Höchste Zeit für OT-Sicherheit

Schlagzeilen über Cyberattacken findet man fast täglich in den Medien. Auch produzierende Unternehmen bleiben davon nicht verschont. Ein Angriff auf eine Produktionsanlage kann verheerende Folgen haben. Umso wichtiger ist es, sich gegen solche Risiken abzusichern. Wir erklären Ihnen, mit welchen Maßnahmen Sie sich vor Angriffen schützen können.

  • Automatisierungstechnik

Höchste Zeit für OT-Sicherheit

Netzwerksegmentierung für eine sichere Betriebstechnik

Die digitale Transformation macht auch vor der industriellen Betriebstechnik (OT – Operational Technology) nicht halt. Maschinen, Anlagen und Steuerungssysteme werden zunehmend mit der klassischen Unternehmens-IT vernetzt, um Effizienz, Transparenz und Fernzugriffsmöglichkeiten zu realisieren. Doch je näher sich IT und OT kommen, desto dringender wird die Frage nach der Sicherheit dieser hybriden Netzwerke.

IT und OT – Gegensätzliche Welten mit gemeinsamen Zielen

Während die IT-Welt traditionell auf Offenheit und Kommunikation nach außen ausgelegt ist, stehen in der OT die Verfügbarkeit der Anlagen und die Sicherheit von Mensch und Umwelt an erster Stelle. Diese unterschiedlichen Prioritäten führen zwangsläufig zu Spannungsfeldern – vor allem wenn Produktionsnetzwerke direkt oder indirekt mit dem Internet verbunden sind.

Dennoch ist klar: Ein kompletter Inselbetrieb der OT ist heute kaum noch praktikabel. Die Herausforderung besteht also darin, beide Welten sicher miteinander zu verbinden – ohne die jeweiligen Anforderungen zu kompromittieren.

Steigende Bedrohungslage – Warum Segmentierung so wichtig ist

Cyberangriffe auf Industrieunternehmen sind längst keine Seltenheit mehr. Prominente Beispiele wie der Produktionsstillstand einer Schweizer Papierfabrik oder aktuelle Angriffe auf Hochschulen zeigen, dass sowohl IT- als auch OT-Systeme gezielt ins Visier genommen werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von einer „angespannten bis kritischen“ Sicherheitslage in Deutschland.

Gerade ältere OT-Infrastrukturen sind besonders anfällig durch: fehlende Segmentierung, direkte Verbindungen zwischen IT und OT, keine Kanalisierung des IT-Zugangs, oder Multihoming (Endgeräte als Teilnehmer in mehreren Netzwerken) bieten zahlreiche Angriffspunkte.

Dadurch werden mehrere Einfallstore möglich, bei Zwischenfällen gibt es eine erhöhte Ausbreitungsgefahr sowie eine erhöhte Netzwerklast bei geringerer Performance. 

IEC 62443 – Der Industriestandard für sichere Netzwerke

Ein bewährtes Sicherheitskonzept in der industriellen Umgebung ist die Norm IEC 62443, die auf dem Prinzip „Defense in Depth“ basiert. Dabei wird ein mehrstufiges Schutzmodell mit folgenden Ebenen umgesetzt:

  • Anlagensicherheit: physischer Zugangsschutz, Sicherheitsdienste, Prozesse und Richtlinien zur Anlagensicherheit
  • Netzwerksicherheit: Segmentierung, Zellenschutz, sichere Kommunikation, Firewalls
  • Systemintegrität: Patch-Management, Authentifizierungsmethoden, Zertifikatsaustausch, Systemhärtung

In diesem Beitrag liegt der Fokus auf der Netzwerksicherheit – insbesondere der Segmentierung.

Risiken im Bestand durch gewachsene Strukturen 


Der erste Schritt zur Sicherung der Anlagentechnik liegt in der Überprüfung der Netzarchitektur. Hierbei wird zuerst über eine Bestandsaufnahme die logische und physikalische Netzaufteilung betrachtet. Oft finden sich hier historisch gewachsene Strukturen. 
Die folgenden Sicherheitsrisiken können zu Tage treten: 

  • Keine klare Trennung zwischen IT und OT 
  • Keine Kanalisierung des IT-Zugangs, mehrere Zugänge von IT zu OT 
  • Keine Segmentierung und Zellenbildung von Teilanlagen 
  • Direkte Verbindungen von Geräten der IT zur OT und umgekehrt 
  • Direkte Verbindung von Netzwerken unterschiedlicher Sicherheitsklassen durch Multihoming (Endgeräte als Teilnehmer mehrerer Netzwerke) 
     

Diese konzeptionellen Sicherheitsrisiken erleichtern Viren und Schadsoftware aus dem IT-Bereich den Zugang zur Produktion. Noch kritischer ist jedoch, dass sich Viren im Schadfall über viele Netzwerke, Anlagenteile, Maschinen und sogar Standorte ausbreiten können.  
Ziel einer sinnvollen Segmentierung ist es, nicht nötigen funktionsübergreifenden Netzwerk-Traffic einzuschränken. Notwendiger funktionsübergreifender Datenaustausch wird streng reglementiert, überwacht und steht nur denjenigen Endgeräten zur Verfügung, die die Information tatsächlich benötigen. Dies gewährleistet eine bestmögliche Sicherheit und Performance des Netzwerks und damit der gesamten Anlagentechnik.
 

Netzwerksegmentierung – Grundlagen und Vorteile

Ziele der Segmentierung:

  • Minimierung von unnötigem Netzwerkverkehr
  • Strenge Reglementierung und Überwachung von Datenflüssen zwischen Netzwerkbereichen
  • Datenzugang nur für berechtigte Systeme

Vorteile:

  • Mehr Sicherheit durch begrenzte Angriffsflächen
  • Höhere Verfügbarkeit durch reduzierte Störanfälligkeit
  • Optimierte Performance durch geringere Netzwerklast

Praxisbeispiel: Netzwerksegmentierung in einer Papierfabrik
 

Die hier dargestellte Netzwerkkonfiguration zeigt, die bespielhafte Netzwerksegmentierung einer modernen Papierfabrik. Bei der Konzeptionierung der Netzarchitektur wurden die Systemanforderungen der IEC 62443-3-3 berücksichtigt und konsequent umgesetzt.
Das OT-Netzwerk wird in diesem Beispiel horizontal und vertikal segmentiert. Die vertikale Segmentierung, angelehnt an das von Cisco entwickelte „three-layer hierarchical model“, ist in Access, Distribution und Core Layer unterteilt, wobei der Distribution Layer ab mittelgroßen Netzarchitekturen wiederum in die Bereiche Aggregation und Backbone unterteilt werden kann.  
Diese Art der Segmentierung, die nach oben hin eine Kanalisierung des Datenstroms anstrebt, führt zu deutlich weniger Verbindungen einzelner Geräte untereinander und reduziert die Komplexität eines Netzwerks drastisch. 
Der Core Layer stellt den bevorzugten Anschluss des OT-Netzwerks auf der Seite des Unternehmensnetzwerks dar und gehört in dieser Konstellation üblicherweise nicht zum Verantwortungsbereich der Betriebstechnik.
 

Access Layer 


Auf Zugriffs- oder Zellebene werden die Bestandteile einzelner Maschinen- und Anlagenteile vernetzt. Hier sind die klassischen Feldbus-Netzwerke je nach Redundanzanforderungen in Ring-/ Linien und Baumstrukturen vorzufinden. Die IEC 62443-3-3 fordert eine logische und physikalische Trennung von kritischen zu nicht kritischen automatisierungstechnischen Netzen. Die geforderte Isolierung wird über die Bildung sogenannter Zellen organisiert. Der ein- und ausgehende Datenstrom der Zelle, kann zusätzlich durch eine Zellen-Firewall kontrolliert werden. 
 

Kriterien zur Bildung von Zellen sind: 

  • Funktionale Beziehung: Mehrere Maschinen derselben Produktionslinie können eine Zelle bilden
  • Echtzeitbedürfnisse: Bei hohen Anforderungen an Latenz oder Taktsynchronität zwischen automatisierungstechnischen Komponenten, müssen sich diese Komponenten in derselben Zelle befinden 
  • Funktionale Sicherheit: Kritische Anwendungen im Sinne der funktionalen Sicherheit, die zu Schaden von Personal oder Maschinen führen können, erfordern eine Trennung zu anderen nicht-kritischen Anwendungen 
  • Risiko: Geräte, die als kritisch im Sinne der IT-Sicherheit angesehen werden (bspw. Rechner mit veralteten Betriebssystemen) können in dieselbe Zelle gruppiert werden, um ein- und ausgehende Datenströme kontrollieren zu können.


     

Aggregation Layer 
 

Der Hauptzweck der Aggregationsebene liegt im Herstellen einer Verbindung der Zugriffsebene zum Backbone, was hohe Datenraten der eingesetzten Switche bedingt. In unserem Beispiel sind die Aggregationsebenen nach Anlagenbereichen der Papierfabrik (PM, SM, Kraftwerk, Ausrüstung…) aufgeteilt. Zusätzlich können hier diejenigen physikalischen Server, Clients, WLAN Access Points etc. angeschlossen sein, die nur dem jeweiligen Anlagenbereich zuzuordnen sind. Auf dieser Ebene empfiehlt es sich, VLANs für die logische Segmentierung bestimmter Funktionen wie Terminal-, Anlagen- und Managementbus sowie zur Anbindung einzelner isolierten Zellen zu nutzen. Dies bedingt den Einsatz von Layer-2 Switchen.
 

Backbone Layer
 

Der sogenannte Backbone ist der zentrale Verbindungspunkt des Netzwerks. Die Netzwerkgeräte in dieser Ebene stellen die Verbindungen der Aggregationsebenen zu den Hosts des Datacenters und der DMZ und von dort aus zur IT her. Es werden hoch performante Netzwerkgeräte, sowie Next Generation Firewalls zur Koordinierung und Prüfung des Datenverkehrs eingesetzt.
 

Industrial Datacenter 


In diesem Netzwerkbereich befinden sich die Hosts zur Bereitstellung aller Anwendungen und Dienste, die ausschließlich im OT-Netzwerk genutzt werden und keine direkte Verbindung zur IT benötigen. Hierzu gehören virtualisierte Leittechnik-Server, Engineering-Server, Netzwerkmanagement, Backupsysteme, Betriebsdatenerfassung und RADIUS. Wird für den OT-Bereich eine von der IT unabhängige Domäne genutzt, können die Domain-Controller auch hier gehostet sein. 
 

Industrial DMZ 


Alle Systeme, die eine direkte Verbindung zur IT oder hierüber ins Internet benötigen, werden in einem physikalisch und logisch isolierten Netzwerksegment, der demilitarisierten Zone (DMZ) gehostet. Hierzu gehören Jump Server für Remote-Zugriffe, Windows Update Services, Antiviren-Server, MES, Filetransfer, Datengateway-Server oder Webdienste. 
Eine DMZ kann in der Praxis auf zwei Arten erstellt werden: 

  1. An einer einzelnen (redundanten) Firewall werden separate physikalische Ports genutzt, an denen die DMZ errichtet wird. Der Traffic von und zur DMZ wird von der Firewall überwacht. So auch auf der Beispielübersicht dargestellt. 
  2. Noch sicherer ist es, zwei physikalisch getrennte (redundante) Firewalls zu nutzen, eine auf DMZ-Seite und eine auf der OT-Seite. Bestenfalls sind die Firewalls von zwei verschiedenen Herstellern, sodass Sicherheitslücken eines Herstellers nicht zwingend die gesamte Sicherheit gefährden. 


Wir empfehlen generell den Einsatz redundanter Firewalls, um die Netzverfügbarkeit auch im Fehlerfall oder bei Firmwareupdates zu gewährleisten. 
Das DMZ-Konzept ist die logische Folge einiger Systemanforderungen der IEC 62443-3-3, insbesondere der SR5.1 RE 2 „Das Automatisierungssystem muss die Fähigkeit bieten, ohne eine Verbindung zu nicht automatisierungstechnischen Netzen Netzdienste bereitzustellen in automatisierungstechnischen Netzen […].“ 
 

Maßgeschneiderte Sicherheitslösungen für Ihre Industrieanlagen
 

Netzwerksegmentierung ist der Schlüssel zu einer sicheren Betriebssicherheit. Eine sichere Segmentierung ist aber kein „One Size Fits All“-Ansatz. Jedes Unternehmen, jede Anlage und jede IT/OT-Schnittstelle muss individuell betrachtet werden. Mit der Umsetzung gehen Sie einen Schritt in die richtige Richtung in Sachen OT-Sicherheit. Dies sollte jedoch nur ein Teil eines ganzen OT-Sicherheitskonzeptes sein. Erst das Zusammenspiel unterschiedlicher Maßnahmen sichert Ihr Produktionsnetzwerk erfolgreich gegen Angriffe ab. 
 

Individuelle KRIKO-Lösungen für Ihre Anforderungen

Beratung Icon

Beratung

  • Flexible Erstberatung, gemeinsame Bestandaufnahme
  • Identifizierung von konzeptionellen Schwachstellen
Konzept

Planung

  • Planung und Auslegung einer sicheren OT
  • Planung von Modernisierungen mit möglichst geringen Stillstands Zeiten
Einrichtung

Ausführung

  • Projektierung aller OT-Systeme
  • Inbetriebsetzung und Abnahme vor Ort

Service

Service & Wartung

  • Laufende Nachbetreuung
  • Erstellen und Umsetzen von individuellen Wartungsplänen

In unserem Flyer erhalten Sie nochmal alle wichtigen Infos gebündelt. 

 

Flyer herunterladen

Haben Sie Interesse an einer Sicherheitsanalyse Ihrer OT-Infrastruktur?

Kontaktieren Sie uns jetzt! Wir freuen uns über Ihre Anfrage.

Zu den Ansprechpartnern