpressern freikaufen. Doch das entschied sich für eine kontrollierte, vollständige Abschaltung und Re- Boot der kompletten IT & OT. Mit Erfolg: Nach zwei Tagen – und entsprechendem Produktivitäts- und Umsatzverlust – waren die Angreifer ausgesperrt und der Normal betrieb wieder aufgenommen. KRITIS-Sektor im Fadenkreuz Dieser Anfang 2020 von der US- Behörde CISA (1) veröffentlichte Fall verdeutlicht, dass Industrieunternehmen längst im Visier von Hackern sind – insbesondere dann, wenn ihre Anlagen zum KRITIS-Sektor zählen, also etwa der Energieoder Wasser versorgung (2). Auch das – wie in diesem Fall – mangelhaft ge sicherte IT- und OT-Netzwerke das Risiko einer erfolgreichen Cyber-Attacke erheblich erhöhen, ist kein Einzelfall. Denn mit fortschreitender Digitalisierung nehmen auch die Angriffsflächen zu. Nicht nur die Maschine in der Fertigung, sondern auch Abläufe in der Logistik, Administration oder (Fern-)Wartung sind potenzielle Ziele. An einem umfassenden, durchgängigen Security-Konzept führt also kein Weg vorbei: Beginnend bei Komponenten wie Gateways oder Firewalls, über IDS/IPS sowie VPN bis hin zu KI-basierten Security- Technologien, sollte man sich gegen Szenarien wie die geschilderte IT/ OT-Infiltrierung absichern. Vier Ansatzpunkte in der IT- und OT- Infrastruktur von Industrieunternehmen spielen dabei eine besonders wichtige Rolle: eine Firewall, ein Cloud Edge Gateway, eine cyber-diode sowie der Einsatz von Künstlicher Intelligenz (KI). Firewall: Digitale Brandschutzmauer für den Datenverkehr Die erste Nahtstelle, an der sich stets das Niveau der IT-Sicherheit entscheidet, ist der Übergang zwischen dem Internet und dem lokalem Unternehmensnetzwerk: Hier korrelieren die Zugriffe von außen sowie die von innen versendeten Daten. Je sorgfältiger dieser Datenverkehr mittels einer Firewall-Anwendung kontrolliert wird, desto stärker ist der Schutz für das gesamte Netzwerk. Ein zentraler Baustein ist dabei die Content-Analyse: Sie stellt sicher, dass nur komplett geprüfte Datenpakete in das eigene Netz gelangen. Die High Resistance Firewall genugate (3) kombiniert zu diesem Zweck zum Beispiel zwei unterschiedliche Firewall-Systeme in einer Lösung: ein Application Level Gateway sowie einen Paketfilter, die jeweils auf separater Hardware mit der folgenden „Arbeitsteilung“ laufen: Das Application Level Gateway analysiert den Inhalt des kompletten Datenstroms. Gefährliche oder unerwünschte Inhalte wie aktiver Content, Viren oder Spam werden hier erkannt und abgeblockt. Bei dieser Inhaltskontrolle leistet die Firewall mehr als nur eine stichprobenartige Prüfung des Dateninhalts. Auch die Cloud-Nutzung kann mit der Firewall kontrolliert werden, indem z. B. Uploads zu externen Services nur zugelassen werden, wenn die Daten verschlüsselt sind. Zusätzlich prüft der Paketfilter als zweites Sicherheitssystem formale Kriterien wie Absenderadresse und Protokolltyp. Cloud Edge Gateway: OT-Bereiche schützen Wie lässt sich der Austausch von Verschleißteilen mittels Predictive Maintenance optimal im Blick behalten? Wie ist die Auslastung in der Fertigung, an welchen Stellen laufen Prozesse noch nicht rund? Aus diesen und weiteren Zustands- und Leistungsdaten von Maschinen lassen sich wertvolle Informationen gewinnen, um Effizienz und Produktivität zu steigern oder Kosten einzusparen. Um an die Informationen zu gelangen, müssen OT und IT miteinander vernetzt werden. Doch eben diese Digitalisie- Autorin: Gabriele Meier, Head of Sales genua GmbH www.genua.de Bild 2: Datenaustausch in Produktionsbereichen der GS.Gate 28 PC & Industrie 9/2020

Sicherheit TOP-Kriterien bei der Auswahl einer Firewall-Lösung: Bild 3: cyber-diode: Datenübertragung in abgeschottete Hochsicherheitsnetze rung sensibler OT-Bereich kann Angriffsflächen für Cyber-Kriminelle mit sich bringen. Wie sich dieses Risiko minimieren lässt, zeigt das Beispiel des Cloud Edge Gateway GS.Gate von Schubert System Elektronik und genua (4). Dieses lässt sich herstellerunabhängig an Maschinen anbinden und bietet auf einer Industrial Hardware zwei getrennte Bereiche: Zum einen können Maschinen hersteller oder -betreiber mittels Docker ihre eigene Anwendung installieren. Diese ruft Zustands- und Leistungsdaten von der Maschine ab und führt die gewünschten Analysen durch. Bereits hier werden aus der gesamten Datenmenge die Informationen für Industrial Analytics herausgefiltert. Im zweiten Bereich befinden sich eine Firewall sowie die Remote Access-Komponente für sichere Fernwartungszugriffe. Via Firewall werden die gewonnenen Informationen verschlüsselt via Internet zur Cloud weitergeleitet. Die Remote Access-Komponente ermöglicht Fernwartungszugriffe auf die angebundene Maschine, verschlüsselt, authentisiert und jederzeit nachvollziehbar durch eine Videoaufzeichnung. Cyber-diode: Monitoring von Maschinen, Anlagen und KRITIS Alle Maschinen und Anlagen, die via Internet Daten senden, sind darüber prinzipiell auch angreifbar. Deshalb müssen die vernetzten Systeme vor eindringender Malware und unbefugten Zugriffen geschützt werden. Besonders hoher Sicherheitsbedarf besteht in Fällen wie im eingangs geschilderten Beispiel, wenn von der fehlerfreien Funktion kritischer Infrastrukturen hohe Sachwerte oder gar Leben abhängen. Risiken bei der Vernetzung hochkritischer Steuerungssysteme lassen sich beispielsweise mit der cyber-diode minimieren. Diese Lösung kontrolliert die Netzanbindung und lässt ausschließlich Einbahn-Datentransfers zu – in Gegenrichtung wird dagegen jeder Informationsfluss konsequent abgeblockt (5). Auf diese Weise geschützt können Maschinen, Anlagen und IT-Systeme Daten über öffentliche Netze versenden, ohne dass ihre Integrität gefährdet wird. Einbahn-Systeme wie die cyber-diode haben ihren Ursprung in stark segmentierten Netzen staatlicher Anwender mit unterschiedlichen Geheimhaltungsstufen und sind inzwischen auch bei Industrieanwendern gefragt. cognitix Threat Defender: Netzwerkschutz mit KI und Data Analytics Neben Gefahren durch Cyberattacken von außen sind Industrienetzwerke durch Advanced Persistent Threats und Zero Days auch von innen bedroht. Eine Lösung bieten Intrusion Prevention Systeme, die im LAN Anomalien und Angriffsmuster aufspüren und bei Gefahr automatisiert eingreifen. Der cognitix Threat Defender (cTD) geht über Intrusion Prevention hinaus: Mit KI-, Data Analytics- und Threat Intelligence-Funktionen baut er eine zweite Verteidigungslinie im Netzwerk auf und ergänzt damit Firewall-Lösungen, die den Datenverkehr an den Schnitt stellen kontrollieren und sichern (6). Für zusätzliche Transparenz sorgt, dass der cTD alle im Netzwerk vorhandenen Geräte mittels IP- und MAC-Adresse erkennt und verwaltet. Die dazu ermittelten Informationen werden zudem mit spezifischen Metadaten ergänzt. So lassen sich Sicherheitsrichtlinien für einzelne Geräte, aber auch für Gerätegruppen und deren jeweiligen Einsatzzweck erstellen und anwenden. ◄ • Inhaltskontrolle aller Daten • Zertifizierung nach CC in der Stufe EAL 4+ • Anbindung an Systeme zur Ereignis- und Risikoanalyse möglich (Security Information and Event Management / SIEM, z. B. QRadar von IBM) TOP-Leistungsmerkmale des cTD: • Automatischer Schutz und Realtime Analyse • Next Gen IDS Tool für Enterprise IT & Industrial OT • Plattform für den Einsatz von Data Science, Machine Learning und AI zur Netzwerk- und Threat Analyse TOP-Kriterien bei der Auswahl einer Gateway-Lösung: • Trennung in Anwendungs-/ Sicherheitsbereich • L4 Sicherheit und Schutz vor Gefahren in Anwendungen • Langzeitkompatibilität durch Software-Plattform Docker TOP-Kriterien bei der Auswahl einer cyber -diode: • Sichere Einbahn-Datentransfers an sensiblen Schnittstellen • Einfaches Lizenzmodell (All in One Device) • Security by Design mit Microkernel Anmerkungen & Quellen Bild 4: Optionen zur Integration des cognitix Threat Defenders (1) Cybersecurity and Infrastructure Security Agency (2) https://us-cert.cisa.gov/ncas/alerts/aa20-049a (3) https://www.genua.de/loesungen/high-resistance-firewallgenugate.html (4) https://www.genua.de/loesungen/cloud-edge-gateway-gsgate. html (5) https://www.genua.de/loesungen/datendiode-cyber-diode.html (6) https://www.genua.de/loesungen/threat-defender.html PC & Industrie 9/2020 29

hf-praxis

PC & Industrie

© beam-Verlag Dipl.-Ing. Reinhard Birchel