Hidden technology kommuniziert jetzt öffentlich. Automatisierungstechnik, zu Recht auch als hidden technology bezeichnet, ist allgegenwärtig. Doch warum ist das Sicherheitsbewusstsein in verschiedenen Branchen und Abteilungen so? Die Frage sei erlaubt: Wer stellt Steuerungen mit offenen Webzugängen ins Netz und erwartet gleichzeitig von seiner Bank die Sicherheit von Fort Knox? Das Bewusstsein für eine sichere IKT ist bei Banken, Energieversorgern und der Industrie sehr ausgeprägt. Andernorts scheint das Thema (noch) nicht angekommen zu sein. Manche Unternehmen machen Steuerungen aus dem Internet erreichbar, andere opfern die Sicherheit den Kosten oder der scheinbaren Praxistauglichkeit. Im Fall der Fälle ist Imageverlust noch das geringere Übel; Haftungsfragen sind risikoreicher, zumal Unwissenheit nicht vor Strafe schützt.
Datensicherheit versus Safety
Allein zur Praxistauglichkeit gibt es widersprüchliche Standpunkte, geht es doch in der Automatisierungspyramide \’oben bei den Kaufleuten\‘ zuerst um die Datensicherheit, den Datenschutz und erst dann um die Verfügbarkeit der Systeme. Wenn ein CRM-System wegen dringender Wartungsarbeiten für 15 Minuten nicht verfügbar ist, kostet das die Arbeitszeit der herumsitzenden Mitarbeiter, mehr nicht. \’Unten in der Produktion\‘ ist so etwas undenkbar, geht es doch zuallererst um die Verfügbarkeit der Anlagen und um Safety – und dann erst um die Datensicherheit. Jetzt müssen alle am selben Strang ziehen, denn Sicherheits- und Risikomanagement darf wegen Interessenkonflikten kein Stückwerk bleiben. Gerade deshalb muss IT-Sicherheit an oberster Stelle aufgehängt werden, denn \“entweder kümmert sich die Geschäftsführung schon um die IT-Sicherheit oder aber die IT wird spätestens im Schadensfall automatisch zur Chefsache gemacht\“ (Bitkom).
Stehen technische Lösungen bereit?
Ja, durchaus! Zum Manipulationsschutz moderner Router kann die Konfiguration über das Web-Interface verboten werden; bei Geräten von Insys icom kann die Konfiguration zudem aus der Ferne per CLI automatisch ausgelesen und mit einer Referenz verglichen werden. Beim physischen Zugriff auf den Router ist nur das Rücksetzen auf Werkseinstellungen möglich. Doch auch beim autorisierten Zugriff können Zertifikate nicht ausgelesen werden, haben sichere Geräte nicht nur abschaltbare Switch-Ports und auch keine Backdoor. Bei sicherheitsrelevanten Ereignissen müssen sofort Meldungen per SNMP (auch SMS oder E-Mail) an die Leitstelle abgesetzt werden; ein späteres Auswerten von Logfiles wird den im Fazit genannten Regelwerken nicht gerecht. Beispiele für derartige Ereignisse sind ein fehlerhafter Einwahlversuch am Web-Interface des Routers, eine Änderung der Konfiguration, An- oder Abstecken eines Gerätes am Switch (link up, link down) und der Empfang von IP-Paketen von einem unbekannten Gerät am Switch (MAC-Firewall). Generell muss jeder unerwünschte Verkehr, egal ob ein- und ausgehend, von der Firewall geblockt werden können. Innovative Router haben Meldeeingänge, an denen beispielsweise ein Türkontakt vom Schaltschrank direkt angeschaltet werden kann, um einen stillen Alarm auszulösen – ein taktischer Zeitvorteil für den Verteidiger. Über VPN-Netzwerkdienste wie dem Insys Connectivity Service können die VPN-Clients nicht nur automatisch konfiguriert und verwaltet, sondern auch die VPN-Zertifikate periodisch gewechselt werden.
Schutzkonzept einer Burg als Vorbild
Die \’best practice\‘-Strategie zum Erreichen eines hinreichenden Sicherheitsniveaus ist der Aufbau mehrstufiger Sicherheitsbarrieren. Damit werden die Systeme schichtweise geschützt und das Eindringen eines Angreifers wird erschwert. Diese Strategie ist hinlänglich als Schutzkonzept einer Burg bekannt, die IT-Fachwelt – vom BSI über BDEW bis zum US-Heimatschutzministerium (DHS) – spricht von Defense in Depth. Eine nicht unwesentliche Sicherheitsmaßnahme ist die zertifikatsbasierte Authentifizierung beim Aufbau von VPN-Verbindungen. Durch dieses sogenannte \’Minimal-Need-To-Know\‘-Prinzip wird sichergestellt, dass nur valide Partner mit bekannter Identität miteinander kommunizieren. Was im Brandschutz die Reduzierung der Brandlast durch Entfernen brennbarer Teile ist, sind in der IT-Sicherheit gehärtete Betriebssysteme. Alle Router von Insys icom verfügen über diese gezielt erzeugten Minimalsysteme mit nur exakt den Diensten und Services, die zur Funktion benötigt werden; zudem sind die Router patchfähig.
