Per Dateneinbahnstraße sicher ins unsichere Netz

Vor einigen Jahren sagte Jeff Immelt sinngemäß: Wenn Du gestern als Industrieunternehmen zu Bett gegangen bist, wachst du heute als Software- und Analytics-Unternehmen auf. Das ist zweifelsfrei immer noch gültig. Mit Blick auf Industrie 4.0 bedeutet dies, Digitalisierung, Effizienzsteigerung, flexible Produktion bis hin zur Losgröße 1 sind keine Buzzwords mehr, sondern Realität. Die notwendige Vernetzung stellt Industrieunternehmen und Betreiber kritischer Infrastrukturen (Kritis) mit Blick auf die Anlagensicherheit jedoch vor risikobehaftete Entscheidungen.

Welche Gefahren die Anbindung von unternehmensinternen Systemen an das Internet birgt, zeigt ein Blick in den Jahresbericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Demnach hat die Anzahl der neuen Schadprogrammvarianten alleine im Zeitraum von Juni 2019 bis Mai 2020 um rund 117 Millionen zugenommen [1]. Auch die Varianz der Angriffsvektoren sowie die Intensität steigen weiter. Trojaner, die Daten stehlen, Ransomware zur Lösegelderpressung oder gar die komplette Kompromittierung einer Anlage bis hin zur Übernahme des Systems sind nur drei mögliche Szenarien von vielen, die Unternehmen teuer zu stehen kommen können.

Herausforderungen für Industrie und Kritis

Es gibt also hinreichend Gründe, auf eine hohe Qualität von IT-Security Wert zu legen, insbesondere für die Industrie. Grundsätzlich müssen eine hohe Verfügbarkeit, Auslastung sowie Produktionsgeschwindigkeit von Anlagen sichergestellt werden. Wenn über die Schnittstellen sensibler Netzsegmente kommuniziert werden soll, müssen diese besonders stark gesichert sein. Das bedeutet konkret, der Sender der Daten muss vor möglichst jeder Rückwirkung geschützt sein, die über den Kommunikationskanal entstehen kann. Die hohe Verfügbarkeit der Anlage ist zu erhalten, ebenso die Integrität der Daten. Das bedeutet, dass Daten, die gesendet werden, z. B. Steuerungscodes, nicht manipulierbar sein dürfen. Außerdem muss Vertraulichkeit sichergestellt werden. Datenlecks sind auszuschließen und die sensiblen Anlagensegmente zu schützen. Sie dürfen nur soweit notwendig und für ausgewählte Personen zugänglich sein, um keinen Datenabfluss zu riskieren.

Problematisch ist es, Security nachzurüsten bzw. on top sicher zu stellen. Sie ist bereits beim Grundaufbau von Netzwerken zu berücksichtigen. Betreiber sind zudem häufig an existierende, proprietäre und oft kostspielige Lösungen gebunden. Sie unterliegen einem hohen Abhängigkeitsgrad und sind in der Flexibilität beim Ausbau ihrer Netze und der Optimierung ihrer Kommunikation eingeschränkt.

Die Gretchenfrage lautet also: Ist es möglich, unabhängig vom Maschinenhersteller die Effizienz von Anlagen durch Vernetzung zu optimieren, ohne ihre Verfügbarkeit und Integrität zu gefährden?

Mit OPC UA hochsicher ins unsichere Netz

Möglich ist dies durch den Einsatz einer hochsicheren industriellen Software-Datendiode in Kombination mit OPC UA und IPSec-VPN. Diese Genua-Cyber-Diode (Bild) basiert auf einem zugelassenen Produkt aus dem Geheimschutz, der herstellereigenen VS-Diode. Gemäß dem Ansatz des Security by Design wurden bereits in der Konzeptionsphase der Cyber-Diode essentielle Security-Aspekte berücksichtigt. Für den sicheren Austausch von Maschinendaten in industriellen Kommunikationsnetzwerken unterstützt die Datendiode das Industrie-4.0-Protokoll OPC UA. Die aus einem sensiblen Netzwerk auszuleitenden Daten, z. B. an einen Fernwartungsserver im Internet, werden vor Versand an die Client-Applikation über IPSec-VPN aus dem Geheimschutz verschlüsselt. So lassen sich Daten hochsicher an ein beliebiges Ziel in der Cloud oder einen anderen Standort übertragen.

Autor: S. Schoner

Literatur

[1] Bundesamt für Sicherheit in der Informationstechnik (BSI) (Hrsg.): Die Lage der IT-Sicherheit in Deutschland 2020. Bonn: BSI, 2020. Webverweis: www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html, Abruf: 28. 09. 2021

Der vollständige Artikel ist in unserem Facharchiv nachzulesen.