IIoT mit VPN und IoT-Gateways schützen
Kein Anschluss ohne diesen Tunnel
VPNs schützen nicht nur die Daten zwischen LAN und Laptop. Ein verschlüsselter Tunnel ist auch für das Industrial Internet of Things (IIoT) sinnvoll. Solche VPN-Clients müssen mit Topologien, Architekturen und Betriebssystemen im industriellen Bereich zurechtkommen und Schnittstellen zur traditionellen IT-Umgebung bieten. Neben nativen Clients sind IIoT-Gateways eine zunehmend beliebte Variante, um diese Anforderungen zu erfüllen.
Es steckt schon im Namen: Das Internet of Things (IoT) ist ein Netzwerk aus Komponenten, die miteinander kommunizieren. Nicht anders sieht es beim IIoT aus. Ein Teil der Kommunikation ist unkritisch, weil sie lokal begrenzt bleibt, etwa wenn ein Weggeber einen Abstand an den entsprechenden Controller der CNC-Maschine meldet. Andere Daten hingegen sind nur im Zusammenhang sinnvoll. Sie müssen an einen Server innerhalb oder außerhalb der Produktionsumgebung weitergeleitet werden. Gerade diese zweite Gruppe bereitet im Moment vielen Administratoren und Produktionstechnikern Kopfzerbrechen. Produkte für das IIoT sind klein, häufig nicht sehr leistungsstark und leider fast immer ohne oder nur mit rudimentären Sicherheitsfunktionen ausgestattet. Ein IIoT-Gerät mit TCP/IP-Netzwerkstack sieht im Internet nicht anders aus als ein PC, Smartphone oder Server. Sobald es offene Ports und Schwachstellen auszubeuten gibt, wird dies auch passieren.
Der Schutz von IoT- und IIoT-Geräten ist spätestens seit dem DDoS-Angriff auf den Cache-Provider Akamai durch das Mirai-Botnetz in den Vordergrund gerückt. Mirai besteht zu einem großen Teil aus IoT-Geräten wie Netzwerkkameras, Routern oder digitalen Videorekordern. Zusammen zwangen sie Akamai dazu, den Angriff auf die Website des IT-Security-Autors Brian Krebs durch die Filter zu lassen, weil sie zu viel aggregierte Bandbreite aufbrachten. Der Angriffsvektor war banal: Unveränderte Default-Passwörter oder gar kein Kennwortschutz sowie ein direkter Internetzugang machten die vernetzen Geräte zur leichten Beute. Bei Privatanwendern kann man solche Versäumnisse verstehen, gewerbliche Anwender haben jedoch keine Ausrede, ihre IIoT-Endgeräte derart ungeschützt zu betreiben. Starke Passwörter oder andere Formen der Authentifizierung sind absolute Mindestanforderung an die Sicherheit, und ein Internetzugang über VPN hätte Mirai ebenfalls ausgebremst.
Mittlerweile gibt es genügend Standards und Frameworks, die ganz spezifisch das IIoT adressieren und klare Anweisungen für dessen Schutz geben. So enthält beispielsweise NIST 800-82 eine an die ISO-27000-Familie angelehnte umfangreiche Anleitung zum Schutz von IT-Komponenten im industriellen Umfeld. VPNs werden dabei als Sicherheitsmaßnahme genannt, um Kontrollzugänge zu schützen. Gerade wenn Hersteller ihre Endgeräte beim Kunden aus der Ferne warten und überwachen wollen, ist die Verschlüsselung per VPN unerlässlich. Auch der IT-Grundschutz des BSI enthält seit Ende 2016 Bausteine für IoT-Komponenten. In "SYS.4.4 Allgemeines IoT-Gerät" wird die Absicherung in der typischen Grundschutz-Struktur abgedeckt, angefangen von Auswahl und Beschaffung bis zur Außerdienststellung. Auch dort wird ein VPN als wichtiger Bestandteil des IoT-Geräts genannt, wenn das Gerät selbst keine verschlüsselten Kommunikationswege anbietet. Das BSI drängt zusätzlich darauf, ausreichend starke kryptografische Verfahren und entsprechende Schlüssellängen im VPN zu verwenden.
Idealfall: Direkte VPN-Integration
Ein nativer VPN-Client ist für industrielle IoT-Geräte selten umsetzbar, auch wenn aktuelle Geräte diese Möglichkeit zunehmend anbieten. Dabei spielen technische Gründe eine Rolle, aber auch organisatorische Hindernisse und Compliance-Vorgaben der IIoT-Hersteller. Meist verlangt der VPN-Client ein Linux oder Windows-Betriebssystem, das bei älteren IIoT-Geräten selten vorhanden ist.
Die nächste Frage ist, ob ausreichend Ressourcen zur Verfügung stehen. Die Hauptanforderungen an IoT- und IIoT-Geräte - klein und stromsparend zu sein - bedeutet häufig, dass die CPU-Leistung nicht für aufwändige Sicherheitsfunktionen wie Verschlüsselung oder Packet Inspection ausreicht.
Clients wie der IoT-VPN-Client von NCP, die für den Einsatz in diesem Umfeld vorgesehen sind, benötigen einige MByte RAM und einen Linux-Kernel ab 3.x sowie verschiedene Libraries und Module.
Erfüllen IIoT-Systeme diese Hard- oder Softwareansprüche nicht oder erlaubt der Hersteller aus Zertifizierungsgründen keinen VPN-Client, stellen IIoT-Gateways einen Ausweg dar. IIoT-Gateways wurden bisher vor allem genutzt, um Legacy-Geräte, die nicht über eine Netz-Schnittstelle verfügen, an ein Bussystem wie Modbus oder TCP/IP anzubinden, Konvertierungen von Signalen und Medien vorzunehmen oder einfache Logikverknüpfungen durchzuführen.
Doch mittlerweile verwenden immer mehr Anwender IIoT-Gateways auch als VPN-Client, um das bekannte Problem der zu geringen Rechenleistung zu lösen. Aktuell angebotene IIoT-Gateways verfügen über moderne Prozessoren wie Intels Quark-Familie und ausreichend RAM und Massenspeicher für ein Linux- oder Microsoft-Betriebssystem und multiple Anwendungen. Sie sind komplette Computing-Plattformen, um Daten zu sammeln, zu verarbeiten und weiterzuleiten. Neben klassischen Linux-Distributionen sind auch Produkte wie Wind River Linux für IIoT-Geräte verfügbar, die ganz spezifisch auf deren Anforderungen zugeschnitten sind. Clients für Cloud-Dienste wie Microsoft Azure IoT, Sema Cloud oder Cumulocity gehören oft schon zur Grundausstattung. Connectivity-Optionen für drahtgebundene und drahtlose Netze sind ebenso enthalten wie Firewall und andere Sicherheitsmechanismen.
Auf einem solchen Gateway lässt sich problemlos eine für den industriellen Bereich angepasste VPN-Software installieren. Alle Daten von Sensoren und Aktoren sind damit ab dem Ausgang des IIoT-Gateways sicher verschlüsselt. Dadurch umgeht der Anwender Beschränkungen in der Hard- und Softwareausstattung von IIoT-Geräten, benötigt keine Herstellerfreigabe für Softwareänderungen und kann zusätzliche Aufgaben in das Gateway auslagern. Mehrere Hersteller, darunter NCP, bieten inzwischen eine VPN-Komponente an, die sich auf einem IIoT-Gateway mit Linux-Betriebssystem installieren lässt.
Zusätzliche Anforderungen beachten
Die Basisfunktionen einer VPN-Software für Industrieumgebungen, gleichgültig ob nativ oder auf einem IIoT-Gateway, unterscheiden sich nicht von denen für Laptops oder Smartphones. Aber um optimal in die spezifische Umgebung zu passen, sind seitens des Herstellers und des Anwenders einige Aspekte zu beachten. Eine solche Software ist gewöhnlich nicht für die Installation durch den End-anwender gedacht.
Sie wird als Bestandteil des IIoT-Gateways vorkonfiguriert und im Rahmen eines Projekts ausgeliefert. Dafür muss der VPN-Hersteller Zugang zum Entwicklungsprozess des Geräteherstellers haben. Schließlich müssen die VPN-Softwarekomponenten in den Roll-out und Patch-Prozess des Geräts integriert sein, und auch die Schnittstellen zum Management des Gerätes müssen passen. Im Idealfall ist der VPN-Hersteller bereits bei der Produktentwicklung des IoT-Devices involviert. Dann kann er seine Software in den Entwicklungsprozess integrieren, und das resultierende Gerät verfügt über Sicherheitsmaßnahmen aus einem Guss. Eventuell ist es auch notwendig, Redundanz über Hot oder Cold Standby zu bieten. Auch für diesen Fall muss die VPN-Software nahtlos in die übergeordneten OS-Komponenten eingegliedert sein.
An einem Virtual Private Network ist nicht die Grundfunktion komplex, sondern das Management. Während bei den in der Regel stationären IIoT-Geräten Dinge wie wechselnde Verbindungsmedien und zahlreiche Betriebssysteme keine Rolle spielen, sind Erstkonfiguration, Zertifikate, Passwörter und Rechtevergabe eine Herausforderung an die Verwaltungsoberfläche. Zudem sind viele IIoT-Geräte nicht mobil und an schlecht zugänglichen Stellen montiert.
Die VPN-Lösung muss in der Lage sein, alle Funktionen rund um das Management zentral über die Konsole auszuführen. Für die Erstkonfiguration gibt es verschiedene Hilfsmittel. So lässt sich das IIoT-Gerät vorkonfigurieren und über die IMEI oder MAC-Adresse für die erste Verbindung authentifizieren. Ebenso kann ein eventuell vorhandenes TPM-Modul im Gateway zur Authentifizierung dienen. Zertifikate lassen sich vorab hinterlegen oder auf das Gerät ausbringen, wenn die erste Verbindung hergestellt ist. Häufig ist in den IIoT-Gateways ein SD-Karten-Slot vorhanden, über den man die Konfiguration samt Identifizierungsdaten in den VPN-Client laden kann. In jedem Fall muss dem Remote-Management allerhöchste Aufmerksamkeit gelten, sowohl was dessen Verfügbarkeit als auch was die sichere Authentifizierung angeht.
Unterschiedliche Nutzungsprofile bei IIoT
Darüber hinaus unterscheiden eine ganze Reihe von Features den IIoT-VPN-Tunnel von einem klassischen, IT-zentrischen Tunnel. Das Datenaufkommen ist beispielsweise in der Regel weit geringer als bei einem Laptop oder Smartphone. Unter Umständen sendet das IIoT-Gerät nur wenige Bytes und auch nur zu bestimmten Zeiten. Aus Sicherheits- und Effizienzgründen ergibt es in einem solchen Fall Sinn, die Verbindung nur bei Bedarf in Richtung Zentrale aufzubauen. Muss das IIoT-Gerät unplanmäßig angesprochen werden, lässt sich der Tunnel mithilfe von Wake-on-LAN-Paketen oder einer SMS von der Zentrale aus initiieren. Meist ist ein Mobilfunkmodem als Option für das IIoT-Gateway erhältlich. Möglicherweise soll das IIoT-Gateway auch nur einmal am Tag eine Datei verschicken, dann ist es unter Umständen billiger und sicherer, auf ein VPN zu verzichten und den Transfer über SFTP abzuwickeln.
Sicherheit ist nicht allein die Aufgabe des VPN-Clients. Er muss soweit wie möglich abgesichert und vor unbefugtem Zugriff geschützt sein. Dies fängt beim Perimeter des Standorts an, das gegen Einbrüche gesichert sein sollte, und schließt physische Zugangshürden durch abschließbare Racks und andere mechanische Sperren ein. Weiter geht es darum, den Netzzugang digital zu sichern. Geräte, die in abgelegenen Standorten ohne Personal arbeiten, benötigen besonders umfangreiche Schutzvorkehrungen. Sollte so ein Gerät gestohlen werden, kontrolliert der Dieb unter Umständen einen offenen Tunnel in das LAN des Anwenders.
Der Diebstahl sollte so schnell wie möglich erkannt und über mehrere Wege gemeldet werden. Geht so eine Meldung ein, hat der Anwender Verbindungen von betroffenen Geräten als nicht sicher einzustufen, bis die Situation geklärt ist. Ebenfalls sinnvoll sind Maßnahmen, die den VPN-Tunnel mit dem korrekten Standort verknüpfen. Folglich sollte das VPN-Gateway in der Zentrale nur Verbindungsanfragen von der fest konfigurierten IP-Adresse des Remote-Gateways zulassen. Wenn das IIoT-Gerät direkt mit der Cloud kommunizieren soll, gelten die gleichen Vorgaben für die Authentifizierung und den Verbindungsaufbau.
Need-to-do-Richtlinie umsetzen
Im Policy Pool des VPN-Gateways muss genau spezifiziert sein, was das IIoT-Gerät darf. Die Firewall ist für die benötigten Ports zuständig, während der Verzeichnisdienst Zugangsrechte auf Subnetze, Server und Speichersysteme abgewickelt. Eine transparente Verbindung ins LAN ist nur selten notwendig, meist sind die Aufgaben des IIoT-Geräts und damit auch die erforderlichen Rechte auf Seiten des LANs klar definiert. Dateien sollten ohnehin nur auf Server in der DMZ abgeladen werden. Wie das Management der IIoT-Systeme organisiert wird, ist eher eine organisatorische Frage. Seitens der VPN-Management-Konsole sind IIoT-Clients wie ein herkömmliches Endgerät zu behandeln. Aufgrund der meist im Produktionsdaten- und ERP-Bereich angesiedelten Aufgaben ist eine logische Trennung von IIoT-VPN und klassischem VPN sinnvoll. Bei höheren Sicherheitsanforderungen oder wenn es sich um ein sehr großes IIoT-Netz handelt, ist abhängig vom VPN-Hersteller auch eine weitergehende Isolation denkbar. Ein modernes Management-System ist mandantenfähig, sodass die IIoT-Systeme in einem Sub-Bereich mit allen unterstützenden Diensten wie Radius verwaltet werden, ohne zwei physische Umgebungen zu schaffen. Eine benutzerspezifische Sicht auf die IIoT-Geräte ist ebenso möglich wie eine gerätebezogene. Welche Reports der Administrator zu welchen Zeitabständen sehen will, ist von seiner Umgebung abhängig. Wichtig ist nur, dass das Management-System die Reports in der gewünschten Detailkombination und -tiefe generieren kann.
Dass inzwischen ein merklicher Fokus auf die Sicherheit von IoT und IIoT gelegt wird, ist eine positive Entwicklung. Man kann hoffen, dass zukünftige Gerätegenerationen bereits über die wichtigsten Standardsicherheits-Features verfügen werden. Altgeräte müssen Betreiber jedoch auch noch in vielen Jahren über alternative Maßnahmen absichern. IIoT-Gateways sind zusammen mit einer umfassenden Sicherheitsstrategie wichtige Elemente zum Schutz dieser Legacy-Geräte.
Lesen Sie mehr zum Thema
