Firewall-Security in der Automation Hält Störer außen vor

Redakteur: Reinhard Kluger

Ohne IP-basierte Ethernet LANs geht in Produktionsnetzen nichts mehr. Das Verschmelzen der abgeschotteten Produktionswelt mit anderen Bereichen und dem Internet führt zu Einsparungen. Andererseits...

Anbieter zum Thema

Ohne IP-basierte Ethernet LANs geht in Produktionsnetzen nichts mehr. Das Verschmelzen der abgeschotteten Produktionswelt mit anderen Bereichen und dem Internet führt zu Einsparungen. Andererseits birgt ein Vernetzen ohne entsprechende Sicherungsmaßnahmen hohe Risiken. Werden sie nicht erkannt und neutralisiert, können Schadprogramme zu Produktionsverlusten oder sogar zum Ausfall des Produktionsprozesses führen. Nur durch eine effiziente und für Produktionsnetze angepasste Sicherheitsstrategie können Unternehmen die Systemverfügbarkeit sichern. Zu den Albträumen jedes Systemverantwortlichen gehört sicherlich folgendes Szenario: Bei regulären Servicearbeiten stellt der Wartungstechniker einer externen Firma eine Verbindung zwischen seinem Notebook und der Steuerung eines Industriesystems her. Der Wartungstechniker hat an diesem Tag schon mehrere Systeme untersucht. Zwischenzeitlich blieb keine Zeit, das Notebook gründlich zu überprüfen und ein verstecktes Schadprogramm blieb unbemerkt. Dieses gelangt nun auf das ungeschützte Industriesystem. Hat es sich dort erst eingenistet, ist seine Präsenz schnell spürbar: plötzlich steht eine Maschine still, eine Produktionslinie liegt lahm oder ein Roboter spielt verrückt. Der Schaden ist entsprechend groß. 70 bis 80 Prozent aller Störfälle werden durch unerlaubte, fahrlässige oder einfach auch unachtsame Zugriffe und Handlungen an Systemen innerhalb des Netzwerks verursacht. Die zentrale Firewall wird dabei umgangen und ist als Schutzschild gegen diese Angriffe von innen völlig nutzlos. Die Sicherung hochsensibler und teuerer Produktionssysteme erfordert tiefergehende Maßnahmen.Die Planung gehört in IT-HändeBei der Planung und Budgetierung einer neuen Netzwerkinfrastruktur – oder bei der Migration bestehender Systeme auf neue Standards wie Ethernet – muss das Thema Sicherheit von Anfang an berücksichtigt werden. Anstatt die Absicherung der Produktionsnetze ausschließlich in die Hände der zentralen IT-Abteilung zu legen, sollte die Planung einer geeigneten Security-Lösung in enger Abstimmung mit allen Unternehmensbereichen erfolgen. Sicherheitslösungen aus dem Büro eignen sich nicht automatisch auch für den Produktionsbereich. Die – auch aus dem Office-Bereich bekannte – Stateful Inspection Firewall stellt den neuesten Stand der Technik dar. Diese Art von Firewall überwacht sowohl eingehende als auch ausgehende Datenpakete nach vordefinierten Regeln. Ausschließlich autorisierte Verbindungen werden zugelassen. Eine Alternative zu Software-Firewall/Virenschutz-Lösungen können beispielsweise verteilte und System-unabhängige Hardware-basierte Firewall-Lösungen sein. Eine Hardware-basierte Firewall wird direkt vor das zu schützende System geschaltet und berührt und beeinflusst die darauf laufende Software nicht. Diese „device attached security“ ist vor allem im Produktionsumfeld von Vorteil. Zentrale Software-Firewalls haben den Vorteil, dass sie oft günstiger sind als eine Einzelabsicherung von Systemen. Doch dies ist nur so lange der Fall, bis es ein Virus oder ein Wurm schafft, die relativ unspezifische Sicherung zu knacken. Fällt eine Produktionsstraße für Stunden aus, so kostet dies in den meisten Fällen mehr, als ein PC-Absturz im Büro verursachen könnte. Fertigungsnetze benötigen spezialisierte Sicherheitslösungen.Die Voraussetzungen in der Fertigung in Bezug auf IT und Sicherheit unterscheiden sich von denen im Büro, weshalb auch die Anforderungen an Sicherheitslösungen deutlich andere sind. Die Systemverfügbarkeit beispielsweise spielt eine ungleich größere Rolle, Ausfallzeiten sind unakzeptabel. In der Produktion findet man oft ältere Betriebssysteme in unterschiedlichen Versionen vor. Eine zentrale Sicherheits-Software ist schon deshalb ein Problem. Hardware-Lösungen für die Industrie müssen robust und einfach zu bedienen sein. Dass Firewall-Appliances Sicherheit und Systemverfügbarkeit bereit stellen, versteht sich von selbst. Zu Stealthmode – Firewall mit Tarnkappe: Modernste Firewall-Funktionalitäten und Virenschutz sind die Basis einer Sicherheitslösung. Sehr effektiv ist ein Schutzschild, wenn es Angreifer von außen nicht wissen, dass es da ist. Die mGuard Firewalls von Innominate beispielsweise arbeiten im „Stealth Mode“ und übernehmen die IP-Adresse ihrer zu schützenden Systeme. Sie haben folglich keine nach außen hin sichtbare „Identität“. Auch für das System selbst sind die Firewalls so „unsichtbar“. Die steigende Komplexität industrieller Systeme machen es unerlässlich, dass Zugriffe von Außen möglich sind – beispielsweise um eine Fernüberwachung oder Fernwartung durchzuführen. Damit Systeme durch diese Zugriffe nicht gefährdet werden, sollte die Firewall sichere Virtual Private Networks (VPN) unterstützen, abgesicherte Einzelverbindungen zwischen den einzelnen Systemen und Netzbereichen. Zusätzlich zu den Hardware-Firewalls muss ein intuitives, einfaches Security Policy Management verfügbar sein, wo Administratoren über graphische Benutzeroberflächen Zugriffsrechte verwalten. Erst so kann eine nachvollziehbare und lückenlose Sicherheitsstruktur gewährleistet werden. Maschinen, die nicht fertigen, kosten Geld. Sicherheitssysteme müssen ihre Schutzfunktion erfüllen, ohne dass sie die laufenden Systeme gefährden. Doch auch dies ist schon vorgekommen: Ein namhaftes Unternehmen der Prozessautomatisierung in den USA hatte in der Leittechnik eines Industrie-PCs Anti-Virus-Software installiert. Durch ein Fehlverhalten der Software wurde die Notabschaltung eines wichtigen Kesselsystems verhindert. Dieses Beispiel zeigt, dass es sinnvoll ist, die Software der Einzelsysteme und die Software der zugeordneten Firewall voneinander unabhängig zu halten. Dies bietet außerdem den Vorteil, dass zertifizierungspflichtige Systeme, beispielsweise in der Pharma-Branche, nach Sicherheits-Updates nicht jedes mal neu validiert werden müssen. Läuft die Sicherheits-Software hingegen auf dem Industrie-System, müsste es nach dem Aufspielen eines neuen Sicherheitspatches aus dem Betrieb genommen werden, bis es die neue Zertifizierung erhalten hat. Innominates mGuard bladePacks bieten die Möglichkeit, einzelne Firewall blades, die zur Absicherung des Backoffice-Bereichs zwischen Büro und Produktion verwendet werden, im laufenden Betrieb auszutauschen. Diese Eigenschaft bietet auch der speziell für den Einsatz auf DIN-Hutschienen entwickelte mGuard industrial. In beiden Fällen übernimmt eine redundante Firewall bei einem Ausfall des Primärgeräts in der Zwischenzeit die Absicherung, und er überspielt die vorgesehenen Konfigurationen innerhalb kürzester Zeit auf ein vorhandenes Ersatzgerät.Systemverfügbarkeit bedeutet auch, dass eine neue Sicherheitsinfrastruktur schnell einsatzfähig ist. Dafür hat Innominate den sogenannten „Autolearning Mode“ entwickelt. Damit werden im Einrichtungsprozess alle Datenverbindungen mitprotokolliert, das System kann dem Administrator selbständig und automatisch Sicherheitsregeln vorschlagen. So können aus dem laufenden Netzwerkverkehr die sinnvollsten Security Policies abgeleitet und nach der Freigabe durch den Sicherheitsverantwortlichen oder das Management scharf geschaltet werden. Andreas Beierer, Director Marketing & Alliances, Innominate Security Technologies AG.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:164143)