IT-Sicherheit in der Wasserwirtschaft So bauen Sie ein sicheres Netzwerk auf

Anbieter zum Thema

PHOENIX CONTACT Deutschland GmbH

HIMA Paul Hildebrandt GmbH

AZO GmbH + Co. KG

Edwards GmbH

Aktuell ist das Thema IT-Sicherheit in aller Munde. Immer mehr erfolgreiche Angriffe werden gemeldet – und längst trifft es nicht nur die Großen, sondern auch kleine und mittelständische Betriebe. Daher wächst das Bewusstsein der Verantwortlichen hinsichtlich der Bedrohung der eigenen Anlagen. Was ist also zu tun?

Hacker richten ihre Angriffe derzeit meist nicht gezielt auf ein bestimmtes Unternehmen, sondern suchen eine Schwachstelle in der Hard- oder Software von Betrieben. Eine Schadsoftware nutzt eventuelle Lücken dann aus, um sich über das Unternehmensnetzwerk zu verbreiten. Lässt sich der Betrieb folglich direkt via Internet oder durch örtlich angeschlossene Hardware – z. B. das Notebook, das externe Personen zu Wartungszwecken an das Unternehmensnetz ankoppeln – erreichen, stellt die Infiltration von Malware keine Seltenheit dar.

Bildergalerie

Vor diesem Hintergrund wird schnell ersichtlich, dass die Anzahl der Mitarbeitenden oder die Menge des geförderten Wassers – Schwellwerte in der Kritis-Klassifizierung – kein Ausschlusskriterium für den Einsatz von Security-Maßnahmen bilden. Umso verwunderlicher ist es, dass die Planung und Realisierung zahlreicher Netzwerke noch immer so erfolgt, als gäbe es keine derartigen Bedrohungen. Ihre Umsetzung basiert auf viele Jahre alten Konzepten, lediglich die installierten Komponenten weisen einen neueren Entwicklungsstand auf. In diesem Beitrag sollen daher einige Anregungen gegeben werden, wie sich ein Netzwerk aufbauen lässt, damit es beispielsweise der aktuell gültigen Version 3 des Sicherheitsstandards B3S Wasser für ein Leitsystem entspricht.

Netzwerkplan und Stücklisten

Ist eine wasserwirtschaftliche Anlage nach dem B3S-Standard zu realisieren, erweist sich der Ablauf als stets gleich. Im ersten Schritt wird das zu betrachtende Objekt ausgewählt, in diesem Fall das Leitsystem der Anlage. Zum relevanten IT-System gehören hier das entsprechende Netzwerk sowie die verwendete Rechnerhard- und -software. Anschließend sind die Anwendungsfälle zu benennen, die aufgrund der genutzten Funktionen oder Systeme als wesentlich für die Anlage erachtet werden. Die Analyse der Anwendungsfälle gestaltet sich bei jeder Anlage unterschiedlich, nur die Grundzüge sind identisch. Deshalb gibt es keine einheitliche Herangehensweise, sondern das Konzept muss anlagenspezifisch angepasst werden.

Aus der Festlegung der Anwendungsfälle resultieren die Gefährdung und die anzuwendenden Gegenmaßnahmen. Jetzt beginnt die eigentliche Planung des Netzwerks, wenn es modernisiert oder an geänderte Rahmenbedingungen adaptiert werden soll. Dazu ist zuerst der allgemeine Aufbau gemäß den funktionalen Anforderungen des Betreibers auszuarbeiten, beispielsweise redundante Server, ein Fernzugang für den Rufdienst oder ein digitales Wartungsmanagement für die Mitarbeitenden in der Werkstatt. Danach werden die Hardware (Switches, IPCs etc.) und die Software (Leitsystemsoftware) selektiert. Hierbei fungieren zunächst die Funktionen der Komponenten hinsichtlich der Abwehr möglicher Gefährdungen als Entscheidungskriterium. Mit dem Betreiber erstellen die Security-Experten dann eine Liste der zu erwerbenden Produkte sowie Einsatzrichtlinien und dokumentieren beides für spätere Beschaffungsprozesse. Mit der abgeschlossenen Hard- und Softwareauswahl ist die Basis für ein zugriffssicheres Netzwerk geschaffen, aber noch nicht in die Praxis überführt.

Netzwerksegmentierung

Bis dato liegen ein Netzwerkplan und Stücklisten vor, und das Schutzkonzept kann in den Plan eingefügt werden. Dabei gilt es die wesentlichen Schutzmechanismen zu berücksichtigen, etwa eine Netzwerksegmentierung. Darunter ist die Aufteilung des Netzwerks in Teilbereiche zu verstehen. Dies geschieht im Beispielfall des PLS-Netzwerks durch einen routing-fähigen zentralen Switch sowie die Unterteilung des PLS-Netzes in Segmente mit einem eigenen IP-Adressbereich. Als Abgrenzung zu den Außenanlagen und anderen Netzwerken – z. B. dem Automatisierungsnetzwerk – wird eine Hardware-Firewall genutzt, beispielsweise die Security Appliances FL mGuard von Phoenix Contact. Da auf dem Anlagengelände eigene Leitungen und Netzwerke aufgebaut sind, reicht eine einfachere Firewall aus. Die Firewall zu den Außenanlagen bildet zugleich die Gegenstelle für den VPN-Tunnel (Virtual Private Network) zu den in den Bauwerken montierten Steuerungen, die über die Funktion „VPN ab Steuerung“ verfügen sollten.

Am Übergang zum Internet wird am zentralen und möglichst einzigen Zugangspunkt zum Unternehmensnetz eine Firewall der höchsten Schutzstufe verwendet. Außerdem sollte das Gerät die Möglichkeit einer DMZ (Demilitarized Zone) für einen eventuell späteren Fernwartungszugang zum Steuerungsnetz beinhalten. Als DMZ wird ein Netzwerk mit sicherheitstechnisch kontrollierten Zugriffsoptionen auf die daran angeschlossenen Server bezeichnet. Die DMZ erweist sich als erforderlich, weil ein direkter Zugriff aus dem Internet auf die Steuerung nicht mehr zulässig ist.

Monitoring-System deckt Anomalien auf

Neben der Netzwerksegmentierung empfiehlt sich dringend die Nutzung eines Monitoringsystems, wie etwa IRMA. Die Installation des Tools sollte zukünftig genauso selbstverständlich sein wie die eines Virenscanners. Bei der Netzwerk-Monitoring-Lösung IRMA handelt es sich um ein System, das an einen Spiegel-Port (Mirror Port) des zentralen Switches angebunden ist. Dorthin wird der Datenverkehr der Netzwerkteilnehmer kopiert und von der Monitoring-Lösung auf Anomalien überprüft. Das können zum Beispiel Veränderungen der Datenmenge oder eine ungewöhnliche Kommunikation zwischen verschiedenen Netzwerkteilnehmern sein.

Bezüglich der Notwendigkeit des IRMA-Einsatzes lassen sich zwei Gründe anführen. Zum einen erfolgen die meisten Angriffe gemäß einer Statistik des Bundesamts für Sicherheit in der Informationstechnik (BSI) von innerhalb des Unternehmens. An dieser Stelle wirkt keine Firewall mehr, denn diese ist bereits überwunden. Selbst wenn der Virenscanner tagesaktuell gehalten ist, kann neue, noch nicht bekannte Schadsoftware auftreten. Aufgrund seiner Funktionen gibt einzig das Netzwerk-Monitoring Hinweise auf einen ausgeführten Angriff, da es mit der Kommunikation der Schadsoftware im Unternehmensnetz zu aufspürbaren Veränderungen kommt.

Zur Absicherung des Fernzugriffs bietet sich im Beispiel eine externe Lösung wie die mGuard Secure Cloud an. Das System wurde speziell für den sicheren Remotezugang zu Maschinen und Anlagen entwickelt. Von Remote-Desktop-Anwendungen raten die Security-Spezialisten von Phoenix Contact an dieser Stelle ab.

Inbetriebnahme: Leitlinien dokumentieren

Im nächsten Schritt ist das Netzwerk aufzubauen. Dabei ist wichtig, dass die Geräte im Einklang mit den Anforderungen eingerichtet werden. Ferner ist ein zentrales Management für die zukünftige Überwachung sowie Updates und Patches in Form entsprechender Softwarelösungen zu etablieren. Bei der Realisierung des Security-Konzepts kommt es für Betreiber, die nicht unter die Zertifizierungspflicht fallen, auf die Größe der Anlage an. Daraus leitet sich ab, welche Produkte erforderlich sind oder eine Option darstellen. Bestenfalls liegen derartige Leitlinien nach einer Absprache mit dem Betreiber in Dokumentenform vor, sodass der Inbetriebnehmer die nötigen Einstellungen an den Firewalls, Switches und der Rechnerhardware vornehmen kann.

Der angestrebte Schutzgrad der Anwendung lässt sich nur erreichen, wenn die beschriebenen Umsetzungsschritte entweder den betrieblichen Vorgaben oder den anerkannten Regeln – beispielsweise gemäß BSI-Grundschutz – entsprechen. Darüber hinaus sollten die Arbeiten durch qualifizierte Inbetriebnehmer mit Security-Erfahrungen auf dem Gebiet der Automatisierungsnetzwerke ausgeführt werden. Die getroffenen Einstellungen und Entscheidungen sind für eine mögliche spätere Security-Zertifizierung zu dokumentieren und die Konfigurationen – zum Beispiel für den Fall eines Gerätetausches bei einer Störung – zu speichern. Im besten Fall werden die Einstellungen auf einer SD-Karte im Gerät sowie zusätzlich in der Management-Software des Netzwerks – sofern vorhanden – hinterlegt.

Updates und Patches zeitnah aufspielen

Der IT-Schutz ist nicht statisch, sondern regelmäßig an neue Bedrohungen anzupassen. Jedes Jahr gibt es Millionen neuer Schadprogramme, weshalb die Wirksamkeit der bestehenden Maßnahmen turnusmäßig überprüft werden muss. In diesem Zusammenhang erweist es sich als hilfreich, wenn Updates und Patches zeitnah aufgespielt sowie die Logfiles der Netzwerkhardware oder anderer Tools regelmäßig auf neue Anforderungen oder erforderliche Anpassungen kontrolliert werden. Seit diesem Jahr besteht zudem die Pflicht, einen Wartungsvertrag für die Firewall abzuschließen.

Das alles klingt aufwändig und reduziert die Betriebs- und Netzwerkkosten sicher nicht. Trotzdem sollte das erläuterte Vorgehen genauso selbstverständlich realisiert werden wie die Analysetechnik zur Überwachung der Wasserqualität. Nur so können wasserwirtschaftliche Betriebe – sei es industriell oder kommunal – auch zukünftig eine einwandfreie und zuverlässige Wasserver- und Abwasserentsorgung sicherstellen.

(ID:48560763)