Sicherer Fernzugriff für industrielle Versorgungsanwendungen (Teil 1/2)
Sicherheitslücken schließen
Fernzugriff ist für viele betriebskritische industrielle Automatisierungssysteme notwendig. Netzwerkbetreiber müssen das Thema Cybersecurity berücksichtigen. VPNs können die wichtigsten Sicherheitslücken in Wasserpumpenstationen schließen.
(Bild: Moxa Europe GmbH)
Die Konvergenz von IT- und OT-Netzwerken hat neue Sicherheitslücken erzeugt, die Hackern mehr Möglichkeiten zur Infiltration eröffnen. Als Konsequenz des IIoT-Trends mussten Netzwerkbetreiber ihre industrielle Netzwerksicherheit neu durchdenken. In Industrienetzen verteilte SPSen und RTUs wurden nicht dafür hergestellt, Firewalls und Anti-Virus-Software ähnlich derer in IT-Netzwerken zu unterstützen. Und obwohl viele Firmen Leitfäden für die Hardware-Nutzung herausgeben, nutzen Mitarbeiter oder Dritte ihre Firmen-Laptops oftmals außerhalb des Firmennetzwerks, wo möglicherweise keine angemessenen Sicherheitsmaßnahmen vorhanden sind. Schnell ist da ein Virus heruntergeladen. Werden dieselben Laptops wieder ans Firmennetz angeschlossen, ist es passiert: die Firewalls, die das Herunterladen verhindern sollten, greifen nicht mehr. Auch über USB-Geräte, Smartphones oder Tablets sind Viren schnell eingeschleppt oder über das Herunterladen von Anhängen in Emails.
Sicherer Fernzugriff
Pumpenstationen sind oft über große Distanzen verteilt und müssen aus einer Zentrale heraus verwaltet werden. Die Fernüberwachung, -wartung und -diagnose überwinden die Grenzen der industriellen Herstellung und reduzieren die Betriebskosten erheblich. Netzwerkbetreiber können die Sicherheitsrisiken folgendermaßen reduzieren:
• LAN-Sicherheit: Die erste Verteidigungslinie, um nicht autorisierten Netzwerkzugriff zu verhindern. Setzt voraus, dass die gesamte Firmware auf dem neuesten Stand ist, dass die installierten Geräte Datenverschlüsselung unterstützen und dass das Netzwerk physisch abgesichert ist.
• VPNs: Sie erleichtern den sicheren Fernzugriff auf ein privates Netzwerk für Nutzer, die sich aus einem öffentlichen Netzwerk einloggen
• Firewalls: Filtern den Netzwerkverkehr, um auf Basis einiger vorab definierter Sicherheitsregeln sicher zu stellen, dass keine Sicherheitsrisiken das private Netzwerk erreichen.
Das Netzwerk im Überblick
Die Aufgaben von Pumpenstationen umfassen die Extraktion von Frischwasser aus Bodenquellen, Abwasserhebeanlagen, die das Abwasser zu den Kläranlagen transportieren, und extensive Drainage-Anlagen, die zurückgewonnenes Land trocken halten. Üblicherweise wurden Pumpenstationen mit Hilfe von Scada-Systemen überwacht und gesteuert. Mittlerweile hat Ethernet weitgehend Einzug gehalten, was den Netzwerkbetreibern das Fernwirken und -warten ermöglicht. Auch wenn der Zugriff aus der Ferne vieles erleichtert, bleibt noch die Angreifbarkeit der Scada-Systeme, die in privaten Netzwerken weder Authentifizierung noch Verschlüsselung nutzen können. Die Local Control Units (LCUs) im Steuerungssystem sind angreifbar, da keine angemessenen Sicherheitsmaßnahmen vorhanden sind.
Die Local Control Units (LCUs) im Steuerungssystem sind angreifbar, da keine angemessenen Sicherheitsmaßnahmen vorhanden sind. (Bild: Moxa Europe GmbH)
Sicherheitsherausforderungen
Fernzugriff: Pumpenstationen sind meist weit voneinander entfernt – Fernzugriff ist erforderlich. Die nötigen Sicherheitsanforderungen sollten vollumfänglich erfüllt werden, müssen aber gleichzeitig finanziell erschwinglich bleiben. Wenn die Fernsteuerung und -überwachung über Ethernet-Netzwerke erfolgt, muss die Datenübertragung verschlüsselt erfolgen, um Angriffe von außen erfolgreich abzuwehren. Erlangen Hacker Zugriff auf das Netzwerk, können sie jegliche Datenpakete, die sie abfangen, dazu nutzen, die Netzwerktopologie zu interpretieren und volle Kontrolle über das Netzwerk zu ergreifen. Um dieses Risiko zu bekämpfen, lassen sich zwischen den Pumpenstationen und der Leitstelle VPNs installieren, die durch hohe Verschlüsselungsstandards nicht einfach gehackt werden können. Solche Standards, wie AES256, haben sehr lange Schlüssel, die nur mit extrem hohem Aufwand geknackt werden können. Auch wenn es Publikationen darüber gibt, wie man sie knackt, ist dies sehr kompliziert und zeitintensiv, sodass es sich kaum lohnt.
Videoüberwachung: Es ist wichtig, dass industrielle Ethernet-Automatisierungsnetzwerke keine Verzögerungen bei der Datenverarbeitung erleben. Daher sollten die Sicherheitsmaßnahmen keine Leistungseinbußen mit sich bringen, während überprüft und verschlüsselt wird oder Datenpakete gekapselt werden. Alle Geräte im Netzwerk sollten ausreichend Verarbeitungsleistung haben, um die Sicherheitsfunktionen über den gesamten Lebenszyklus hinweg durchzuführen. Das gilt ebenfalls für Videoüberwachungsanwendungen, bei denen Verzögerungen aufs absolute Minimum beschränkt werden müssen. Videodaten müssen vom Moment, in dem sie die Kamera verlassen, bis zum Erreichen der Leitstelle abgesichert sein. Um das zu gewährleisten, nutzen Netzwerkbetreiber nahezu immer VPNs. Da Videopakete verzögerungsfrei geliefert werden müssen, darf dieser Vorgang durch die Sicherheitsmaßnahmen nicht verzögert werden. Software-Verschlüsselung erfüllt die hohen Anforderungen von Video-Streams mit großen Bandbreiten nicht, daher ist es notwendig, die Übertragung der Videodaten zur Leitstelle über sichere VN-Tunnel mit sicherer Hardware-Verschlüsselung zu schützen. Die meisten Netzwerkbetreiber setzen dazu Stand-alone-Geräte ein. Diese dürfen weder den legitimierten Zugriff aufs Netzwerk verhindern, noch betriebskritische Pakete stoppen – denn beides könnte zum Systemausfall führen.
Netzwerkredundanz: Pumpenstationen sind betriebskritische Teile der kommunalen Infrastruktur. Sie erfordern zuverlässige Verbindungen für das Fernwirken und -warten. Experten sind sich einig, dass die Installation eines Netzwerks ohne Back-up oder redundante Konnektivität nicht ratsam ist. Um Redundanz zu unterstützen, müssen die Geräte, welche als Steuerungs- und Überwachungs-Gateways zu einer Pumpenstation fungieren, duale Konnektivität vorhalten. Netzwerkbetreiber sollten Geräte installieren, die duale, redundante WAN-Schnittstellen haben, da diese die Wahrscheinlichkeit des Konnektivitäts-Verlusts zwischen Pumpenstation und Leitstellen reduzieren.
Betrieb in rauer Umgebung: Pumpenstationen sind in der Regel unbemannt und haben weder Heizung noch Klimaanlage. Daher muss jegliche Hardware robust genug sein, um Temperaturschwankungen und Feuchtigkeit zu widerstehen. Robuste Geräte reduzieren die Notwendigkeit für Service-Besuche für Wartung oder Geräteersatz und die Ausfallmöglichkeit aufgrund von Gerätefehlern.
Autor: Alvis Chen,
Moxa Europe GmbH
www.moxa.com
Im zweiten Teil des Beitrages, der sowohl online als auch in der IoT-Design 1/2018 erscheint, erfahren Sie, wie VPN-Lösungen die Sicherheit in Pumpenstationen aufrecht erhalten und den Fernzugriff erleichtern.
