43. BremSec-Forum: Praxisbericht zur Absicherung von vernetzten Produktionsanlagen (Bestandsaufnahme)
Das 43. BremSec-Forum traf sich am 21. Februar 2018 im BITZ, um die Absicherung von vernetzten Produktionsanlagen zu diskutieren. Gerade durch die Thematik Industrie 4.0 wird dies immer wichtiger, weshalb die Präsentation der Firma SEGNO gerade recht kam. Da das Kerngeschäft von SEGNO u.a. Automatisierung und Fernwirktechnik sowie IT-Sicherheit für die Industrie (ICS) beinhaltet, konnte so direkt aus der Praxis berichtet werden. Die DECOIT® GmbH war traditionell ebenfalls vor Ort und nahm als IFIT-Mitglied aktiv an der Veranstaltung teil.
Industriesysteme zeichneten sich früher durch autarke Umgebungen, hohe Lebensdauer und hohe Verfügbarkeit aus. Dabei war ein hohes Spezialwissen gefordert, um diese Produktionsanlagen bedienen und pflegen zu können. Heute ergibt sich eine starke Vernetzung mit dem Internet und vorhandenen Büronetzen. Dies führt zur Verwendung von Software und Protokollen aus dem Internet, wodurch die Bedrohungslage gesteigert wird. Sicherheitslösungen und Regeln aus der Büro-IT sind aber nicht adäquat auf das Industrienetz anwendbar. Hinzu kommen steigende gesetzliche Anforderungen (z. B. KRITIS-Sicherheitsgesetz).
Die Etablierung höherer Sicherheitsstandards ist aber durchaus problematisch. So ist ein geringes Sicherheitsempfinden vorhanden sowie fehlendes Wissen. Auch die Hersteller forcieren nicht die Verbreitung. Fachplaner sind heutzutage zudem unzureichend ausgebildet und nur wenige Lösungen am Markt verfügbar. Hinzu kommen organisatorische Schwachstellen, da es meistens keinen Verantwortlichen für die IT-Sicherheit gibt. Die vorhandenen Administratoren sind nur für die Office-IT zuständig. Die Mitarbeiter sind nicht sensibilisiert (der Rechner wird so verwendet wie zu Hause) und Risikobetrachtung oder Notfallpläne für die IT-Umgebung fehlen. Zusätzlich mangelt es an aktueller Dokumentation sowie Budget für IT-Sicherheit.
Als Praxisbeispiel wurde eine Kläranlage angeführt. Sie besitzt einen hohen Automatisierungsgrad und gehört zu einer kritischen Einrichtung (KRITIS). So bestehen beispielsweise bei einer solchen Einrichtung viele Datenverbindung nach außen. Im Ist-Zustand wurde beschrieben, wie das Produktionsnetz normalerweise aufgebaut ist: ein Prozess-Leitserver steht unter dem Schreibtisch, um ihn auch für normale Arbeiten nutzen zu können und er ist mit dem Internet verbunden. Ein Switch verbindet das Industrienetz mit dem Office-LAN. Eine FritzBox wurde angeschlossen, um eine einfache Internet-Anbindung zu ermöglichen. Auf dem Leitrechner befinden sich private Anwendungen und Dateien: Spiele, MP3-Files, Bilder. Zusätzlich sind Fernzugänge für externe Dienstleister vorhanden, wobei die externen Rechnersysteme nicht überprüft werden. Auch eine logische Trennung der Netze durch Subnetting oder VLANs vermisst man im Normalfall. Fazit ist, dass solche Netze weit davon entfernt sicher zu sein!
Um den Betreiber von neuen Sicherheitsmaßnahmen zu überzeugen, sollte er daher auf einem niedrigen Akzeptanz-Level abgeholt werden. Die Firma SEGNO hat gute Erfahrung mit dem Weg der kleinen Schritte gemacht. In einem Umsetzungsbeispiel wurde nun gezeigt, wie ein solches Produktionsnetz sicherer gestaltet werden kann. Im ersten Schritt wurde der Einsatz eines UTM-/Firewall-Systems empfohlen und die FritzBox abgelöst. Anschließend wurde das Netz segmentiert und die Steuerungsebene vom Internet getrennt. Das Büronetz wurde als einzelnes Segment konfiguriert, ohne direkte Verbindung zum Produktionsnetz. Des Weiteren kamen Sprungserver (für die Ferneinwahl) und Datenschleusen zum Einsatz. Auch eine 2-Faktor-Authentifizierung für Leitsysteme sollte eingeführt werden. Im Endausbau ist das Monitoring des Netzes mit einzubeziehen sowie Systemlösungen zur Anomalie-Erkennung.
In der Zusammenfassung waren die Teilnehmer sich einig, dass der Aufbau eines echten Client-Server-Systems (ein Server ist kein Arbeitsplatz!) umgesetzt werden muss. Auch End-Point-Security für alle Rechner, inkl. des Leitrechners, sowie die Härtung der Systeme sind zu empfehlen. Weitere Maßnahmen wären die Einführung eines Kiosk-Mode (keine Installation von anderen Programmen möglich), Überprüfung der Fernwirktechnik (wer darf auf das interne Netz zugreifen?), Einführen von SPS-Schutzmechanismen sowie regelmäßige Überprüfung aller Passwörter (Sicherheitsgrad und Aktualisierung). Auch neue Datensicherungskonzepte und -strategien sollten einbezogen werden, da es meistens keine Sicherung der SPS-Anlage gibt. Im Produktionsnetzalltag ist man noch ein gutes Stück von Office-Standards entfernt, wie insgesamt festgestellt werden konnte.