Innovationspreis für MB Connect line aus Dinkelsbühl – MB connect line hat den TeleTrusT Innovationspreis für IT-Sicherheitslösungen erhalten. Automatische Maschinen und Anlagen werden immer öfter Ziel von Hackerangriffen. Industrial Security ist ein kontinuierlicher Prozess, der fortlaufend weiterentwickelt werden muss.

Die Industriefirewall für den Automatisierer wurde aus 20 nominierten Lösungen ausgewählt. Mit dem mbNETFIX, der Firewall für den Automatisierer, können Industrienetze geschützt und segmentiert werden. Einerseits unterstützt der mbNETFIX die horizontale und vertikale Integration neuer Maschinen und Anlagen in bereits bestehende Netze. Andererseits ermöglicht er die Anbindung bereits bestehender lokaler Maschinennetze. Der jährlich vergebene TeleTrusT-Innovationspreis wird Unternehmen oder Institutionen zugesprochen, die eine innovative, vertrauenswürdige und praxistaugliche IT-Sicherheitslösung entwickelt haben. Der Preis wurde im Rahmen der Veranstaltung „T.I.S.P. Community Meeting“ übergeben, bei der mehr als 180 Security Experten anwesend waren.

Industrial Security von Anfang an
Die Komplexität von automatisierten Maschinen und Anlagen steigt stetig. Immer mehr Komponenten werden untereinander vernetzt und tauschen Informationen aus – auch über Unternehmensgrenzen hinweg. Je größer das Netzwerk ist, desto höher ist das Risiko, dass eingeschleppte Schadsoftware unbemerkt bleibt. Industrial Security muss deshalb die Basis für die industriellen Netzwerke sein und nicht nur ein Add-on. Ein industrielles Netzwerk umfasst eine Vielzahl unterschiedlicher Komponenten und Systeme. Jede vernetzte Einheit ist im Prinzip ein kleiner Computer mit Betriebssystem. Niemand kann umreißen, welche möglichen Risiken und daraus folgende Schäden aus solchen heterogenen Systemen entstehen können. Es gibt Annahmen, die besagen, dass Maschinen und Anlagen – teilweise unwissentlich – schon mit Viren und Schadsoftware auf den Steuerungssystemen ausgeliefert werden. Die Infizierung erfolgt meist während der Inbetriebnahme durch die Programmier-Computer auf die HMIs oder Industrie-PCs der Anlage.

Abschottung nicht praktikabel
Aus zwei Gründen ist die komplette Abschottung des Systems vom Internet nicht hilfreich. Zum einen kommen die Übeltäter aus dem eigenen Netz. Die USB-Schnittstelle kann zum Einfallstor werden, wenn ein Mitarbeiter dank Neugier einen gefundenen USB-Stick in den Rechner steckt oder sein infiziertes Smartphone zum Laden des Akkus anschließt. Zum anderen ist eine Verbindung zum Internet heute wichtig, um Daten in die Cloud senden oder um Fernwartung durchführen zu können. „Wer jetzt ein tolles Produkt erwartet oder eine einfache, schnelle Hilfe, um dieses Problem zu lösen, muss leider enttäuscht werden“, dämpft Siegfried Müller, Inhaber und Geschäftsführer von MB connect line, die Erwartungen. „Nach dem Stand der Technik ist ein 100-prozentiger Schutz nicht möglich“. Zudem ist Industrial Security keine einmalige Angelegenheit, sondern ein kontinuierlicher Prozess, der entsprechend der ständig wechselnden Bedrohungslage fortlaufend weiterentwickelt werden muss.

Abbildung1Alles beginnt mit der Risikobetrachtung
Eine Risikobetrachtung ist nur anhand einer konkreten Anwendung durchführbar. Sie ist daher auch bei jeder Anlage von Neuem erforderlich. Dazu werden die verschiedenen möglichen Angriffsvektoren innerhalb der Anlage betrachtet. Im Wesentlichen sind das interne und externe Schnittstellen. Nach außen wäre das beispielsweise der Netzwerkanschluss. Das kann das Firmennetzwerk des Betreibers sein oder ein direkter Internetanschluss per LAN, WLAN oder Mobilfunk. Im Inneren wäre das unter anderem ein USB-Anschluss an einem HMI-Gerät oder einer SPS, ein Netzwerkanschluss innerhalb der Anlage oder eine andere mögliche steckbare Schnittstelle wie ein Profibusstecker. Alle diese Schnittstellen sind potenzielle Einfallstore für Schadsoftware oder Angriffe. Abgesehen von den physischen Schnittstellen geht es auch um die Benutzerschnittstellen wie beispielsweise ein Visualisierungssystem mit verschiedenen Zugangsebenen. Hier könnte jemand Schwachstellen bei der Benutzeranmeldung ausnutzen. „Das Risiko ist nicht nur der böse Hacker von außen. Auch eigene Mitarbeiter können aus Spieltrieb oder absichtlich dem Unternehmen schaden“, berichtet Siegfried Müller aus seiner langjährigen Erfahrung. Nachdem alle möglichen Schnittstellen identifiziert sind, geht es darum, mögliche Schäden zu definieren. Alle Schnittstellen und Risiken sollten entsprechend aufgelistet und jeweils mit einer Maßnahme versehen werden.

Sicherheit auf mehreren Ebenen
Eingangs wurde erwähnt, dass sich umfassende Netzwerke nur schwer beherrschen lassen. Die Lösung dazu ist die Segmentierung der Netzwerke und die Bildung sicherer Zonen, indem der Datenaustausch zwischen den Netzwerksegmenten streng reglementiert wird. „Damit wird wirksam verhindert, dass sich eine Fehlfunktion oder eine Schadsoftware über das gesamte Netzwerk ausbreitet“, erläutert Müller. Die Kommunikationszonen werden idealerweise dadurch gebildet, dass man Systeme oder Anlagenteile zusammenfasst, die kontinuierlich miteinander Daten austauschen müssen. Der Übergang zu Kommunikationspartnern, die nur selten oder wenig Datenkommunikation zueinander haben, werden mit Firewalls voneinander abgetrennt. Die Firewall lässt nur die erforderlichen Protokolle und Kommunikationspartner zu. Eine richtige und lückenlose Konfiguration einer IT-Firewall ist natürlich erforderlich und setzt IT-Erfahrung und Netzwerkkenntnisse beim Automatisierer voraus. Konfigurationsfehler führen hier häufig zu Sicherheitslücken.

Security by Default
Wird die Firewall mbNETFIX erstmalig installiert, so sind grundsätzlich alle Kommunikationskanäle gesperrt. Der Anwender kann zuerst mittels einer komfortablen Bedienersoftware sein Projekt offline konfigurieren und dann, wie er es von der SPS-Programmierung gewohnt ist, sein Projekt direkt in die Firewall übertragen und online beobachten. Beim ersten Verbindungsaufbau der Software zur Firewall ist dann ein einmaliges Passwort notwendig und ab da kommunizieren das Projekt und die Firewall nur noch über sichere RSA-Schlüssel. Das Projekt ist weiterhin mit einem Passwort gegen Fremdeingriff geschützt. Die Firewall hat im unkonfigurierten Zustand die Netzwerkteilnehmer gelernt und gibt die Kommunikationsbeziehungen dem Anwender als grafische Darstellung als Vorschlag. Hier muss dann nur noch mit einem Mausklick die Kommunikationsfreigabe erteilt werden und schon ist die Firewall fertig eingerichtet. Zusätzlich zu dieser einfachen Inbetriebnahme kann der Experte auch Paketfilter für IP-/Port und MAC-Adressen selbst definieren. Funktionen wie NAT und SimpleNAT, Forwarding und Routing sind implementiert und mit Beispielapplikationen in der Konfigurationssoftware beschrieben.

Fazit
Automatisierer sind vorrangig Experten in ihrer jeweiligen Branche und in ihrem Anwendungsgebiet. Sie haben das Thema Sicherheit in ihrem Entwicklungsprozess seither meist gar nicht oder nur am Rande betrachtet. Das ist kein Vorwurf, sondern nur eine Erkenntnis. Dadurch entstehen aber zwangsläufig Sicherheitslücken in der Automatisierungsanlage. Hacker versuchen immer wieder, sich durch diese Lücken erfolgreich Zugang zu den Systemen zu verschaffen. Die geplanten Normen und Standards haben internationale Bedeutung und zunehmend Auswirkung auf zukünftige Geräte und Lösungen. „Trotzdem gilt nach wie vor: Security ist kein Produkt, sondern ein Prozess, den man auch leben muss.“ so Siegfried Müller abschließend.

NETZWERKKONTAKT

MB-Connect-Line_Logo_StandaSiegfried Müller (Geschäftsführer)
MB connect line GmbH
Winnettener Straße 6 | 91550 Dinkelsbühl
Telefon 09851 / 58 25 29 – 0
mueller@mbconnectline.de | www.mbconnectline.de

Im Bild oben: Geschäftsführer Siegfried Müller und Dr. Holger Mühlbauer (re.), Geschäftsführer von TeleTrusT – Bundesverband IT-Sicherheit e.V.
Bildnachweis: MB Connekt Line