Thought Leadership
Die deutsche Industrie digitalisiert ihre Produktion. Maschinen, Software und Applikationen kommunizieren jetzt via Netzwerkverbindung. Allerdings sind diese Verbindungen in den seltensten Fällen gegen Malware & Co. abgesichert.
Daher sollten Industrie 4.0-Unternehmen schnell handeln. Netzwerksicherheitsexperte Clavister erklärt, was zu tun ist.
Deutschland im Rausch der industriellen Revolution 4.0: Maschinen sollen plötzlich miteinander kommunizieren und auch eine eigene Intelligenz entwickeln; nicht à la Terminator, sodass sie für uns gefährlich werden, vielmehr, dass sie unser Leben bzw. unsere Arbeitsabläufe extrem erleichtern bzw. beschleunigen. Dazu werden ganze Maschinenparks untereinander in einem Netzwerk verbunden. Somit können die Maschinen und Steueranlagen im Rahmen moderner Produktionsprozesse direkt mit Datentransfersoftware, Warenwirtschaftssystemen oder CAD/CAM-Programmen kommunizieren. Zudem erhalten die Anlagen einen Internetzugriff. Über diese Internetverbindung greifen die Maschinenhersteller remote auf die Maschinen zu und führen Wartungsmaßnahmen, Updates oder Messdatenübertragungen durch. Die dafür genutzte Fernwartungsschnittstelle einer Industrieanlage verfügt in der Regel über rudimentäre, Port-basierte Sicherheitsmechanismen.
Das hat einen Haken, denn es steigt die Gefahr von Ransomware-Angriffen. Und diese sind nur schwer abzuwehren, da sich Schadprogramme nicht auf Portebene einschränken lassen. Diese mangelhafte Maschinenabsicherung nutzen Cyberkriminelle, um Maschinen mit wenig Aufwand zu infizieren. Trojaner wie Locky sind mühelos in der Lage, ganze Server oder Steuerungsmechanismen außer Kraft zu setzen. Schadsoftware könnte somit im schlimmsten Fall die ganze Produktion lahmlegen, was häufig Konventionalstrafen für den Produzenten nach sich zieht.
Welche Applikationen greifen auf meine Maschinen zu?
Um solche Horrorszenarien zu verhindern, sollten Unternehmen auf Embedded Security-Konzepte setzen. Embedded Security bedeutet, ergänzende Schutzmechanismen direkt in die Maschinen zu integrieren, ohne deren Arbeitsgeschwindigkeit oder Funktionen einzuschränken. Embedded Security-Systeme wie Firewalls erschweren IT-Angreifern unter anderem die Nachverfolgung von Datenstandorten und -verläufen. Dabei spielt eine Funktionalität aus dem Bereich des Next Generation Firewalling eine wichtige Rolle: die sogenannte Application Control. Clavister setzt bei seiner Application Control (AC) auf hohe Interoperabilität. Die Lösung überwacht und analysiert alle genutzten Anwendungen und Programme im Industrie 4.0-Umfeld, egal welchen Port oder welches Protokoll sie nutzen. So stellt der Anbieter sicher, dass nur zu gelassene Anwendungen und Programme den jeweiligen Zugang zur vernetzten Industrieanlage nutzen können.
Andere Dienste, die zwar denselben Port nutzen, aber einen anderen Zweck verfolgen, werden zuverlässig blockiert. Da aber immer mehr Anwendungen im Industrieumfeld die gleichen Web-Ports (80/443, HTTP/HTTPS) nutzen, muss die AC auch das Verhalten der Applikationen überwachen. Für diese Überwachung setzen die meisten Firewall-Hersteller auf herkömmliche Intrusion Prevention-Systeme, die anhand von klassischen Regex (Regular Expressions)-Signaturen das Verhalten der Anwendungen und Programme analysieren. Clavister geht bei seiner Application Control (AC) und der Deep Application Control (DACC) noch einen Schritt weiter: Mittels Deep Packet Inspection (DPI)-Engine kann die Firewall Nachrichten und Informationen von mehr als 2.300 Applikationen entziffern sowie Tags aus über 2.400 Metadaten extrahieren. Mit diesen Monitoring-Möglichkeiten lassen sich sogar kollaborative Web 2.0-Applikationen oder Widgets in CAD/CAM-Program- men überwachen.
Die Guten ins Töpfchen, die Schlechten ins Kröpfchen
Nachdem die Anwendungen nun allesamt von der AC identifiziert werdenkönnen, sind die Unternehmen wieder am Zug. Sie müssen Sicherheitsrichtlinien für den Zugriff der Anwendungen auf ihre Maschinen festlegen. Die Clavister Application Control ermöglicht es Unternehmen, ohne großen Aufwand benutzerdefinierte Level 3-Richtlinien einzurichten. Die Entscheidung, welche Ports oder Protokolle für eine Maschine erlaubt oder geblockt werden sollen, fällt dabei meistens noch ein- fach. Bei Applikationen wird es etwas komplizierter, da Unternehmen festlegen müssen, welche Applikationen im Industrieumfeld wirklich produktiv ge- nutzt werden und welche ernsthafte Risiken beinhalten. Die Clavister AC sorgt hier für Übersicht und fasst alle Anwendungen in einem Konfigurations-Interface zusammen, das wie ein Wikipedia-Lexikon aufgebaut ist. Zu jeder Applikation und jedem Programm gibt es eine Informationsseite. Sie zeigt verwandte Anwendungen, Daten zu typischem Verhalten und ein Risiko-Rating an. So kann z.B. schnell festgestellt werden, ob die Anwendung eine Malware-Vergangenheit hat. Solch präzise Daten vereinfachen Unternehmen das Filtern erlaubter und verbotener Anwendungen. Diese Transparenz hilft enorm beim Definieren von Richtlinien für mehr Sicherheit im Maschinennetzwerk.
Neben den Sicherheitsrichtlinien ist die Netzwerksegmentierung ein weiterer wichtiger Baustein eines Industrie 4.0- Security-Konzepts. Es wird empfohlen, Maschinen oder Anlagen mit Fernwartungsschnittstelle sowohl vom Produktionsnetz als auch physikalisch vom regulären LAN zu trennen. Auf diese Weise gewährleisten produzierende Industrieunternehmen, dass auch zwischen diesen Bereichen nur gewollter und zugelassener Datenverkehr stattfindet.
Fazit
Implementieren Industrieunternehmen Embedded Security-Systeme wie Firewalls in ihre Maschinen, können sie alle Zugriffe präzise kontrollieren. Das Feature Application Control stellt sicher, dass nur zugelassene Anwendungen und Programme mit der Maschine kommunizieren. So können Produktionsprozesse im Industrie 4.0-Umfeld frei von Ransomware & Co. gehalten werden.
Thomas Gross, Channel Account Manager bei Clavister
