Industrial-Ethernet-Netze absichern
Es gibt keinen absoluten Schutz
Ethernet bietet eine einfache und schnelle Vernetzung, hohe Bandbreiten mit bis zu 10 GBit/s bei geringen Kosten sowie Flexibilität und unbeschränkten Datenzugriff. Diese Vorteile wollen Unternehmen auch in Produktionsnetzen nutzen und ersetzen deshalb schrittweise Feldbussysteme durch Industrial Ethernet. Die Netze und Geräte müssen allerdings stabil ausgelegt sein. Zudem sollte der Betreiber ein besonderes Augenmerk auf die Datensicherheit legen.
Obwohl es derzeit 26 industrietaugliche Ethernet-Varianten gibt (
www.real-time-ethernet.de), nutzen nur einige davon die in IEEE 802.3 spezifizierte Ethernet-MAC-Schicht (Schicht 2) sowie IPv4 (Schicht 3) und TCP/UDP (Schicht 4). Die Anwendungen setzen auf OPC, XML und proprietäre Protokolle zum Datenaustausch zwischen Geräten, Leitstand und Server auf.
Die Anforderungen an Rund-um-die-Uhr-Verfügbarkeit und Ausfallsicherheit erfüllen Industrial-Ethernet-Netze über Redundanzverfahren (Rapid Spanning Tree Protocol, kurz RSTP, oder doppelte Uplinks) und robuste Geräte, die den Anforderungen in der rauen Fabrikhallenumgebung genügen und leicht zu installieren und zu ersetzen sind. Ethernet-Switches und Firewalls aus der IT-Bürolandschaft eignen sich nicht, da sie für diese Anforderungen nicht ausgelegt sind.
Neben den Stabilitätskriterien ist die Datensicherheit im Industrial Ethernet der kritische, allerdings häufig vernachlässigte Punkt. Die Offenheit und Bekanntheit von Ethernet und IP überträgt auch die damit verbundenen Sicherheitsrisiken in das Produktionsnetz. Sie reichen von Spionageangriffen auf Daten, mit denen Betriebsgeheimnisse wie beispielsweise die Zusammensetzung eines Werkstoffs oder die Steuerung einer Bearbeitungsmaschine ausgeforscht werden sollen, über das Verändern von Daten, um das Produktionsergebnis, zum Beispiel eine Medikamentenzusammensetzung, zu verfälschen, bis hin zur Sabotage und damit der teilweisen Vernichtung oder Störung der Produktionsanlage. Die Kosten für Produktionsausfall, Reparaturen, Ersatzlieferungen, Konventionalstrafen für verspätete Lieferung, aber auch der Imageverlust bei Bekanntwerden eines derartigen Angriffs schädigen ein Unternehmen. Hinzu kommt, dass die Geschäftsführung bei Fahrlässigkeit in Sachen Datenschutz rechtlich selbst für die Schäden haften muss.
Sofern man auf die wenigen Berichte über bekannt gewordenen Störungen von Industrial Ethernet zurückgreift, zeigt sich, dass das vielzitierte Bedrohungsszenario vom "bösen Hacker im Internet", der die Produktion zu stören oder gar lahmzulegen versucht, in der Praxis die Ausnahme ist. Um ein Vielfaches häufiger führen unbeabsichtigte menschliche Fehler zu Produktionsstörungen: Der "wilde" DHCP-Server auf dem Wartungstechniker-Notebook, der die neugestarteten Industrial-Ethernet-Geräte mit falschen IP-Konfigurationsdaten versorgt, mit denen sie nicht in Betrieb gehen, ist ebenso alltäglich wie die Überbrückung einer Firewall mit einem Patch-Kabel als "Bypass", weil die Konfiguration die Inbetriebnahme einer Maschinenerweiterung mit einem proprietären Protokoll durch zu stringente TCP-Port-Sperren verhindert. Ein unberechtigter Datenabgriff aus dem Produktionsnetz ist vor Ort an der Maschine zudem erheblich leichter zu bewerkstelligen als von außen. Hier muss der Angreifer mit Firewalls und Intrusion-Prevention-Systemen an den Übergängen rechnen und diese überwinden.
Sicherungsmaßnahmen
Der erste Schritt zu einem datensicheren Einsatz von Industrial Ethernet ist, das Bewusstsein für diese Risiken bei der Geschäftsführung, der Produktionsleitung und den zuständigen Fertigungsmitarbeitern zu schaffen. Es muss klar sein, dass Sicherheit keinen einmal geschaffenen und für alle Ewigkeiten gültigen Zustand darstellt, sondern dass es sich um einen permanenten Prozess handelt. Die Datensicherheit von Büro- und Fertigungsnetz ist Teil des Unternehmensrisikomanagements.
Im zweiten Schritt sollte das Unternehmen eine Sicherheitsanalyse durchführen und den Übergang von Büronetz zum Produktionsnetz absichern sowie die einzelnen Produktionsinseln untereinander. Die meisten Firmen installieren an diesen Stellen Industrie-Firewalls, die dank eines Lernmodus auch während des laufenden Betriebs eingesetzt werden können. Industrial-Ethernet-Switches beherrschen in der Regel die Absicherung pro LAN-Port mittels MAC-Adressfilter und Authentifizierung nach IEEE 802.1X und erschweren so den Anschluss von unberechtigten Geräten. Separate, abgesicherte Zugänge für Wartungs-Notebooks sind dabei ebenso vorzusehen wie ein einheitliches und einfaches Konfigurationsmanagement der Firewalls und Switches mit gesichertem SNMPv3. Idealerweise kann auch ein Produktionsmitarbeiter eine Ethernet-Switch-Konfiguration nachts um drei Uhr aufspielen, wenn er einen defekten Switch ersetzen muss. Die Virenscanner mit täglich automatisch aktualisierter Virensignaturdatenbank befinden sich meist auf den Leitstand-PCs, weil diese unter Windows 2000/XP laufen. Die Remote-Anbindung für die Fernwartung der Maschinen erfolgt durch eigens abgesicherte Zugänge, sei es über Analog-Modem, ISDN, Internet oder GSM/UMTS. Wireless-LAN wird im WPA/WPA2-Modus betrieben und von der Antennenausrichtung und Sendeleistung auf den Nutzungsbereich optimiert und eingeschränkt.
Der dritte Schritt ist die Einsicht in die Tatsache, dass selbst bei einem derart gesicherten Produktionsnetz die "gefühlte Sicherheit" weit über der objektiven liegt.
Sicherheitslücken
Ein damit immer noch mögliches Angriffsszenario wäre zum Beispiel ein Angreifer mit Notebook und Zugang zum Industrial-Ethernet-Netz, der Fertigungsdaten aufzeichnen will, um sie später außerhalb des Geländes auszuwerten. Dazu schließt er sein Notebook per Ethernet-Schnittstelle an das Produktionsnetz an. Die Sicherung durch MAC-Filter, 802.1X-Port-Authentifizerung und VLAN kann mit einem Ethernet-Hub oder einem Switch mit Monitoring-Port, der zwischen Industrial Firewall und und Industrial-Ethernet-Switch gesteckt wird, ganz einfach ausgehebelt werden.
Ähnlich kurz greifen die Firewalls an den Übergängen zwischen den einzelnen Produktionsinseln: Innerhalb einer Einheit ist uneingeschränkter Datenverkehr möglich, damit die Anlage störungsfrei laufen kann. Doch das Security-System kann innerhalb einer Produktionsinsel unerwünschten Datenverkehr weder erkennen noch verhindern.
Ferner erkennen nur wenige Switches Denial-of-Service-Attacken auf Ethernet- und IP-Ebene - falls doch, sperren sie den LAN-Port, von dem der Angriff ausgeht. Unter Umständen vollenden sie durch das Unterbinden jedweder Kommunikation von der Maschinensteuerung zu den einzelnen Anlageteilen, was sie eigentlich verhindern wollten: die Sabotage der Produktion. Default-Routen, die alle zum Leitstand führen, überlasten diesen bei einem gezielten ICMP-Angriff mit Anfragen.
Eindringversuche über bekannte und nicht oder nur schwach gesicherte FTP-, Telnet- oder HTTP-Server in den Gerätesteuerungen sind weitere Beispiele für die Angreifbarkeit von Ethernet- und IP-Netzen. Dies ist nur ein kleiner Auszug aus einer täglich länger werdenden Liste an Angriffsszenarien und Sicherheitslücken beim Einsatz von Ethernet und IP.
Der Verzicht auf den Einsatz von Industrial Ethernet aufgrund der beschriebenen Sicherheitsprobleme ist keine zukunftstaugliche Alternative. Vielmehr gilt es, Sicherheitsmaßnahmen stetig zu verfeinern und zu aktualisieren. Der Einsatz von hardwarebeschleunigten Firewalls, Intrusion-Detection- und -Prevention-Systemen auf Industrial-Ethernet-Switches kann helfen, unerwünschte Kommunikation innerhalb einer Produktionszelle zu erkennen und zu unterbinden. Gerätehersteller sollten mehr Wert auf die Qualtität der Implementierung der Ethernet-Treiber und IP-Stacks sowie die Absicherung von IP-Diensten legen - dies betrifft vor allem offene Ports und Standard-Login-Zugangsdaten. Dokumentierte und nachprüfbare Penetrations-, Denial-of-Service- und Regressionstestsergebnisse auf Ethernet-, IP- und Anwendungsebene sollten als Nachweis der Sicherheitsbestrebungen des Geräteherstellers zum Lieferumfang gehören. Verwendet der Hersteller in einem Gerät mehrere IP-Stacks oder virtualisierte Betriebssysteminstanzen, kann er die Datenbearbeitungs- und Kontrollfunktionen trennen und so die Sicherheit erhöhen.
Ethernet-Absicherung
Die Maximalforderung lautet, nur berechtigte Geräte als Teilnehmer im Produktionsnetz zuzulassen und jedweden Datenverkehr zu authentifizieren und zu verschlüsseln.
Die dafür üblichen Techniken wie IPSec als Verschlüsselungsprotokoll und IKE zum dynamischen Schlüsselaustausch funktionieren im Büronetzwerk, scheitern jedoch im Produktionsnetz, da sie zu komplex zu administrieren sind. Häufig sind die Geräte verschiedener Hersteller in diesem Punkt nicht miteinander kompatibel. Außerdem verschlüsseln diese Techniken nur den IP-Datenverkehr, nicht jedoch die Daten, die ausschließlich Ethernet verwenden. Bei größeren Datenmengen sind Performanceeinbußen hinzunehmen, sofern nicht ein spezieller Crypto-Chip die Ver- und Entschlüsselung vornimmt und die CPU von dieser Last befreit.
Diese Probleme adressiert die IEEE-802.1-Arbeitsgruppe mit folgenden Standarderweiterungen:
802.1AE - Media Access Control (MAC) Security (Standard seit 8. Juni 2006) führt die Authentifizierung und Verschlüsselung auf Ethernet-Ebene ein;
802.1af - Authenticated Key Agreement for MACSec kümmert sich um das Schlüsselmanagement und ging in 802.1X-2004/REV auf;
802.1AR Secure Device Identity (Entwurf) ermöglicht die eindeutige Authentifizierung der am Ethernet-Netzwerk angeschlossenen Stationen.
Mit diesen Techniken sind die Daten bereits auf Ethernet-Ebene authentifiziert sowie verschlüsselt, und die Integrität ist sichergestellt. Das setzt die Hürde für einen Angreifer innerhalb der Produktion mit Zugriff auf das Industrial-Ethernet deutlich höher und mindert damit die Gefahr für unberechtigten LAN-Zugang und Datenabgriff, Man-in-the-Middle- und Replay-Angriffe sowie für etliche Denial-of-Service-Attacken. Führende Anbieter von Büronetzwerkgeräten bieten bereits Ethernet-Switches mit diesen Techniken an.
Insofern ist es nur konsequent, jetzt auch die Hersteller von Industrial-Ethernet-Switches mit der Forderung nach 802.1AE, 802.1X-2004 und demnächst 8021.AR zu konfrontieren. Dabei ist besonders darauf zu achten, dass diese Erweiterungen performant genug implementiert werden, um die Echtzeitfähigkeit von Industrial Ethernet beizubehalten. Zudem muss die Administration so einfach wie möglich gestaltet sein. Auch der Mischbetrieb von sicheren und unsicheren Industrial-Ethernet-Teilnehmern muss geregelt sein.
Fazit
Industrial Ethernet bietet viele Vorteile. Die Datensicherheit im Produktionsnetz wird damit aber zum wichtigen Aspekt im Risikomanagement. Derzeit verfügbare technische Lösungen erlauben mit vertretbarem Aufwand eine prinzipielle Absicherung. Trotzdem bleibt Raum für Verbesserungen, den ein Unternehmen mit neu aufkommenden Techniken immer wieder schnell auffüllen sollte.
Lesen Sie mehr zum Thema
