Security on board

Bildquelle: Michael715@shutterstock.com

| von Dr.-Ing. Lutz Jänicke, Corporate Product & Solution Security Officer, Phoenix Contact GmbH & Co. KG, Blomberg

In der Automatisierung gilt es vorrangig die eigentliche Automatisierungsaufgabe zu lösen, folglich ein Werkstück zu bearbeiten, ein Gerät zu montieren, einen Prozess zu überwachen oder einen Wert zu messen. Doch immer mehr Funktionen werden durch Software umgesetzt und einzelne Systeme miteinander vernetzt. Eine solche Digitalisierung eröffnet viele Chancen, birgt allerdings ebenfalls Risiken.

So kann es neben geplanten zu ungezielten Angriffen auf das Netzwerk kommen, etwa durch unerlaubte Zugriffe oder Schadsoftware sowie schlicht durch Fehlbedienung oder Fehlfunktion. Um diese Risiken zu adressieren, stehen in der Cybersecurity technische und organisatorische Maßnahmen zur Verfügung, mit denen Schäden verhindert oder zumindest eingedämmt werden sollen. Im Rahmen des Beitrags werden insbesondere technische Maßnahmen vergleichend diskutiert, die entweder durch spezialisierte Security-Produkte oder durch die in die Komponenten integrierten Security-Eigenschaften realisierbar sind.

Technische Maßnahmen zur Zugriffsbeschränkung und zum Integritätsschutz

Zahlreiche Bedrohungen lassen sich durch geeignete technische Maßnahmen abwehren. Im Wesentlichen handelt es sich dabei um Methoden zur Begrenzung des Zugriffs, indem die Kommunikation oder Zugriffsrechte beschränkt werden, sowie um Ansätze zum Schutz der Integrität. Die einzelnen Maßnahmen ergänzen sich in ihrer Wirkung.

Schutz vor einem unerlaubten Zugriff

Unabhängig davon, ob ein gezielter Angriff oder lediglich eine Fehlbedienung unterbunden werden muss, stellt der Zugriffsschutz das wahrscheinlich wichtigste Instrument der Cybersecurity dar. Er beginnt bei der physischen Absicherung vor einem unbefugten Zugang und setzt sich auf der Kommunikationsebene fort. Erhält der Angreifer keinen Zugriff auf das Netzwerk, ist das Schadenspotenzial offensichtlich deutlich geringer.

Schutz auf der Netzwerkebene

Als erste Verteidigungslinie zur Verhinderung eines unbefugten Eindringens über Kommunikationsverbindungen bietet sich die Verwendung von Firewalls an. Sie filtern die Kommunikationsverbindungen, sodass nur noch erlaubte Verbindungen aufgebaut werden können. Diese Filterung lässt sich entweder in ein Gerät integrieren oder durch eine dedizierte Firewall-Komponente im Netzwerk umsetzen. Eine eingebaute Firewall erweist sich in puncto Kosten als vorteilhaft, ist aber je nach Qualität der Implementierung des Hauptsystems anfälliger im Hinblick auf Angriffe.

Sollen viele unterschiedliche Geräte mit integrierter Firewall genutzt werden, sind sämtliche Varianten zu administrieren und zu pflegen. Wird das Hauptsystem doch erfolgreich angegriffen, kann die Firewall ebenfalls unterwandert werden. Zudem erfordert die hochwertige Einrichtung einer Firewall eigene Kenntnisse, die bei den Entwicklern von Automatisierungskomponenten nicht immer verfügbar sind (Bild 1).

Bild 1: Eine eingebaute Firewall erweist sich in puncto Kosten als vorteilhaft
Bild 1: Eine eingebaute Firewall erweist sich in puncto Kosten als vorteilhaft.

Eine dedizierte Firewall als externes Gerät bedingt eine zielgerichtete Investition, ermöglicht allerdings eine von den anderen Automatisierungskomponenten unabhängige Auswahl. Darüber hinaus ist eine zentrale Administration realisierbar. Das eigenständige Security-Gerät zeigt sich als robust gegenüber Schwachstellen in weiteren Automatisierungskomponenten.

Es lässt sich patchen und updaten, ohne die Funktion des Gesamtsystems zu beeinträchtigen. Im Fall einer Überlastung des Netzwerks schützt die Firewall, da sie selbst die Last aufnehmen und die hinter ihr angeordneten Automatisierungskomponenten so abschirmen kann. Firewall-Geräte werden typischerweise von Spezialisten für den Zugriffsschutz entwickelt und lassen daher ein entsprechendes Qualitätsniveau vermuten (Bild 2).

Bild 2: Eine dedizierte Firewall lässt sich patchen und updaten, ohne die Funktion des Gesamtsystems zu beeinträchtigen.
Bild 2: Eine dedizierte Firewall lässt sich patchen und updaten, ohne die Funktion des Gesamtsystems zu beeinträchtigen.

Schutz bei Fernverbindungen

Fernverbindungen über das Internet sollten grundsätzlich verschlüsselt erfolgen, etwa über ein Virtual Private Network (VPN). Die zu diesem Zweck eingesetzten Protokolle sichern generell nicht nur vor dem Abfangen und Abhören von Informationen ab, sondern enthalten auch Mechanismen zum Schutz vor Manipulationen.

Für die Umsetzung gilt hier ebenfalls, dass die Integration durch Software oder als bereits eingebaute Funktion Kostenvorteile eröffnet, während sich die Ausführung als dedizierte Komponente positiv auf die Qualität der Implementierung und der Administration auswirkt. In zahlreichen Lösungen sind die Funktionen eines VPN-Gateways und einer Firewall kombiniert, so auch bei den Security Appliances FL mGuard von Phoenix Contact (Bild 3).

Bild 3: Fernverbindungen über das Internet sollte durch ein Virtual Private Network abgesichert werden.
Bild 3: Fernverbindungen über das Internet sollte durch ein Virtual Private Network abgesichert werden.

Schutz auf Benutzerebene

Ist die Kommunikation durch eine Firewall erlaubt worden oder über einen lokalen Zugang möglich, sollte dieser durch eine Benutzeranmeldung geschützt sein. Es wäre lediglich zu überlegen, ob eine Ausnahme erteilt werden kann, sofern der Mitarbeiter sich nur Daten anzeigen lässt oder die Maschine bedient.

Alle administrativen Zugänge sind jedoch abzusichern. Ein Benutzermanagement kann lokal stattfinden, ist dann aber schwer administrierbar. Als praktischer erweisen sich zentrale Managementsysteme. Unterstützt das Automatisierungssystem keine Zugriffssteuerung, kann eine dedizierte Firewall helfen, die vorher festgelegte Verbindungen lediglich in dem Fall durchschaltet, wenn sich der Benutzer bereits an der Firewall angemeldet hat (Bild 4).

Bild 4: Eine zentrale Benutzerverwaltung lässt sich einfacher administrieren.
Bild 4: Eine zentrale Benutzerverwaltung lässt sich einfacher administrieren.

Schutz vor Malware

Sehr viele Schäden werden durch Malware wie Viren und Trojaner verursacht. Bei Malware handelt es sich um Software, deren Schadwirkung erst bei ihrer Ausführung eintritt. Der Schutz auf der Netzwerkebene oder durch die Zugriffssteuerung hat also nicht gewirkt. Um die Umsetzung der Malware dennoch zu verhindern, steht Antiviren-Software als klassisches Security-Produkt zur Verfügung. Ihre Qualität hängt allerdings von der Erkennungsrate und den regelmäßigen Updates ab.

Dementsprechend wird neue Malware nicht eher detektiert, bis es erste Opfer gegeben hat. Die Anforderungen an die Rechenleistung und mitunter zu beobachtende Fehlerkennungen führen ferner zu Störungen bei den Automatisierungsanwendungen. Als besser geeignet zeigen sich Lösungen, die die Ausführung von unbekannter Software direkt unterbinden – Stichwort: Whitelisting – sowie insbesondere Automatisierungskomponenten mit eingebautem Integritätsschutz. Ein wesentliches Element ist hier ein sicherer Patch- und Update-Prozesse, der nur die Installation von Originalsoftware oder -firmware zulässt, wie dies bei immer mehr Produkten von Phoenix Contact - etwa der Baureihe FL mGuard oder den PLCnext-Geräten - der Fall ist.

Standardisierte Security über die gesamte Prozesskette

Phoenix Contact steht seinen Kunden über die gesamte Prozesskette mit standardisierter Security zur Seite. Bei der Bestandsaufnahme und Bedrohungsanalyse bestehender oder geplanter Anlagen bilden individuelle Dienstleistungsangebote die Basis für die Umsetzung von Security-Konzepten. Darüber hinaus werden für verschiedene Branchen sichere Automatisierungslösungen zur Verfügung gestellt. 

Zum Aufbau sicherer Netzwerke tragen nicht zuletzt die entsprechenden Security-Komponenten wie Firewalls und sichere Steuerungen des Unternehmens bei, die in Kombination mit den Sicherheitsfunktionen anderer Komponenten wirken. Vom sicheren Entwicklungsprozess bis zum kontinuierlichen Schwachstellenmanagement des Phoenix Contact PSIRT (Product Security Incident Response Team) ist Security dazu im kompletten Lebenszyklus der Produkte und Lösungen verankert. Erfahrung und Wertschöpfungstiefe unterstützen die Anwender ferner bei der Erreichung ihrer Security-Qualitätsziele.

Fazit

Der Vergleich von integrierten Security-Funktionen mit spezialisierten Security-Produkten verdeutlicht, dass beide Konzepte ihre Stärken haben und sich bestenfalls ergänzen sollten. Eingebaute Funktionen erweisen sich speziell dann als sinnvoll, wenn beispielsweise die gesamte Applikation durch eine einzige Steuerung bedient wird, über die auch die Anbindung an das Internet erfolgt. Voraussetzung ist natürlich die notwendige Qualität der Automatisierungskomponente.

Komplexere Systeme, die aus mehreren Geräten bestehen, werden besser durch spezialisierte Firewalls und VPN-Gateways angekoppelt. Die gleichzeitige Nutzung der in die Komponenten integrierten Security-Funktionen kann das Sicherheitsniveau weiter erhöhen. Ein eingebauter Schutz der Integrität – zum Beispiel über kryptografische Verfahren – entpuppt sich als effektiver als die nachträgliche Installation einer Antiviren-Software.

Weitere Informationen: www.phoenixcontact.de/Security

Kostenlose Registrierung

Der Eintrag "freemium_overlay_form_cte" existiert leider nicht.

*) Pflichtfeld

Sie sind bereits registriert?