Suchen

Sicherheitstechnik Keine Chance für Cyber-Kriminalität: So lassen sich Anlagen vor unbefugten Zugriffen absichern

| Autor / Redakteur: Tim Simon Leßmann* / Dipl. -Ing. Ines Stotz

Seit Anfang 2017 steigen die sicherheitstechnischen Angriffe auf Industrieunternehmen und den Infrastrukturbereich stetig. In den Medien wird meist dann darüber berichtet, wenn der Anschlag erfolgreich war und einen großen Schaden angerichtet hat. Unberechtigte Zugriffe auf die Daten kleiner Unternehmen oder des Einzelhandels finden kaum Beachtung. Scheitert der Angriff, weil der Betreiber sämtliche Bereiche seiner Kommunikationsinfrastruktur ausreichend abgesichert hat, ist das leider keine Nachricht Wert.

Firma zum Thema

IT-Sicherheit ist notwendig, damit sich Unternehmen in allen Bereichen wirksam vor Angriffen schützen.
IT-Sicherheit ist notwendig, damit sich Unternehmen in allen Bereichen wirksam vor Angriffen schützen.
(Bild: Phoenix Contact)

Wie schaffen es die Betreiber also ihre Anlage so zu schützen, dass sie kein Opfer von Cyber-Kriminalität werden? Diese Frage bewegt momentan viele Unternehmen überall in der Industrie. Um die Auswahl der passenden Maßnahmen zu vereinfachen, hat die Wasserwirtschaft einen Standard zur praktischen Umsetzung des IT-Sicherheitsgesetzes entwickelt, der im August 2017 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannt wurde. Es ist davon auszugehen, dass sich weitere Branchen daran anlehnen und eigene Richtlinien veröffentlichen werden, die den gleichen Stand der Technik wie in der Wasserwirtschaft voraussetzen. Für Betreiber stellt sich jedoch nach wie vor die Frage, welche Geräte dem Security-Standard entsprechen.

Bildergalerie

Baulicher Schutz von Anlagen und Übertragungsstrecken

Der größte Aufwand fällt sicher beim Schutz des Leitsystems oder Rechenzentrums an, da dort der größte Schaden angerichtet werden kann. Doch auch entfernte Teile der Kommunikations-Infrastruktur, in denen auf den ersten Blick weniger Beeinträchtigungen entstehen sollten, müssen ausreichend abgesichert werden, damit kein Einfallstor für Malware offen bleibt. Zunächst sind die Anlagen und Übertragungsstrecken baulich zu schützen, sodass ein Eindringen unbefugter Personen, das zu einem Ausfall führen könnte, unmöglich ist. Zu diesem Zweck bieten sich unter anderem Zugangskontrollen an sämtlichen Anlagenbereichen sowie Meldekontakte an Türen und Luken an, die deren Öffnen sofort an das Leitsystem melden.

Ethernet-basierte Funksysteme mit standardmäßigen Verschlüsselungsverfahren

Darüber hinaus müssen die Kommunikationsstrecken gegen Manipulation und das Einschleusen von Daten abgesichert werden. Dazu gibt es unterschiedliche Verfahren, die an der Art des Datenaustausches ausgerichtet sind. Für die Kommunikation mit entlegenen Bauwerken oder Maschinen stehen zum Beispiel verschiedene Technologien und Ansätze zur Verfügung. Oftmals wird Funk als die unsicherste Übertragungsmethode erachtet, weil sich die Ausbreitung des Funksignals nicht eindämmen lässt. Dennoch ist die drahtlose Kommunikation die günstigste Variante und häufig zudem die einzig mögliche Art der Datenweiterleitung.

Derzeit werden nur Ethernet-basierende Funksysteme – wie WLAN oder Bluetooth – durch das IT-Sicherheitsgesetz betrachtet. Entsprechende Wireless-Lösungen haben eine eher geringe Reichweite und kommen daher meist für die Kommunikation innerhalb einer Anlage zum Einsatz. Beide Technologien verfügen standardmäßig über Verschlüsselungs- und im Fall von Bluetooth über ein Frequenzsprungverfahren, welche sie robust und sicher gegen Angriffe und Störer machen. Leider unterstützen nicht alle auf dem Markt erhältlichen Geräte diese Sicherheitsmechanismen. Anwender sollten folglich darauf achten, dass die ausgewählten Komponenten eine WEP-Verschlüsselung (Wired Equivalent Privacy) sowie Authentisierungsmaßnahmen gemäß IEEE 802.1x umfassen. Noch wichtiger ist es allerdings, dass sie die Mechanismen korrekt nutzen, denn ansonsten ist kein optimaler Schutz möglich.

Proprietäre Funktechnologie durch zusätzliche Sicherheitsmechanismen ergänzt

Im Gegensatz zu den standardisierten Verfahren arbeiten proprietäre Funktechnologien je nach Hersteller mit verschiedenen Ansätzen, die durch eine unterschiedliche Qualität und Sicherheitsausprägung gekennzeichnet sind, um die Datenübertragung zu schützen. Derartige Funksysteme werden primär zur Überbrückung größerer Distanzen bis zu mehreren Kilometern verwendet. Trotz der oft geringen Datenrate sollte die Kommunikation ausreichend abgesichert werden, da sich die Ausbreitung des Signals nicht eindämmen lässt.

Bei einer proprietären Technologie – wie Trusted Wireless 2.0 von Phoenix Contact – ist das Protokoll nicht öffentlich zugänglich, weshalb sie grundsätzlich einen besseren Schutz vor unbefugten Zugriffen aufweist als öffentliche Standards. Ferner beinhaltet Trusted Wireless 2.0 weitere Sicherheitsmechanismen. So sorgt die 128-Bit-AES-Verschlüsselung dafür, dass theoretisch mitgehörte Datenpakete nicht verstanden werden. Die Integritätsprüfung kontrolliert die Echtheit des Senders und verwirft Nachrichten, die verändert wurden. Außerdem erhöht das sogenannte Frequenzsprungverfahren FHSS (Frequency Hopping Spread Spectrum) die Robustheit des Datenaustausches. Durch diese Verfahren erfüllt Trusted Wireless 2.0 sämtliche Anforderungen, die Anwender nach dem aktuellen Stand der Technik stellen können. Darüber hinaus sollte immer der bauliche Schutz der Sende- und Empfangseinrichtungen berücksichtigt werden. Zu diesem Zweck bieten sich Antennen an, die in ausreichender Höhe installiert oder so robust sind, dass sie mutwilliger Zerstörung standhalten.

(ID:44989480)