Mit dem vollen Potenzial des IoT im industriellen Edge-Bereich und dem Trend zu datengetriebenen Entscheidungen verbessert die IT/OT-Konvergenz die Unternehmensleistung, indem bestehende Betriebsprozesse effizienter gestaltet werden. Gleichzeitig nimmt jedoch das Risiko einer größeren Angriffsfläche zu, da traditionelle OT-Netzwerke – die aufgrund ihrer maschinenorientierten Eigenschaften meist isoliert betrieben wurden – nun über das Internet oder über IT-Netzwerke angebunden sind. Dadurch werden OT-Geräte wie SCADA, HMI, RTU und PLC weitaus anfälliger für Cyberangriffe.
Um OT-Netzwerke gegen Cyberangriffe zu schützen, empfiehlt sich ein mehrschichtiger Sicherheitsansatz namens „Defense in Depth“, mit dem kritische OT-Komponenten abgesichert werden können. Da keine einzelne Lösung alle Formen von Cyberangriffen vollständig abwehren kann, verringert eine Defense-in-Depth-Strategie das Risiko eines Sicherheitsbruchs erheblich. Selbst wenn es Angreifern gelingt, mehrere Schutzmaßnahmen einer Ebene zu überwinden, bleiben die kritischen Komponenten durch die verbleibenden Sicherheitskontrollen der nächsten Ebene geschützt. Das erschwert erfolgreiche Angriffe deutlich. Diese Strategie beinhaltet fünf Ebenen: Physisch, Netzwerk, Computer, Anwendung und Gerät. Richtlinien, Verfahren und Sensibilisierung binden alle fünf Ebenen zusammen – jede Ebene befolgt vordefinierte Richtlinien, die durch konkrete Verfahren umgesetzt werden. „Sensibilisierung“ meint dabei das technische Know-how der Mitarbeitenden, ihr Netzwerk vor Cyberbedrohungen zu schützen.
Finden Sie Hutschienen-Managed-Switches und Industrielle Ethernet-Switches in unserem Katalog.
Physische Ebene: Dies umfasst den physischen Schutz von Mitarbeitenden und kritischen Anlagen vor unbefugtem Zutritt. Beispiele sind Videoüberwachungssysteme und IP-Kameras oder die Nutzung von Sicherheitskarten oder biometrischen Verfahren für den Zugang zu Räumen.
Netzwerkebene: Hier geht es um Netzwerksicherheit, die regelt, welche Benutzer oder Geräte Zugriff auf OT-Netzwerke haben. Beispiele sind die Implementierung von 802.1X-Port-Authentifizierung (kabelgebunden und drahtlos), das Filtern des Netzwerkverkehrs mit Access Control Lists (ACLs) sowie die Planung und Konfiguration von Netzwerksegmentierung.
Computerebene: Schützt SCADA-Arbeitsstationen vor unbefugtem Systemzugriff, zum Beispiel durch Antivirensoftware, Firewalls und regelmäßige Betriebssystem-Patches.
Anwendungsebene: Stellt sicher, dass alle Softwareprogramme auf SCADA- und Operator-Arbeitsstationen regelmäßig aktualisiert werden, um potenzielle Schwachstellen zu schließen.
Geräteebene: Dient der Reduzierung der Angriffsfläche für jedes Gerät. Maßnahmen umfassen die Verschlüsselung von Netzwerkkommunikation (HTTPS oder SSH), strenge Richtlinien bei Passwörtern, das Deaktivieren ungenutzter Ports und Dienste, Verschlüsselung von Dateien/Konfigurationen sowie die Nutzung von System-Log-Servern.
Segmentierung von OT-Netzwerken
Netzwerksegmentierung bedeutet, ein physisches OT-Netz in mehrere voneinander isolierte logische Netzwerke (VLANs) aufzuteilen. So lassen sich kritische Datenflüsse getrennt halten, um sie vor Abhörversuchen zu schützen. Zudem erhöht sich die Anzahl der Broadcast-Domains, wodurch sich etwa unnötiger Broadcast-Verkehr – ausgelöst durch ein defektes Gerät – nicht mehr auf das gesamte Netz ausbreiten kann.
Ein einfaches Beispiel: Wir können einen physischen Switch in zwei VLANs aufteilen. Das Produktions-VLAN könnte beispielsweise Solarmodule in einem Feld steuern, während das Überwachungs-VLAN für Sicherheitsbelange (z. B. Kameras) genutzt wird. Innerhalb eines VLANs können sich alle Geräte gegenseitig erreichen; ein Datenaustausch zwischen VLANs ist dagegen ausgeschlossen.
Sicherung des OT-Netzwerk-Rands
Automatisierungskomponenten wie SPS (PLC) sind häufig am äußeren Rand des OT-Netzwerks installiert. Wenn jemand die physische Perimetersicherheit überwinden kann, steigt das Risiko, unbefugte Geräte anzuschließen und etwa durch Reprogrammierung eines PLC den Betrieb zu stören. Solche Angriffe können zu hohen finanziellen Schäden oder sogar Personenschäden führen. Zwei Ansätze verringern dieses Risiko: IEEE 802.1X Port-basierte Authentifizierung und MAC-basierte Authentifizierung.
Bei aktivierter 802.1X Port-Authentifizierung kann ein Endgerät (außer EAPOL-Traffic) keinen weiteren Datenverkehr senden, solange keine gültigen Anmeldedaten vorliegen. Dabei kommen die Protokolle EAPOL (zwischen Endgerät und Switch) und RADIUS (zum Abgleich der Anmeldedaten auf einem RADIUS-Server) zum Einsatz. Nach erfolgreicher Authentifizierung folgt ein Accounting-Prozess, der die Nutzungsdauer des Endgeräts aufzeichnet.
MAC-basierte Authentifizierung ist eine weitere Option, die Geräte anhand ihrer Hardware-Adresse identifiziert. Der Switch nutzt das erste Paket eines Endgeräts, um dessen MAC-Adresse zu erlernen und beim RADIUS-Server als Benutzername und Passwort abzugleichen. Stimmt dieser Eintrag mit der Datenbank überein, wird der Netzwerkzugang gewährt. Im Anschluss wird ebenfalls ein Accounting-Prozess gestartet, der die Verbindungsdauer protokolliert.
Filtern des Netzwerkverkehrs durch ACL
Eine Access Control List (ACL) definiert Regeln, die Datenpakete anhand von Ethernet- oder IP-Header-Feldern (z. B. MAC-Adresse, VLAN-ID, IP-Adresse, Protokoll oder Ports) zulassen oder blockieren. So lässt sich steuern, welche Sender und Empfänger kommunizieren dürfen. Der Switch überprüft jedes Paket gegen die ACL-Regeln. Wird eine Regel erfüllt, wird das Paket zugelassen oder verworfen. Möchte man beispielsweise Modbus TCP/IP zwischen einer SCADA mit IP 172.16.0.1 und einem PLC mit IP 172.16.0.2 erlauben, bräuchte man zwei ACL-Regeln für die bidirektionale Kommunikation. Ziel von ACLs ist es, nur vertrauenswürdigen und nicht böswilligen Datenverkehr zuzulassen.
Ausgewählte Produkte
|
ET2-0602-M |
|
ET5-0802-M |
|
EG2-0800 |
|
ET2-1600 |
|
ET2-0500 |
|
EG2-0501-SFP |
