Wlan, Bild: Pixabay.com

Systeme für eine zentrale Zugriffskontrolle, Intrusion Detection (Eindringungserkennung), Firewalls und der Schutz von Management Frames sind mittlerweile wichtige Bestandteile gegen die Bedrohung vertraulicher Daten. Bild: Pixabay.com

Die Sicherheit industrieller Steuerungssysteme (Industrial Control Systems, ICS) erfordert den Einsatz mehrerer Schutzebenen, um kritische Prozesse abzuschotten. Durch ein Defense-in-Depth-Konzept können auch offenkundig unbeabsichtigte externe und interne Bedrohungen erkannt, isoliert und kontrolliert werden, was eine deutlich effektivere Strategie für eine zuverlässige ICS-Sicherheit ist als lediglich eine Verschlüsselung des Übertragungsweges. Um einen angemessenen und wirksamen Schutz vor Bedrohungen des Netzwerks zu gewährleisten, gibt es mehrere wichtige Sicherheitsmechanismen, die man kennen und einsetzen sollte.

Identifizierung von Sicherheitsanforderungen

Die Kommunikation über lokale Funknetze wie WLAN eröffnet vielfältige neue Möglichkeiten für industrielle Anwendungen, birgt zugleich aber auch neue Risiken für die Netzwerke, über die sie gesteuert werden. Denn kritische Anwendungen können weder eine Störung des Netzwerks noch kürzeste Ausfallzeiten verkraften. Schon eine kleine Beeinträchtigung des Betriebs kann schwerwiegende negative Folgen haben, die sich sogar direkt auf den wirtschaftlichen Ertrag einer Anlage auswirken können. Diese gravierenden Konsequenzen sind für Angreifer vielversprechende Gründe, um gerade die internen Steuerungs- und Überwachungsmechanismen eines WLAN-Netzwerks ins Visier zu nehmen.

Administratoren aus dem IT-Umfeld bewerten die Vertraulichkeit der Daten in einem Netzwerk normalerweise höher als dessen Zuverlässigkeit und würden es im Falle eines Angriffs sogar abschalten, um zu verhindern, dass Informationen entwendet werden. Wenn Betriebsleiter von Produktionsanlagen dasselbe täten, könnte ein überhastetes und nicht korrektes Herunterfahren des Netzwerks die Anlage nicht nur lahmlegen, sondern sogar nachhaltig beschädigen. Die vorrangige Sorge der Produktionsverantwortlichen gilt daher der Laufzeit und der Verfügbarkeit und damit auch der wirksamen Steuerung der Prozesse in einer Fabrik im Angriffsfall. Deshalb ist es wichtig zu überlegen, welche Maßnahmen für industrielle WLAN-Netzwerke angemessen sind und welche Art von Sicherheit gebraucht wird, um ein industrielles Funknetz sowohl gegen interne als auch externe Bedrohungen zu schützen.

Prinzipien der Netzarchitektur: Defense-in-Depth

Es ist nicht ratsam, bei der Netzwerksicherheit auf nur einen Verteidigungsmechanismus zu vertrauen, denn wenn Angreifer diesen überwunden haben, können sie das gesamte Netzwerk manipulieren. Dagegen beruht der ganzheitliche Sicherheitsansatz von Defense-in-Depth, der durch mehrere überlappende Schichten für einen Rundumschutz der Infrastruktur von Steuerungssystemen sorgt, auf drei grundlegenden Aspekten:

  • Mehrere Verteidigungsschichten: Es werden eine Reihe von Sicherheitslösungen eingesetzt, so dass bei Überwindung einer Schicht eine andere Schicht den erforderlichen Schutz gewährleistet.
  • Unterschiedliche Verteidigungsschichten: Jede Sicherheitsschicht unterscheidet sich konzeptuell und praktisch von den anderen, wodurch ein Angreifer nicht automatisch alle Schichten mit denselben Methoden überwinden kann.
  • Bedrohungsspezifische Verteidigungsschichten: Jede Schicht ist für die Abwehr spezieller Bedrohungen ausgelegt, was einen Schutz auf Grundlage von Verhalten und Kontext der Systeme, die diese Protokolle verwenden, ermöglicht.

Zusätzlich zu den Überlegungen zur Wirksamkeit der Sicherheitsmechanismen ist es notwendig zu erkennen, ob einer dieser Mechanismen gerade angegriffen wird oder bereits überwunden worden ist. Deshalb müssen der Schutz vor und die Erkennung von Angriffen Hand in Hand gehen.

 

Defense-in-Depth, Bild: Hirschmann
Ein ganzheitlicher Sicherheitsansatz sorgt für einen Rumdumschutz der Infrastruktur von Steuerungssystemen. Bild: Hirschmann

Den Randbereich des Netzes sichern

Unternehmensdaten in einem Funknetzwerk zu schützen, ist anspruchsvoll, da ein WLAN weit über die Grenzen eines Standortes hinausreichen kann. Somit brauchen Angreifer keinen direkten physikalischen Zugriff auf ein industrielles Netzwerk, um dessen Betrieb zu stören und kritische oder vertrauliche Informationen zu erlangen.

Damit sowohl die Vertraulichkeit als auch die Integrität eines Netzwerks sichergestellt werden können, definiert der Standard IEEE 802.11i Verfahren für die Festlegung von Schlüsseln sowie die Datenverschlüsselung und -überprüfung bei der Übertragung von Benutzerdaten via WLAN. Praktisch alle aktuellen Produkte sind daher mit diesem - durchaus wirksamen - Basisschutz ausgestattet, ganz unabhängig vom Hersteller der Geräte. Bei der einfachen Verwendung von IEEE 802.11i gibt es (wie aus den privaten WLAN Netzen bekannt) zwischen den Teilnehmern paarweise Schlüssel. Ein eingebauter Integritätsschutz gewährleistet, dass die Daten nicht nur vertraulich, sondern auch unverändert übermittelt werden. Dadurch wird sichergestellt, dass die Daten von Steuerungssystemen authentisch sind und Angreifer keine sensiblen Daten extrahieren können.

Die Herstellervereinigung Wi-Fi Alliance hat die für den Standard IEEE 802.11i spezifische Architektur in ihr eigenes Verfahren Wi-Fi Protected Access 2 (WPA2) integriert. Bei diesem Verfahren gibt es zwei Modi: Personal und Enterprise.

  • Personal: Beim WPA-Personal-Modus haben alle WLAN-Geräte eines Netzwerks ein gemeinsames Passwort. Dieses Passwort ist für alle Geräte und Access Points individuell vorkonfiguriert, was besonders für kleinere Netzwerke praktisch ist.
  • Enterprise: Der WPA-Enterprise-Modus erlaubt es dem Administrator, jedem Gerät einen anderen Schlüssel zuzuweisen und diese Schlüssel in einer zentralen Authentifizierungsdatenbank zu verwalten. Dadurch kann ein Access Point jedes WLAN-Gerät einzeln authentisieren. Somit lassen sich Passwörter einfacher und zentral verwalten und verlorene oder gestohlene Geräte einfach aus dem Netzwerk ausschließen, indem ihre Zugangsinformationen aus der Datenbank entfernt werden.