Zutritt nur für Befugte

Wie schaffen es die Betreiber ihre Anlage so zu schützen, dass sie kein Opfer von Cyber-Kriminalität werden? Diese Frage bewegt momentan viele Unternehmen in allen industriellen Bereichen. Um die Auswahl der passenden Maßnahmen zu vereinfachen, hat die Wasserwirtschaft einen Standard zur praktischen Umsetzung des IT-Sicherheitsgesetzes entwickelt, der im August 2017 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannt wurde. Es ist davon auszugehen, dass sich weitere Branchen an diesen Standard anlehnen und eigene Richtlinien veröffentlichen werden, die den gleichen Stand der Technik wie in der Wasserwirtschaft voraussetzen. Für Betreiber stellt sich jedoch nach wie vor die Frage, welche Geräte dem Security-Standard entsprechen.

Der größte Aufwand fällt sicher beim Schutz des Leitsystems oder Rechenzentrums an, da dort der größte Schaden angerichtet werden kann. Doch auch entfernte Teile der Kommunikations-Infrastruktur, in denen auf den ersten Blick weniger Beeinträchtigungen entstehen sollten, müssen ausreichend abgesichert werden, damit kein Einfallstor für Malware offen bleibt. Zunächst sind die Anlagen und Übertragungsstrecken baulich zu schützen, sodass ein Eindringen unbefugter Personen, das zu einem Ausfall führen könnte, unmöglich ist. Zu diesem Zweck bieten sich unter anderem Zugangskontrollen an sämtlichen Anlagenbereichen sowie Meldekontakte an Türen und Luken an, die deren Öffnen sofort an das Leitsystem melden.

Darüber hinaus müssen die Kommunikationsstrecken gegen Manipulation und das Einschleusen von Daten abgesichert werden. Dazu gibt es unterschiedliche Verfahren, die an der Art des Datenaustausches ausgerichtet sind. Für die Kommunikation mit entlegenen Bauwerken oder Maschinen stehen zum Beispiel verschiedene Technologien und Ansätze zur Verfügung. Oftmals wird Funk als die unsicherste Übertragungsmethode erachtet, weil sich die Ausbreitung des Funksignals nicht eindämmen lässt. Dennoch ist die drahtlose Kommunikation die günstigste Variante und häufig zudem die einzig mögliche Art der Datenweiterleitung.

Derzeit werden nur Ethernet-basierende Funksysteme – wie WLAN oder Bluetooth – durch das IT-Sicherheitsgesetz betrachtet. Entsprechende Wireless-Lösungen haben eine eher geringe Reichweite und kommen daher meist für die Kommunikation innerhalb einer Anlage zum Einsatz. Beide Technologien verfügen standardmäßig über Verschlüsselungs- und im Fall von Bluetooth über ein Frequenzsprungverfahren, welche sie robust und sicher gegen Angriffe und Störer machen. Leider unterstützen nicht alle auf dem Markt erhältliche Geräte diese Sicherheitsmechanismen. Anwender sollten folglich darauf achten, dass die ausgewählten Komponenten eine WEP-Verschlüsselung (Wired Equivalent Privacy) sowie Authentisierungsmaßnahmen gemäß IEEE 802.1x umfassen. Noch wichtiger ist es allerdings, dass sie die Mechanismen korrekt nutzen, denn ansonsten ist kein optimaler Schutz möglich.

Im Gegensatz zu den standardisierten Verfahren arbeiten proprietäre Funktechnologien je nach Hersteller mit verschiedenen Ansätzen, die durch eine unterschiedliche Qualität und Sicherheitsausprägung gekennzeichnet sind, um die Datenübertragung zu schützen. Derartige Funksysteme werden primär zur Überbrückung größerer Distanzen bis zu mehreren Kilometern verwendet. Trotz der oft geringen Datenrate sollte die Kommunikation ausreichend abgesichert werden, da sich die Ausbreitung des Signals nicht eindämmen lässt.

Bei einer proprietären Technologie – wie Trusted Wireless 2.0 von Phoenix Contact – ist das Protokoll nicht öffentlich zugänglich, weshalb sie grundsätzlich einen besseren Schutz vor unbefugten Zugriffen aufweist als öffentliche Standards. Ferner beinhaltet Trusted Wireless 2.0 weitere Sicherheitsmechanismen. So sorgt die 128-Bit-AES-Verschlüsselung dafür, dass theoretisch mitgehörte Datenpakete nicht verstanden werden. Die Integritätsprüfung kontrolliert die Echtheit des Senders und verwirft Nachrichten, die verändert wurden. Außerdem erhöht das sogenannte Frequenzsprungverfahren FHSS (Frequency Hopping Spread Spectrum) die Robustheit des Datenaustausches. Durch diese Verfahren erfüllt Trusted Wireless 2.0 sämtliche Anforderungen, die Anwender nach dem aktuellen Stand der Technik stellen können. Darüber hinaus sollte immer der bauliche Schutz der Sende- und Empfangseinrichtungen berücksichtigt werden. Zu diesem Zweck bieten sich Antennen an, die in ausreichender Höhe installiert oder so robust sind, dass sie mutwilliger Zerstörung standhalten.

Setzt der Anwender ein eigenes Leitungsnetz für die Kommunikation mit Außenstationen ein, steht die physikalische Absicherung der Leitungen im Vordergrund. Trotzdem können mutwillige oder zufällige Ausfälle der Kabel nicht ausgeschlossen werden. Deshalb sollte der Anwender robuste Übertragungstechnologien nutzen, die über Diagnosemöglichkeiten verfügen, sodass frühzeitig auf Störungen reagiert werden kann. In diesem Umfeld hat sich zum Beispiel die SHDSL-Technologie am Markt etabliert. Sie ermöglicht eine Ethernet-Kommunikation über Zweidraht-Leitungen. Mit dem SHDSL-Extender-System von Phoenix Contact lassen sich Leitungsausfälle frühzeitig erkennen sowie ein redundanter Ring aufbauen. Auf diese Weise detektiert das Extender-System undichte Muffen in Fernwirkleitungen, bevor es zu einem Kommunikationsabbruch kommt. Damit ist nach heutigem Stand der Technik für eine maximale Ausfallsicherheit gesorgt.

Um die Datenweiterleitung über öffentliche oder private Leitungsnetze vor unbefugten Zugriffen zu schützen, sollten an beiden Enden des Kabels Systeme mit VPN- (Virtual Private Network) oder Firewall-Technologie verwendet werden. Durch den Einsatz eines VPN-Tunnels lässt sich die Kommunikation weder abhören noch manipulieren. Die Firewall verhindert wiederum, dass Schadsoftware oder fremde Kommunikation eingeschleust wird. Für diesen Anwendungsbereich empfiehlt sich die Produktfamilie FL mGuard von Phoenix Contact. Aufgrund ihrer ständigen Updates sichern die Hardware-basierten Security-Systeme die Anlagen umfassend ab und passen sich flexibel an neue Bedrohungen an.

Der Mobilfunk ist genauso zu betrachten wie die Datenübertragung über ein öffentliches Kabelnetz. Das heißt auch hier sind geeignete Schutzmaßnahmen an beiden Enden der Kommunikation umzusetzen. Dazu stehen Mobilfunkrouter mit VPN- und Firewall-Technologie in verschiedenen Leistungsklassen zur Verfügung. Da Außenbauwerke oder externe Maschinen zumeist nur einen VPN-Tunnel aufbauen, kann der Anwender auf ein kompliziertes, weil umfassend konfigurierbares Security-System verzichten. Oft reichen ein bis zwei VPN-Verbindungen und eine angemessen skalierbare Firewall aus, um ein optimales Schutzniveau zu erreichen.

Alle industriellen Kommunikationsprodukte von Phoenix Contact sind seit vielen Jahren am Markt erhältlich und werden täglich in unzähligen Industriebereichen und Anwendungen genutzt. Die Komponenten, Systeme und Lösungen erfüllen dabei höchste Umwelt- und Sicherheitsanforderungen. In Kombination mit dem vielfältigen Beratungs- und Dienstleistungsangebot zum Thema IT-Sicherheitsgesetz erweist sich Phoenix Contact somit als zuverlässiger Partner für eine zukunftsgerichtete Kommunikationstechnik.