In einer zunehmend vernetzen Welt der Industrie 4.0 wird es immer wichtiger die Produktionsanlagen und deren Steuer-, Regel und Überwachungssysteme zu schützen. Angriffe auf diese Systeme sind schon die Normalität. Denn diese Systeme sind weniger gut geschützt, sie wurden nicht mit dem Fokus auf Netzwerk-Sicherheit sondern nur auf Funktion und Zuverlässigkeit hin entwickelt und waren zu Anfangs nie für eine vernetze Welt gedacht. Die Hersteller haben einfach die Netzwerkfunktion hinterhergeschoben, weil die Kunden nach vernetzten Systemen verlangen und Mitbewerber diese schon angeboten haben. Vieles wurde mit der heißen Nadel gestrickt und genau an diesem Punkt stehen wir nun. Eine Vielzahl an vernetzten Industriesteuerrungen mit einem fast nicht vorhandenen Sicherheitsniveau der Systeme.
Da die Dinge nun mal sind wie sie sind und auch ein Betreiber solcher Anlagen kaum einen Einfluss darauf hat, dass sich hier das Sicherheitsniveau kurz bis mittelfristig ändert, bleibt nur der Weg sich mit den vorhandene Zustand abzufinden und anhand der vorgegeben Bedingungen das nötige Sicherheitskonzept zu entwickeln. Zu den Rahmenbedingungen gehört häufig auch die Netzwerktopologie, die viele in der Produktionsumgebung ungern anpacken und ändern wollen. Das Netzwerk läuft und Ausfalle in der Produktion die durch die IT verursacht werden, möchte keiner erklären müssen. Vor allem dann, wenn es um so ein abstraktes Thema wie die Absicherung der Anlagen auf Netzwerkebene geht. Hier einen Außenstehenden die Details und die Komplexität erklären zu wollen, ist meist nicht von erfolgt gekrönt. Daher macht es am meisten Sinn, eine Lösung zu entwickeln die die Systeme zuverlässig schützt, sich leicht implementieren lässt und die keine Änderungen an der Netzwerktopologie nötig macht. Eine Lösung die genau diese Dinge erfüllt möchte dieser Artikel hier nun vorstellen. Die Gefahren werden nicht weniger und es wird höchste Zeit, dass die Absicherung von Produktionsanlagen in den Fokus der Verantwortlichen rückt und auch erkannt wird, dass diese hoch sensiblen Systeme eines Unternehmen den Schutz bekommen den sie benötigen.
Da die Steuersysteme meist wie eine Blackbox betrachten muss und an dieses System auch keine Änderungen durch Dritte zugelassen sind, ist die einzige Option die Netzwerkverbindung und somit die Kommunikation der Steuerung zu kontrollieren und überwachen. Um dies ohne Änderung an der Netzwerktopologie durchzuführen, werden Systeme benötigt, die auf Layer-2 Basis die notwendigen Schutzfunktionen bereitstellen können. Um ein System zu schützen, werden Firewall-Regeln, IPS, Application Control und Antivirus benötigt. Ein URL Filter ist zwar nicht zwingend, kann aber das Sicherheitsniveau zusätzlich erhöhen. Mit einem URL Filter können Zugriffe auf Webserver unterbunden werden, um zu verhindern, dass auf diesem Weg Schadcode nachgeladen wird. So muss man sich nicht nur auf den AV Scanner verlassen. Aber dies alles muss auf Layer-2 passieren und für die Steuerung und deren Kommunikation völlig transparent sein. Ein System welches auch für einen Layer-2 Einsatz entwickelt wurde, sind Fortigate Firewalls. Diese kennen zwei Modi, den traditionellen Layer-3 Betrieb und eben auch den Transparenten Modus auf Basis von Layer-2 mit vollen UTM und NGFW Fähigkeiten. Denn genau dies wird benötigt um die Industrieanlagen zu schützen ohne in das Netzwerk-Design an sich einzugreifen.
Durch das umfangreiche Produktportfolio und der großen Auswahl an Modellen lassen sich eine Vielzahl an möglichen Szenarien realisieren. Zu den Modellen zählen ebenfalls Geräte die für den Einsatz in Industrieumgebungen entworfen worden sind. Diese vertragen höhere Temperaturen und Erschütterungen. So können diese Systeme bei einem dezentralen Szenario direkt an der Steuerung verbaut werden. Geräte für den 19″ Einbau eignen sich für den Einsatz im Netzwerkverteiler an dem Steuerungen angebunden sind. Durch eine weitere Funktion der Fortigates auf einer Hardware mehrere virtuelle Instanzen, sogenannte VDOM’s, zu betrieben eröffnet zusätzlich eine Vielzahl an Optionen für deren Implementierung. Entsprechende HA Szenarien runden das Ganze auch in Sachen Hochverfügbarkeit ab.
Besonders die Möglichkeiten durch IPS und Applikationskontrolle, die dazu noch von den Musterdatenbanken auf den Einsatz zum Schutz der Industriesteuerungen passend zugeschnitten sind, bieten die Systeme der IT umfassende Schutzfunktionen. Die Implementierung sollte sinnvoller weise in mehreren Schritten stattfinden. Denn häufig weiß weder die IT noch der Techniker an der Anlage welche Systeme wie kommunizieren. Daher sollte der erste Schritt der Monitor-Betrieb sein. So kann festgestellt werden, welche Kommunikation überhaupt stattfindet. Sehr zeitnah sollten dann die ersten Schutzfunktionen folgen um Botnetze, Trojaner und Backdoor Kommunikation zu unterbinden. Nach dem dann die Kommunikation ausgewertet ist, strafft man das Regelwerk auf die nur nötige Kommunikation zusammen. Da Sicherheit nun mal kein statische Zustand ist, sondern immer ein fortlaufender Prozess, wird das Regelwerk kontinuierlich angepasst. Durch den Einsatz eines FortiManager lassen sich zudem die Systeme zentral administrieren.
Durch den Einsatz dieser zusätzlichen Sicherheitssysteme ergibt sich ein nicht zu unterschätzender Synergieeffekt. Durch die Fortigates hat die IT auch eine Vielzahl von Sensoren im Netzwerk die alle in der Lage sind Angriffe zu erkennen und Datenströme zu protokollieren. Führt man diese Informationen in einer zentralen Log-Instanz zusammen die wiederum in der Lage ist bestimmte Zustände zu erkennen und dann die IT zu benachrichtigen, sinkt das Risiko beträchtlich, dass ein Einbruch in das eigene Netzwerk, ein Befall von Schadcode oder ein Angriff auf die Infrastruktur nicht erkannt wird. Der so entstehende Mehrwert lässt natürlich einen völlig anderen Blick auf den Invest zu. Zum einen werden für das Unternehmen kritische Anlagen und Produktionsstätten geschützt und zum andere ergibt sich für die IT eine verbesserte Ausgangssituation ihr Netz und ihre Infrastruktur noch besser zu schützen. Vor allem auch nur deshalb, weil ihr diese Informationen nun zur Verfügung stehen.
Um einen kleinen Blick über den Tellerrand der Industrie 4.0 zu werfen ergeben sich hier auch für anderen Anwendungsfälle ganz neue Möglichkeiten. Eine Fortigate im Transparenten Modus lässt sich auch völlig anders einsetzen. Hier sind zum Beispiel MPLS oder Managed VPN Endpunkte zu nennen, Fernwartungsboxen, Tk Anlagen oder auch „nur“ eine zweite Instanz zur Unterstützung der vorhanden Firewall. Sei es auch einfach nur um die Kontrolle zu behalten in dem einem zusätzliche Informationen über die vorhandene Kommunikation bereitgestellt werden.
Bei Fragen zum Thema Absicherung von Industrie 4.0 oder der Layer-2 Security haben, stehen wir wie gewohnt zur Verfügung.