Mai 03 2019

Cybersecurity – der Krieg im Netz

 

Das Thema IT-Security betrifft viele Branchen: Smart Farming ebenso wie die Bereiche Smart City, Smart Energy oder Smart Industry. IT-Security ist mit viel Aufwand verbunden und gleichzeitig unterschätzen viele die damit einhergehenden potentiellen Gefahren. Quelle: Welotec

 

Risiken der Vernetzung

Im Zuge von Industrie 4.0 ist eine zunehmende Vernetzung immer wieder im Gespräch. Diese Vernetzung betrifft aber nicht nur die reine Fabrik- oder Prozessautomatisierung, sondern auch andere Bereiche unserer Gesellschaft. Im Zeitalter von Smart Farming, Smart City und Smart Energy sind z.B. auch Traktoren, Busse, Bahnen, Stromzähler, Ortsnetzstationen und vieles mehr vernetzt. Während der unberechtigte Zugriff auf eine vernetzte Kaffeemaschine wohl nur begrenzten Schaden anrichtet, kann ein solcher Zugriff auf Maschinen und Geräte, die das öffentliche Leben betreffen, äußerst problematisch werden. Wer sich mit der Vernetzung bislang alleinstehender Komponenten beschäftigt, muss sich also zwangsläufig mit dem Thema IT-Sicherheit auseinandersetzen.

Je stärker eine Branche in das öffentliche Leben hineinwirkt, desto strenger sind auch die rechtlichen Vorgaben. Der Bereich Smart Energy beispielsweise ist ein elementarer Teil kritischer Infrastrukturen (KRITIS). Darunter versteht man Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Um den rechtlichen Sicherheitsanforderungen gerecht zu werden, müssen Unternehmen und ihre Abläufe zertifiziert sein, z.B. nach der internationalen Norm ISO/IEC 27001 (Information technology – Security techniques – Information security management systems – Requirements) aber auch die eingesetzten Produkte selbst. Produktanforderungen werden in zahlreichen technischen Richtlinien definiert. Ein Beispiel ist die technische Richtlinie des BSI für Kryptografische Verfahren. Aber auch Verordnungen wie die am 25. Mai 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) können im weitesten Sinne die IT-Sicherheit in Unternehmen betreffen. Diese drei Beispiele geben nur einen groben Einblick in das große Feld rechtlicher Rahmenbedingungen im Zusammenhang mit IT-Sicherheit.

.

Das CIA-Triad fasst drei übergeordnete Schutzziele der IT-Sicherheit zusammen: Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability). Quelle: Welotec

.

IT-Sicherheit abstrakt betrachtet

Die IT-Branche ist äußerst schnelllebig. Daher muss man die Sicherheitsinfrastruktur permanent prüfen und an die aktuellen Anforderungen anpassen. Abhängig vom Industriebereich, in dem eine IT-Lösung eingesetzt werden soll, gilt es also die passenden Vorgaben zu kennen, zu beachten und die realisierten Lösungen permanent auf dem aktuellen Sicherheitsstand zu halten. Deshalb lässt sich dem Thema IT-Sicherheit niemals nur mit einem Produkt begegnen, sondern mit einer Mischung aus Produkt, strikt vorgegebenen Abläufen, Mitarbeiterschulungen, Dokumentation und vielem mehr. Gleichzeitig ist Sicherheit aus Anwendersicht ein vielschichtiger Begriff und je nach Anwendungsfall muss ein bestimmter Sicherheitsaspekt mehr oder weniger berücksichtigt werden bzw. verschiedene Sicherheitsaspekte stehen gar im Widerspruch zueinander. Dann gilt es abzuwägen, welche Vorrang haben. Bei der Bewertung von Schutzzielen einer individuellen Anwendung hilft das CIA-Triad (Bild 1). Es betrachtet die Bereiche Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability). Was steckt konkret dahinter?

Vertraulichkeit

Vertraulichkeit bedeutet die Zugriffsbeschränkungen auf sensible Daten. Es muss sichergestellt sein, dass nur die Personen Zugang zu Daten oder IT-Systemen haben, die sie für ihre Arbeit benötigen. Es gilt also sensible Daten wie z.B. Kreditkartendaten, Unternehmensgeheimnisse oder auch persönliche Daten zu evaluieren und das Schadensmaß, das durch unberechtigten Zugriff darauf entstehen kann, abzuschätzen. Danach müssen entsprechende Schutzziele formuliert werden. Eine geeignete Berechtigungsstruktur ist ebenso wichtig wie die Sensibilisierung der für bestimmte Zugriffe freigeschalteten Mitarbeiter. Technisch spielen Hilfsmittel wie VPN-Verbindungen, der Einsatz aktueller Verschlüsselungstechnologien oder Access-Control-Lists (ACL) eine wichtige Rolle.

Wie wichtig Vertraulichkeit in der Anwendungspraxis ist, wird z.B. beim Einsatz von Smart Metern deutlich. Würden Zählerdaten durch Unberechtigte ausgelesen, könnten diese Rückschlüsse auf das Verbrauchsverhalten vieler Stromkunden ziehen. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) schreibt daher eine komplette Ende-zu-Ende Verschlüsselung für sämtliche Daten vor, die mit den Smart Meter Gateways (SMGW) ausgetauscht werden. Außerdem wird eine strikte Zugriffskontrolle durch den Smart Meter Gateway Administrator (SMGA) vorgeschrieben, der sicherstellen muss, dass entsprechende Nutzdaten nur an vorher definierte Marktteilnehmer und niemanden sonst gesendet und von diesen ausgelesen werden. Die Kommunikationsexperten von Welotec aus Laer im Münsterland sind mit ihren TK800 LTE-Routern (Bild 2) Teil der Smart-Meter-Rollout-Kette und haben dazu ihre Router entsprechend angepasst. Dank Dual-APN (Access Point Name) übertragen sie Nutz- und Managementdaten auf unterschiedlichen Kanälen (entsprechen der jeweiligen Zielgruppen). Beidseitige Authentifizierung und die gängigen Protokolle für Datenkommunikation wie HTTPS, SSH, und SNMPv3 sichern das Management des Routers zuverlässig ab. BSI-konforme Ende-zu-Ende-Verschlüsselung schützt alle übertragenen Inhalte gegen Einblicke oder Manipulation von außen. Das Thema Manipulation führt uns zum zweiten Punkt des CIA-Triads:

Integrität

Integrität bedeutet in diesem Zusammenhang im Wesentlichen Daten vor Manipulation oder dem Löschen durch unberechtigte Dritte zu schützen. Um beim Beispiel mit den Smart Metern zu bleiben: Unberechtigte sollten keinesfalls Daten der Smart Meter Gateways verändern können. Vor allem für Abrechnungszwecke ist daher unbedingt auf die Integrität der Daten zu achten. Dazu hat das BSI eine Ende-zu-Ende Verschlüsselung vorgeschrieben, die in den Smart Meter Gateways implementiert wird. Damit ist eine Veränderung der Daten aus den SMGWs unmöglich. Die Daten können daher auch über das öffentliche Netz gesendet werden, da diese ohnehin verschlüsselt übertragen werden.

Wie in der Energieversorgungsbranche so ist auch in der klassischen Industrie Datenintegrität zwingend notwendig. Was würde bei einem Man-in-the-Middle-Angriff eines Hackers passieren, der sich beispielsweise zwischen Leitstelle und Feldebene eines Kohlkraftwerks einklinkt, die gängigen Protokolle zur Kommunikation soweit ändert, dass sich Schaltbefehle daraus ergeben, er also die Kontrolle über das Kraftwerk übernehmen kann? Gerade im Zusammenhang mit Integrität ist also ein ganzheitlicher Ansatz aus Hardware, Software, Know-how und guten Prozessen gefragt.

Verfügbarkeit

Verfügbarkeit schließlich steht im CIA-Triad für den Zugriff auf Daten oder IT-Systeme. Dazu muss die Zugriffskontrolle korrekt funktionieren, damit Daten verfügbar sind, wenn sie benötigt werden. Aber auch die einzelnen Datenverbindungen selbst müssen zuverlässig arbeiten. Wie wichtig die Datenverfügbarkeit ist, hängt von der jeweiligen Anwendung ab. Auch hier können die Kommunikationsexperten mit ihrem breiten Produktspektrum und ihrer Anwendungsexpertise unterstützen. Einerseits überzeugen ihre Produkte durch hohe Ausfallsicherheit. Andererseits bieten die Münsteraner verschiedene Lösungen: Router mit Dual SIM, um unterschiedliche Anbieter zu nutzen, die Kombination von öffentlichen und nicht öffentlichen Funknetzen oder kabellosen und nicht kabellosen Kommunikationslösung sind einige Beispiele, wie man mit einen Technologiemix die Verfügbarkeit der Daten zu jedem Zeitpunkt – auch bei einem Stromausfall – gewährleisten kann.

Verfügbarkeit hat aber noch einen weiteren Gesichtspunkt. Wo externe Anlagen(teile) per Datenfunk an eine zentrale Leitwarte angeschlossen werden, sind auch immer Antennen notwendig. Sind diese nicht vandalismussicher ausgeführt, lässt sich die Verfügbarkeit ebenfalls recht einfach stören. Eine Lösung hier wäre der Einsatz vandalismussicher konstruierter Antennen (Bild 3).

IT-Sicherheit ganzheitlich betrachtet

Mit dem CIA-Triad lassen sich IT-Sicherheitsrisiken sehr einfach beschreiben. Es wird immer wieder diskutiert, die drei Schutzziele Confidentiality, Integrity und Availability durch weitere Ziele wie Authentizität (wird mit dem richtigen Partner kommuniziert oder mit einem dazwischen geschalteten Hacker?), Nichtabstreitbarkeit/Verbindlichkeit oder Zurechenbarkeit (auf einen Nutzer) zu ergänzen. Genau betrachtet sind diese jedoch bereits Teil der übergeordneten Schutzziele. Sinnvoller ist es daher für eine detaillierte Analyse der IT-Sicherheit weitere Modelle anzuwenden, wie beispielsweise das Defence-in-depth-Modell, welches die einzelnen Teile und auch die Umgebungsbedingungen eines IT-Systems mit einbezieht. Hier geht es auch darum, ob die Mitarbeiter entsprechend geschult sind und welche Hard- oder Softwarekomponenten verwendet werden, um Angriffe aufzuspüren und diese abzuwehren. Denn schon mit einer geeigneten Firewall, einem Virenscanner und Risikobewusstsein auf Seiten der Mitarbeiter ist bei der IT-Sicherheit viel gewonnen.

An den Praxisbeispielen wurde bereits deutlich, dass bei Welotec-Lösungen das Thema IT-Sicherheit immer im Vordergrund steht. Wie jedoch erwähnt, ist Datensicherheit nicht allein mit Produkten zu bewerkstelligen, sondern benötigt durchdachte Konzepte. Deshalb kennen sich die Münsteraner auch bestens mit den rechtlichen Grundlagen ihrer Kernzielbranchen Smart Energy, Smart Industry, Smart City und Smart Farming aus und können Kunden entsprechend beraten.

Welotec – Die Spezialisten für industrielle Kommunikation und Automatisierung

1969 als Ingenieurbüro gegründet, hat sich Welotec im Laufe der Jahre zu einem leistungsfähigen Systemanbieter für Kommunikations- und Automationsprodukte mit Mehrwert entwickelt. Inzwischen liefert die Welotec GmbH nicht nur Technik und Produkte, sondern steht ihren Kunden mit hochqualifizierten Beratungs- und Serviceleistungen bei der Verwirklichung ihrer Lösungen zur Seite, um so deutlich mehr Sicherheit in allen Entscheidungsfragen vor, während und nach einer Projektierung zu schaffen. Heute gelten die Münsterländer international als anerkannte Spezialisten für industrielle Kommunikation, Wireless-Lösungen und industrielle Automatisierung.

Text: Jos Zenner, Business Development Manager, Welotec
Dipl.-Ing. (FH) Nora Crocoll, Redaktionsbüro Stutensee

.

.

.

.

.

.

.

.

.

.

.

.

Schreibe einen Kommentar

Your email address will not be published.