\’Verwende managebare Switche!\‘. Diese Aussage zum Leitfaden der Netzwerkauslegung gemacht, ermöglicht jedermann auf einfache Weise erste Aussagen zum Zustand des Netzwerkes. Besonders richtet sich der Appell an den Maschinen- und Anlagenbau, da in diesem Bereich bisher kaum Security-Mechanismen zur Anwendung kommen. Viele Betreiber wiegen sich in Sicherheit, weil sie das Maschinennetzwerk autark sehen bzw. dass Bedrohung nur von außen kommen kann. Aber viele Studien beweisen das Gegenteil. Nicht selten sind unbeabsichtigte Eingriffe oder unberechtigte Netzzugriffe von innen die Realität. Es folgen Fehlfunktionen, welche in unerklärbaren Anlagenstillständen münden. Um solche \’Attacken\‘ zu vermeiden bzw. zumindest nachweisen zu können, ist ein weiterer Leitfaden \’Kenne die Teilnehmer deines Netzwerkes\‘ entstanden.
Wer gehört zu meinem Netzwerk?
Diese Frage klingt zunächst trivial, denn jeder weiß, was er installiert hat. Oftmals gibt es aber keine schlüssige Dokumentation der permanent zum Netzwerk gehörenden Netzwerkteilnehmer bzw. die Topologie ist im ständigen Fluss. Im Moment sind in der Automatisierung Ethernet-basierende Netzwerke wie Profinet oder Safetynet p auf dem Vormarsch und ermöglichen eine automatisierte Topologieerkennung durch Netzwerkscans. Darüber hinaus überwacht der zuständige Controller die projektierten I/O-Geräte. Da aber Servicelaptops, Kameras, Scanner, Switche oder auch Drucker meist nicht im Telegrammverkehr mit dem Controller stehen, fallen diese Teilnehmer durch die Überwachungsmaschen. Sie fungieren als \’Unbekannte\‘ im Netz, um welche sich aus Security-Sicht niemand kümmert. Provokant gefragt: Handelt es sich um einen Angreifer oder zusätzlichen Teilnehmer? Eine Identifizierung ist schwierig, wenn nicht bekannt ist, wer zum Netzwerk gehört. Es empfiehlt sich daher bei jeder Inbetriebnahme, jeder Erweiterung einen aktuellen Topologieplan zu erstellen, bevorzugt mit Auflistung aller Netzwerkteilnehmer mit Mac-Adresse, IP-Adresse, Netzwerknamen, Hardwareversion, Softwareversion. Die Technologie ist dafür ausgelegt, sodass von Mehraufwand und Zusatzkosten nicht die Rede sein kann. Ein Umdenken ist notwendig sowie die Bereitschaft, Dinge auch in die Automatisierung zu überführen, die in der IT-Welt zum Standard gehören. \“Mit einem Netzwerkscan wird zwar ein erster Schritt zur Sicherheit getan, doch Mindestanforderungen von Security-Ansprüchen wird nicht annähernd entsprochen. Mit einer einmaligen Erfassung der Netzwerkteilnehmer kann der Fall eines temporären Angreifers nicht abgedeckt werden\“, warnt Heidl.
Mehr Sicherheit durch permanente Überwachung
Das Netzwerk sollte entweder permanent bzw. in zeitlich festzulegenden Intervallen überwacht werden. Hierbei gilt es zu entscheiden, ob dies aktiv oder passiv passieren soll. Das Tool PROscan Active fällt dabei in die Kategorie der aktiven Scanner. Über ein festzulegendes Zeitintervall wird das Netzwerk durch gezielte Anfragen an vorhandene und nichtvorhandene IP-Adressen untersucht und es werden Veränderungen zum Normalzustand gemeldet. Anders als im Büro-Ethernet, wo derartige Praktiken Routine sind, können bei industriellen Netzen Probleme auftreten: der aktive Scan erzeugt zusätzliche Netzwerklast bzw. Geräte können diese Anfragen fehlinterpretieren, ihre Kommunikation einstellen und eine Netzwerkstörung verursachen. Im Vergleich ist das passive Mithören und Sammeln von Daten aus dem Telegrammverkehr vorteilhafter. Eine Lösung bietet der intelligente TAB aus dem Hause Indu-Sol – der Inspektor. Dieser wird zwischen Controller und dem ersten Switch-Port eingeschliffen, um den I/O-Verkehr sowie alle weiteren Telegramme zu überwachen. Will ein Angreifer in das Netzwerk eingreifen, so wird dieser aktiv und sendet Telegramme an die Netzwerkteilnehmer, die am Port der SPS als Abweichung vom Normalzustand nachweisbar sind. Der Inspektor erkennt dies und zeichnet Telegramme über Snapshots für nachfolgende Analysen auf. Ein Alarmmanagement macht somit frühzeitig auf beabsichtigte oder auch unbeabsichtigte Vorfälle aufmerksam. Die beschriebenen Möglichkeiten und Methoden sind lediglich erste Schritte zur Erreichung eines nennenswerten Security-Levels. Der Aufwand ist gering, aber der Nutzen kann enorm sein.
