mdex AG

Bild: iStock, calvindexter

Deep Packet Inspection IT-Sicherheit für Produktionsanlagen

29.11.2018

Die zunehmende Verknüpfung von OT und IT durch die Digitalisierung ist ein großer Innovationstreiber in der Industrie. Gleichzeitig erhöht sich dadurch auch das Risiko, da diese Maschinen und Anlagen damit potenziell für die gleichen Gefahren offen sind wie andere vernetzte IT-Systeme auch. Die Deep Packet Inspection minimiert die Gefahr und erkennt Anomalien.

Sponsored Content

Die Vernetzung von Maschinen und Anlagen war bis vor kurzer Zeit oft noch von der klassischen (Büro-) IT getrennt. Dies hatte gleichzeitig den Vorteil, dass diese (OT-) Systeme nicht von den klassischen Gefahren, wie Viren oder Hackerangriffen, ausgesetzt waren. Die physikalische Trennung von der bösen Außenwelt war also zumeist ein ausreichender Schutz. Neue Konzepte und Anforderungen, zum Beispiel nach komfortablen Fernwartungslösungen oder nach neuen Geschäftsmodellen wie Predictive Maintenance, erforderten jedoch eine immer stärkere Verknüpfung mit der klassischen IT-Welt. Die Bedrohungslage für OT-Systeme hat sich damit schlagartig geändert: Systeme, welche vorher vom Internet getrennt waren, sind ab diesem Zeitpunkt nicht nur denselben Bedrohungen wie IT-Systeme ausgeliefert, sondern sind häufig auch – bedingt durch veraltete und oft nicht mehr aktualisierbare Soft- und Firmware – ein umso leichteres Ziel für Cyberangriffe.

Schutzsysteme immer wichtiger

Um solche Kommunikationsinfrastrukturen mit gegebenenfalls vorhandenen Sicherheitslücken zu schützen, sind die Anforderungen an die entsprechenden Schutzsysteme umso größer. Ein sabotiertes System in einer Industrieanlage kann einen erheblichen finanziellen Schaden verursachen, beispielsweise durch den Ausfall einer Produktionsanlage. Die Kosten eines Schadens, und damit auch der Wert eines angemessenen Schutzes, lassen sich daher verhältnismäßig gut berechnen. Hundertprozentigen Schutz gibt es für OT-Systeme genauso wenig wie für IT-Systeme. Für einen bestmöglichen Schutz gibt es verschiedene Möglichkeiten, welche sich auch kombinieren lassen.

Trennung der Systeme

Trotz einer Verknüpfung lässt sich der Datenverkehr zwischen IT- und OT-Systemen – in Grenzen – kontrollieren. Beispielsweise durch eine Firewall, welche nicht nur die internen IT-Systeme vom Internet trennt, sondern auch von den eigenen OT-Systemen. Hier kann nicht nur sehr fein geregelt werden, welche IT-Systeme mit welchen OT-Systemen kommunizieren dürfen, sondern auch welche Protokolle dafür verwendet werden dürfen. Wenn ein IT-System also beispielsweise ausschließlich über eine HTTP-Verbindung mit einem OT-System kommunizieren soll, ist es sinnvoll, die Kommunikation auf genau dieses Protokoll einzugrenzen. Damit würden dann Angriffe, welche auf dem SMB-Protokoll basieren nicht mehr möglich, oder zumindest deutlich erschwert. Genauso kann es gegebenenfalls sinnvoll sein, die Kommunikationsrichtung einzuschränken, wenn ein OT-System immer nur Daten an ein IT-System sendet.

Verteilte Infrastruktur

Gerade der Zugriff auf Maschinen und Anlagen über das öffentliche Internet bringt ein erhöhtes Gefahrenpotential mit sich. Ein einfacher Benutzername- / Passwort-Schutz der Anlagen ist nicht ausreichend. Der Zugriff sollte nicht nur durch eine Firewall, sondern auch durch eine gesicherte Verbindung geschützt werden. Hierfür eignen sich die gängigen VPN-Techniken – wie OpenVPN. Falls die Anlagen in einer fremden Umgebung stehen, kann es sinnvoll sein, diese Anlagen über separate Kommunikationsanschlüsse, wie dedizierte DSL-Anschlüsse oder Mobilfunk anzubinden, um eine Verbindung in eine fremde OT- / IT-In­frastruktur zu vermeiden.

Anomalieerkennung

Eine permanente Überwachung der gesamten Kommunikation von OT-Systemen bis hinein in die Applikationsdaten ist eine sinnvolle Erweiterung der Schutzmaßnahmen. Im Gegensatz zur klassischen IT-Kommunikation ist die Kommunikation von OT-Systemen in der Regel sehr gut vorhersehbar. Es werden beispielsweise regelmäßig immer wieder dieselben Sensorwerte abgefragt, oder Steuerbefehle übertragen. Ein System, welches diese Kommunikation überwacht, erkennt also wer sich in diesem Netzwerk wie und über was unterhält. Klassischerweise wird hierbei zunächst alles als Anomalie gewertet. Nach einiger Zeit des Beobachtens können dann genau die erwarteten, beziehungsweise gewünschten Kommunikationsbeziehungen und Inhalte als in Ordnung markiert werden. Diese gelten dann künftig nicht mehr als Anomalie. Ändert sich etwas, zum Beispiel wenn ein Service-Techniker auf eine Maschine zugreift, würde dies als Anomalie gewertet und einen Alarm erzeugen.

Wie kann nun ein solches Anomalieerkennungssystem / Deep Packet Inspection System einen Cyberangriff wie WannaCry erkennen? Der WannaCry-Virus verbreitet sich über eine Schwachstelle in Microsoft-Windows-Betriebssystemen. Der Virus verschlüsselt bestimmte Daten auf dem befallenen System und fordert anschließend zu einer Lösegeldzahlung auf, damit die Daten wieder entschlüsselt werden. Bevor dies geschieht, sucht der Virus gezielt nach weiteren Systemen im Netzwerk, welche ebenfalls diese Sicherheitslücke aufweisen, um sich weiterzuverbreiten. Die Reihenfolge ist hierbei entscheidend: Damit der Virus sich möglichst gut verbreiten kann, wartet er mit der Verschlüsselung des befallen Systems, um möglichst lange unerkannt zu bleiben. Das heißt, es gibt ein Zeitfenster, in welchem ein befallenes System noch gerettet werden kann, falls der Angriff rechtzeitig erkannt wird. Eine Anomalieerkennung würde also die Infektion des ersten Systems gar nicht verhindern, jedoch die neue Kommunikation erkennen und entsprechend Alarm schlagen.

Hier würden gleich mehrere Anomalien erkannt: Zum einen würde die Suche nach neuen, verwundbaren Systemen haufenweise neue Kommunikationsbeziehungen zur Folge haben, welche alle eine entsprechende Alarmierung bedeuten. Des Weiteren würde hierbei auch das Protokoll SMB verwendet werden, da die entsprechende Sicherheitslücke genau hier­auf aufsetzt. Somit würde also neben dem plötzlichen Auftreten von sehr vielen neuen Kommunikationsbeziehungen auch ein Protokoll verwendet werden, welches bisher gar nicht, oder nur sehr selten vorkam. Anhand der Kommunikationsbeziehungen kann zudem ausgemacht werden, welches System von dem Virus befallen wurde. Im Besten Fall kann hier also – eine entsprechend schnelle Reaktion vorausgesetzt – ein Befall weiterer Systeme, sowie eine Verschlüsselung des befallenen Systems verhindert werden.

Fazit

Auch wenn die Vorteile vernetzter OT-Systeme und deren Verknüpfung mit IT-Systemen überwiegen, sollte die IT-/OT-Sicherheit der gesamten Kommunikationsinfrastruktur in ihrem Gesamtkontext neu bewertet werden. Durch ein sorgfältig abgestimmtes IT-Sicherheitskonzept (auch für OT-Systeme) kann das Risiko in einem wirtschaftlich sinnvollen Rahmen minimiert werden.

Bildergalerie

  • Der WannaCry-Virus verschlüsselt bestimmte Daten auf dem befallenen System und fordert anschließend zu einer Lösegeldzahlung auf, damit die Daten wieder entschlüsselt werden.

    Bild: mdex

Firmen zu diesem Artikel
Verwandte Artikel