Industrial Security

In diesem Kapitel werden Security-Maßnahmen empfohlen, um ihr System vor Bedrohungen zu schützen. Die Empfehlungen werden in die drei Teile: Systemsicherheit, Netzwerksicherheit und Anlagensicherheit aufgeteilt, welche sich dann zu einem Gesamtkonzept ergänzen.
 

2.1 Systemsicherheit, Systemhärtung

Unter Systemsicherheit werden Maßnahmen verstanden, welche sich auf einen Anlagenteil oder ein System konzentrieren. Neben den hier aufgeführten Empfehlungen finden Sie unter den aufgeführten Links weitere systemspezifische Härtungsempfehlungen.
Systemhärtung beschreibt die Reduktion von möglichen Angriffspunkten eines Systems. Dabei werden Einstellungen des Auslieferzustands angepasst, nicht benötigte Dienste deaktiviert und Richtlinien umgesetzt.
Aufgrund der vielfältigen Einsatzmöglichkeiten werden Jetter Produkte nicht komplett gehärtet ausgeliefert.

Netzwerkdienste und Ports

Aktivierte Dienste stellen ein Risiko dar. Zur Minimierung der Risiken sollten nicht benötigte Dienste (wie. Z.B. Webserver, Telnet, Fernwartung, etc.) deaktiviert werden.

(Nicht zum Betrieb erforderliche) Software

Software belegt Systemressourcen. Nicht benötigte Software sollte daher deinstalliert oder deaktiviert werden. Die Quellen und Installationsmedien neuer Software müssen außerdem virenfrei sein.

Verschlüsselte Datenübertragung

Um Daten vor unberechtigtem Einsehen und Manipulation zu schützen, sollten kryptografische Methoden zur Übertragung, Authentifizierung und Signatur benutzt werden.

• Asymmetrische Verschlüsselung mittels PKI
• Hashing
• Symmetrische Verschlüsselung

Benutzer-Accounts und Passwörter

Jeder aktivierte Benutzer-Account ermöglicht den Systemzugriff und ist damit ein potenzielles Risiko. Folgende Maßnahmen werden deshalb empfohlen:

• Reduktion der aktivierten Benutzer-Accounts auf das benötigte Minimum
• Verwendung von nicht privilegierten Accounts zur Ausführung von Prozessen
• Verwendung von sicheren Zugangsdaten für vorhandene Accounts
• Ändern von Standard-Passwörtern während der Inbetriebnahme
• Regelmäßige Passwortänderung
• Regelmäßige Prüfung der Benutzer-Accounts

Lokale Firewall

Eine Firewall kontrolliert den ein- und ausgehenden Netzwerkverkehr des Systems. Es wird empfohlen, die lokale Firewall zu aktivieren und nur den erforderlichen Netzwerkverkehr zu erlauben.

Virenscanner

Der Einsatz eines Virenscanners sollte den Produktionsbetrieb einer Anlage nicht beeinträchtigen. Für den Einsatz auf industriellen Anlagenkomponenten sollten deshalb folgende Anforderungen erfüllt werden:

• Virenscanner muss ohne weitere Abhängigkeiten, wie Firewall installierbar sein
• Virenscanner-Clients können in Gruppen (produkt- oder aufgabenabhängig) aufgeteilt und konfiguriert werden
• Konfigurationsmöglichkeit von Meldungen, ohne automatische Aktionen (Löschen, Quarantäne, …) bei Virenerkennung
• Möglichkeit der Deaktivierung der Verteilung von Signaturen und Updates
• System- oder Dateiscan muss manuell und gruppenweise durchführbar sein
• Protokollierungsmöglichkeit am Server
• Unterdrückung lokaler Meldungen, um Systemmeldungen nicht zu überdecken

Patchen

Es wird empfohlen, die Systeme aktuell zu halten. Für Windows-basierte Systeme steht die von Microsoft angebotene Systemfunktionalität WSUS (Windows Server Update Service) zur Verfügung. WSUS unterstützt Administratoren dabei, Microsoft Updates in großen lokalen Netzwerken auszuliefern.

Weitere Härtungsempfehlungen

• BSI: Empfehlung zur Härtung von Windows 10
• NIST Checklisten
• NIST Security Guidelines for Storage Infrastructure
• Australian Cyber Security Center: OS Guidelines

2.2 Netzwerksicherheit, Netzwerksegmentierung

Das Herzstück der Schutzmaßnahmen bildet die Netzwerksicherheit. Hier wird das Anlagennetz in Teilbereiche aufgetrennt und die Kommunikation übergreifend begrenzt. Dadurch werden Schutzzonen geschaffen. Auch kann es hilfreich sein, Anomalien des Netzwerkverkehrs zu erfassen und anschließend den Verkehr einzuschränken.

Definition und Konfiguration von Netzwerkzonen

Eine Einteilung in verschiedene Netzwerkzonen (Segmentierung) in einer Fabrik kann sinnvoll sein, da nicht jede Zone den gleichen Schutzbedarf hat. Trennen Sie kritische von unkritischen Anlagen. Zusammengehörige Netzwerkzonen sollten ähnliche Kommunikationscharakteristika aufweisen. Definieren Sie anschließend Regeln zur übergreifenden Kommunikation. Es lassen sich durch sinnvolle Segmentierung auch potenziell unsichere Systeme (veraltete Betriebssysteme, …)  weiter betreiben, indem sie vollständig von anderen Zonen abgeschottet werden.

Trennung über Firewall-Systeme

Im einfachsten Fall erfolgt die Trennung über ein Firewall-System, welches die Kommunikation zwischen den Netzen kontrolliert und einschränkt.

Trennung über DMZ-Netzwerk

Durch die Unterbindung der direkten Kommunikation zwischen Produktions- und Unternehmensnetzwerk wird die Sicherheit weiter erhöht. Dabei erfolgt die Kopplung über ein separates DMZ-Netzwerk, und die Kommunikation erfolgt indirekt über (Terminal-) Server im DMZ-Netzwerk.

Stateful Packet Inspection (SPI) und Nextgen Firewalls

Durch Inspektion der Datenpakete und Einbeziehen des Verbindungsstatus in die Übertragungsentscheidung können Firewalls ungewollten Netzwerkverkehr blockieren. Durch virtuelles Patching können auch noch nicht bekannte Schwachstellen gemindert und deren Ausnutzung blockiert werden. Mittels Intrusion Prevention können Eindringversuche von Angreifern verhindert werden.

Einsatz von VPN mit IPSec bei Fernwartung

Durch Verschlüsselung und Authentifizierung kann ein gesicherter Tunnel zum System hergestellt werden, dessen Daten nicht abgefangen oder manipuliert werden können. Dadurch kann Fernwartung in einer sicheren Umgebung betrieben werden.

2.3 Anlagensicherheit

Die Anlagensicherheit stellt den äußeren Schutzring der Verteidigung dar. Sie enthalten physikalische Schutzmaßnahmen, Prozesse und Richtlinien.


Physikalischer Schutz von kritischen Bereichen

Es wird empfohlen den Unternehmensstandort selbst, sowie Produktions- und Anlagenbereiche vor Unbefugten zu schützen. Die physikalische Sicherheit kann durch folgende Maßnahmen erhöht werden:
 

• Absperrung und Überwachung des Firmengeländes
• Wachpersonal und Einlasskontrolle
• Begleitung von Betriebsfremden durch Unternehmensangehörige
• Zutrittskontrolle im Produktionsbereich
• Einbau von kritischen Komponenten und Steuerungen in abschließbare Schaltschränke
• Überwachung und Alarmierung der abgeschlossenen Bereiche
• Einschränkung der Funkreichweiten auf definierte Bereiche
• Richtlinien zur Nutzung von Datenträgern (USB-Sticks) und IT Geräten an Steuerungskomponenten