Industrial Services - Security | Safety | CE

Mit voller Transparenz gegen Cyber-Angriffe

Anomalieerkennung in industriellen Netzwerken Bevor Gegenmaßnahmen eingeleitet werden können, muss das Problem erst einmal bekannt sein: Das gilt besonders für Cyber-Angriffe auf Produktionsnetzwerke. Mit der IT-Sicherheitslösung Irma steht ein entsprechendes Überwachungs-Tool zur Verfügung, das auch nicht patchbare Systeme absichert und Transparenz schafft.

Waren Fertigungsnetze in der Vergangenheit häufig noch physisch von der Büro-IT und öffentlichen Netzwerken getrennt, wachsen diese Welten heute immer mehr zusammen. So können die Betreiber industrieller Anlagen wirtschaftliche Optimierungen vornehmen und flexibler auf neue Marktanforderungen reagieren. Die zunehmende Verflechtung eröffnet jedoch nicht nur Vorteile: Organisatorische und technische Fehler führen in der Praxis dazu, dass selbst nicht versierte Angreifer weltweiten Zugriff auf sensible Systeme und Informationen erhalten. Im Rahmen einer Cyber-Sicherheits-Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) gaben rund 70 % der teilnehmenden Unternehmen und Institutionen an, bereits Opfer eines Angriffs geworden zu sein. Bei jedem zweiten Unternehmen resultierte eine erfolgreiche Kompromittierung in Produktionsausfälle. Die Frage ist also nicht ob, sondern wann ein Betrieb angegriffen wird und wie man sich dagegen schützt.

Ständige Überwachung

Ist die Relevanz von Security erkannt, folgt bei der Planung konkreter Konzepte und Maßnahmen rasch die Ernüchterung: Die Umsetzung von Standards, Normen oder Leitfäden wie IEC 62443, NIST oder dem BSI-Grundschutz-Kompendium erfordert umfassende Ressourcen und Know-how.
Zur Realisierung bedarf es entsprechender Prozesse, angemessener Technologien sowie der Qualifizierung von Mitarbeitern. Die umfangreiche Erfassung und Dokumentation des Inventars stellen dabei die Basis für Security-Konzepte dar, ganz nach dem Motto „Man kann nur schützen, von dem man weiß“.

Damit sich ein Angriff überhaupt detektieren lässt und passende Gegenmaßnahmen eingeleitet werden können, kommt der ständigen Überwachung der Teilnehmer und Kommunikationsverbindungen im eigenen Netzwerk eine große Bedeutung zu. Lediglich durch das Sammeln, Bewerten und Korrelieren der jeweiligen Informationen lassen sich Hinweise zur Feststellung des Angriffs gewinnen. Vor diesem Hintergrund bietet Phoenix Contact neben klassischen Industriekomponenten wie Reihenklemmen, Stromversorgungen und Überspannungsschutz ein ganzheitliches Portfolio an Security Appliances sowie vielfältige produktunabhängige Security-Dienstleistungen an. Von der Analyse des Istzustands über die Umsetzung gemeinsam erarbeiteter Maßnahmen bis zur permanenten Erhaltung und Optimierung des Sicherheitsniveaus werden die Betreiber über den gesamten Lebenszyklus ihrer industriellen Anlage umfassend durch erfahrene Ansprechpartner unterstützt.

Integration ohne Aufwand

Vertrauen ist gut, Kontrolle erweist sich als wesentlich: Getreu diesem Motto stellt Phoenix Contact mit der IT-Sicherheitslösung Irma (Industrie Risiko Management Automation) des Vertriebspartners Videc Data Engineering ein System zur kontinuierlichen und automatischen Überwachung industrieller Netzwerke zur Verfügung. Irma basiert auf einer gehärteten Linux-Anwendung, die auf einem Industrie-PC wie dem BL Rackmount von Phoenix Contact geliefert wird. Zur Integration der Lösung muss der laufende Betrieb der Anlage nicht unterbrochen werden: Ein Mirror- oder SPAN-Port am zentralen Netzwerk-Switch genügt und Irma ist innerhalb kurzer Zeit sowie ohne Konfigurationsaufwand einsatzbereit.

Das System lässt sich in den unterschiedlichen Netzwerksegmenten der Anlage platzieren und nimmt dort selbstständig alle beteiligten Assets und ihre Kommunikationsverbindungen auf. Im Gegensatz zu anderen Lösungen verhält sich Irma dabei vollkommen passiv, sodass die Netzwerk-Performance der Applikation nicht beeinflusst wird. Zudem müssen zertifizierte Produktionsanlagen und Prozesse nicht rezertifiziert werden. Für viele gängige Übertragungsprotokolle – wie zum Beispiel IEC 60870-5-104 oder Modbus-TCP – bietet Irma die Möglichkeit einer „packet inspection“ zur Analyse und Erkennung von Abweichungen. Die gesammelten Informationen fließen auf einem Dashboard zusammen und werden hier übersichtlich angezeigt. So kann der Anwender die komplette Kommunikation auf einer Oberfläche verfolgen und auswerten. Nachdem die zugehörigen Assets und Verbindungen validiert sind, werden neue Teilnehmer und Anomalien im Netzwerk durch einen Soll-Ist-Vergleich in Echtzeit detektiert und sofort gemeldet. Auf diese Weise lassen sich potenzielle Angriffe schon in der Vorbereitungsphase feststellen und unterbinden. Das verschafft einen entscheidenden Vorteil, da der Faktor Zeit für das potenzielle Schadensausmaß eine wesentliche Rolle spielt. Irma sichert auch nicht patchbare Systeme wie Windows NT/2000/XP, ältere Steuerungen oder OPC-Classic-Anwendungen ab.

Erzeugung von Netzstrukturplänen

Die IT-Sicherheitslösung zeichnet sich ferner dadurch aus, dass die Netzstrukturpläne nicht mehr manuell generiert werden müssen. Vielmehr erzeugt Irma auf Abruf logische Netzpläne und visualisiert sie gemäß den Anforderungen des Anlagenbetreibers. Nicht erwünschte Kommunikationsverbindungen sind jetzt sofort ersichtlich und Fehlkonfigurationen im Netzwerk lassen sich schnell aufdecken. Darüber hinaus ermöglicht das integrierte Risikomanagement die Durchführung eines IT-Risiko-Managementprozesses. So können für sämtliche erkannten Assets relevante Risiken erfasst, bewertet und durch geeignete Maßnahmen auf ein akzeptables Maß reduziert werden. Bei Bedarf exportiert der Betreiber die erforderlichen Informationen in ein gängiges Dateiformat. Das schafft nicht nur Transparenz, sondern erfüllt gleichzeitig die wesentlichen Anforderungen vieler anerkannter Sicherheitsstandards. Auf diese Weise wird Zeit eingespart, die beispielsweise bei der Vorbereitung von Security Audits eingeplant werden muss.

Anwender, die die Security Appliance prüfen oder einfach den aktuellen Status der eigenen Anlagensicherheit identifizieren möchten, erhalten außerdem mit dem OT-Eval-Paket eine kostengünstige Einstiegsmöglichkeit. Dabei wird das Gerät über einen Testzeitraum implementiert, der Datenverkehr transparent dargestellt und unverzüglich über Auffälligkeiten alarmiert. Gemeinsam mit einem OT-Security- und Netzwerkspezialisten werden die aufgenommenen Daten analysiert und mögliche Maßnahmen zur Risikominimierung abgeleitet. Im Rahmen seines Security-Dienstleistungsspektrums bietet Phoenix Contact neben der Einbindung des Irma-Systems in vorhandene oder neue Netzwerkkonzepte dessen Inbetriebnahme vor Ort, regelmäßige Updates und monatliche Auswertungen sowie die Unterstützung bei allen Fragen zu systemischen Meldungen. Security muss dynamisch sein, will heißen, IT-Sicherheit kann zu keinem Zeitpunkt als finaler Zustand betrachtet werden. Während dem Angreifer eine einzige Schwachstelle genügt, muss sich der Anlagenbetreiber gegen sämtliche potenziellen Risiken wappnen. Diese ändern sich ständig, weshalb die Security-Maßnahmen einer industriellen Anlage regelmäßig auf den Prüfstand gestellt und optimiert werden müssen.

Zertifizierung gemäß IEC 62443-2-4

Abgesehen vom Netzwerk-Monitoring steht Phoenix Contact den Betreibern mit zahlreichen Services bei der Umsetzung eines umfassenden Security-Konzepts zur Seite. Als eines der ersten Unternehmen in Deutschland wurde Phoenix Contact gemäß IEC 62443-2-4 zertifiziert. Diese Norm listet Anforderungen für Service-Provider respektive Dienstleister auf, wodurch eine gleichbleibende Qualität beim Design von Security-Lösungen sowie die Realisierung ganzheitlicher Konzepte in puncto Mensch, Organisation und Technik sichergestellt ist.

Phoenix Contact GmbH & Co.KG, Blomberg

Erschienen im Fachmagazin Prozesstechnik

0 Kommentare