Die Wichtigkeit einer IDMZ in einer Welt ohne Perimeter

In den vergangenen zehn Jahren hat die Suche nach dem besten Schutz für ihre Industriesteuerungssysteme und die Daten, das Engineering, die Technologien und Produkte, die dazu gehören, früher oder später allen Herstellern Kopfzerbrechen bereitet. Ein Industriesteuerungssystem muss mit Unternehmenssystemen kommunizieren. Doch wie können Hersteller mit der Weiterentwicklung des Paradigmas der Netzwerksicherheit Schritt halten?

Lieferkette, Energiemanagement, Labortests, Instandhaltung, gesetzlich vorgeschriebene Datenerfassung und Produktivitätsmanagement: All diese Unternehmenssysteme benötigen Daten aus Fertigungssystemen. Die zugehörigen Technologien und Protokolle, mit denen diese Systeme Daten abrufen, umfassen verschiedene Arten von Datenbanken, Web-Server, dezentralen Zugriff und Dateiübertragungen. Daher ist die beste Methode, um ein Industriesteuerungssystem vor den mit Unternehmenssystemen verbundenen Sicherheitsrisiken zu schützen, die Errichtung einer Sicherheitsgrenze, die die Unternehmenssysteme vom Industriesteuerungssystem trennt. Diese nennt man industrielle Demilitarized Zone (IDMZ).

Was ist eine IDMZ?

Eine IDMZ, eine industrielle Demilitarized Zone, ist eine Grenze, die dazu dient, innerhalb einer Produktions- oder Verarbeitungseinrichtung einen Puffer zwischen den Unternehmenssystemen und den Industriesteuerungssystemen zu bilden, da diese unterschiedliche Sicherheitsanforderungen haben und sich nicht automatisch vertrauen. Den Datenfluss zwischen den nicht vertrauenswürdigen Zonen verwaltet diese Grenze mithilfe von Netzwerk- und Anwendungssicherheitssteuerungen.

Vor Jahren war für Cyber-Sicherheit eine buchstäblich „von Wänden umgebene“ Welt nötig. Dann entstand 2006 eine neue Art der Datenspeicherung, ohne dass damals viel Aufhebens darum gemacht wurde. Die öffentliche Cloud, ein Server und eine Netzwerkinfrastruktur, die von einem Drittanbieter über das Internet bereitgestellt werden (AWS, Microsoft Azure, Google Cloud, IBM Cloud), haben die Art und Weise, wie IT-Organisationen Daten speichern und ihre Rechenlasten verwalten seitdem enorm verändert. Viele IT-Organisationen nutzen mittlerweile eine Hybrid Cloud und kombinieren so öffentliche Cloud-Dienste mit einer lokalen Serverinfrastruktur. Da sowohl die öffentliche Netzwerkinfrastruktur als auch die öffentliche Cloud immer zuverlässiger werden, werden immer mehr Speicher- und Rechenlasten an externe Anbieter einer öffentlichen Cloud ausgelagert.

Im Rückblick war es geradezu unvermeidlich, dass die öffentliche Cloud für IT-Organisationen das Speichermedium der Wahl werden würde. Früher waren riesige Serverräume für physische Server-Racks reserviert, die vom Boden bis zur Decke reichten. Die Wände dieser Räume stellten im Grunde die Gesamtheit der IT-Sicherheit dar: die Perimeter-Firewall. Durch die Hybrid Cloud wird nicht nur weniger physischer Server-Speicherplatz benötigt, sondern durch Virtualisierung sind diese Räume überflüssig geworden. Die Firewall existiert noch. Doch wenn sich ein großer Teil oder sogar die gesamte Datenspeicherung und die Rechenlasten außerhalb der Firewall befinden, dann ist dieser Perimeter nicht mehr ausreichend. Als Reaktion auf die sich verlagernden Perimetergrenzen und die neuen Sicherheitsbedrohungen aufgrund der Nutzung des Internets für den Zugriff auf die öffentliche Cloud wurde ein neues Sicherheitsparadigma eingeführt: das Zero-Trust-Modell.  

Was ist das Zero-Trust-Modell?

Das Zero-Trust-Modell treibt das Least-Privilege-Prinzip, nach dem einem Benutzer oder einem System nur die für eine bestimmte Aufgabe erforderlichen Mindestberechtigungen erteilt werden, auf die Spitze. Dieses Prinzip setzt eine Null-Vertrauen-Haltung um. Das heißt, Datenaustausch oder Kommunikation zwischen Geräten ist nur dann möglich, wenn der Benutzer, die Daten, der Computer und der Standort zulässig sind. Das Modell „Vertraue allem, wenn es in meiner Zone ist“ weicht dem Modell „Misstraue allem, es sei denn, es lässt sich auf verschiedene Arten verifizieren“.

Die Bedrohungslandschaft für Industriesteuerungssysteme entwickelt sich weiter. Ransomware-Angriffe in großem Stil wie WannaCry oder der getarnte NotPetya-Angriff sowie gezielte Angriffe auf kritische Infrastruktur mit Malware wie Crash Override, Triton oder LookBack finden immer häufiger statt. Umgebungen mit Industriesteuerungssystemen und deren Administratoren haben sich stets auf IT-Perimetersicherheit verlassen, ob sie sich dessen bewusst waren oder nicht. Selbst bei denjenigen, die über eine IDMZ verfügten, war die IT-Perimetersicherheit die erste Verteidigungslinie gegen den Rest der Welt. Die IDMZ war dabei die letzte Verteidigungslinie.  Mit dem Verschwinden des IT-Perimeters ist sie nun womöglich die einzige Verteidigungslinie.

Kann eine Umgebung mit Industriesteuerungssystemen das Zero-Trust-Modell einführen?

Wenn das nur so einfach wäre. Eine typische IT-Umgebung ist zwar unter Umständen komplex, weist jedoch einige gängige Merkmale auf:

• Standard-Computerhardware mit einem Lebenszyklusplan
• Standard-Betriebssystem, das regelmäßig gepatcht wird
• Standard-Softwaretools für Büroanwendungen
• Unterstützte Identitäts- und Zugriffsverwaltungslösung für Benutzer und Ressourcen
• Unterstützte und aktualisierte Verfahren, mit denen Ressourcen Angriffe erkennen und sich dagegen verteidigen können

Eine Umgebung mit Industriesteuerungssystemen besteht aus unzähligen unterschiedlichen Produkten mehrerer Generationen, die von zahlreichen Anbietern stammen und über verschiedene Protokolle kommunizieren. Sie alle sind individuelle Hardware-Plattformen mit eigener Firmware und Software. Selbst die Lösungen, die nur aus Software bestehen, sind nur mit extrem veralteten und in vielen Fällen nicht mehr unterstützten Betriebssystemen kompatibel. Selbst wenn ein System mit einem Betriebssystem arbeitet, das noch Patches erhält, werden sie von den für die Industriesteuerungssysteme verantwortlichen Mitarbeitern nicht unbedingt angewendet, weil sie befürchten, dass ein Patch für Ausfallzeiten sorgt. Dabei sind diese Bedenken gar nicht so unbegründet.

Das heißt, damit ein Industriesteuerungssystem in einem Zero-Trust-Modell „sicher“ existieren kann, müssen seine Ressourcen so selbsterhaltend werden wie gängige IT-Ressourcen. Sehen wir uns an, welche Änderungen an den Plattformen und Steuerungssystemtechnologien erforderlich sind, um dies zu erreichen:

• Bei Zero Trust wird das Bit sofort von einer 1 zu einer 0.
• Derzeit vertrauen Geräte des Industriesteuerungssystems allem, was mit ihnen kommunizieren kann. Sie haben keine Möglichkeit, den Benutzer, das Gerät, den Standort oder den Grund für die Kommunikation einer Ressource mit ihnen zu verifizieren oder zu überprüfen, auf welche Objekte zugegriffen wird. Auf ihrer Seite können sie nicht verifizieren, wann eine Verbindung initiiert wird.
• Die meisten solcher Geräte verfügen nicht über Authentifizierungsmethoden, Regeln, Protokollierungs- oder Administrationsfunktionen, wenn dies geschieht.
• Sie können es nicht erkennen, wenn sie angegriffen werden oder wenn jemand versucht, auf ungewöhnliche Weise mit ihnen zu kommunizieren.
• Es gibt keine verhaltensbezogenen Technologien, die bisher unbekanntes Verhalten erkennen oder die Folgen mehrerer Handlungen analysieren könnten.
• Ganz zu schweigen von der kulturellen Veränderung, die nötig wäre.

Ein Beispiel: Selbst wenn ein Gerät eines Industriesteuerungssystems die Authentifizierung nach dem üblichen Benutzername-/Kennwort-Modell vorschreibt, wird das Gerät mit möglichst einfachen Anmeldeinformationen konfiguriert, von vielen genutzt und bleibt dauerhaft angemeldet. Alles im Zusammenhang mit dem Industriesteuerungssystem muss sich ändern, von den Technologien und Fähigkeiten der Anlagenmitarbeiter bis hin zur Sicherheitskultur sowie der Überwachung und Administration. Ach ja, und diese Änderungen dürfen natürlich keine Auswirkungen auf die Produktion haben.

Herausforderungen von IDMZs

Nicht jedes Unternehmen ist bereit, in eine IDMZ zu investieren. Schließlich ist sie nicht einfach zu entwickeln und kann bei der Integration in vorhandene Betriebstechnologie und IT-Netzwerksysteme Probleme bereiten. Zur Entwicklung und Realisierung einer IDMZ ist Expertenwissen in den folgenden Bereichen erforderlich:

• Netzwerksicherheit
• Firewall-Plattformen und ACLs
• Virtuelle Servertechnologien
• Systemhärtung
• Anwendungssicherheit
• Domänenfunktionalität und -sicherheit
• Sichere Daten- und Dateiübertragungsverfahren
• Sichere dezentrale Zugriffsmethoden
• und das ist noch längst nicht alles …

Damit nicht genug: Die IDMZ muss außerdem von einem Team unterstützt werden, das in diesen Bereichen ebenso versiert ist, um die Infrastruktur aufrechtzuerhalten, Netzwerkänderungen zu genehmigen und auf Sicherheitsbedrohungen zu reagieren.

Der Weg zu einer IDMZ ist weder einfach noch kostengünstig. Sie sollten dennoch durchrechnen, ob dies die richtige Lösung für Sie sein könnte. Sind die Kosten für die IDMZ geringer als die Kosten dessen, was damit geschützt wird? Wenn die IDMZ Ihr gesamtes Industriesteuerungssystem schützt, wäre es eine äußerst lohnende Investition. Angesichts der zunehmenden Bedrohungen für extrem anfällige Industriesteuerungssysteme in einer Welt ohne Wände ist dies tatsächlich der einzige vollständige Schutz, den es derzeit für Ihr Industriesteuerungssystem gibt.

Industriesteuerungssysteme sind noch nicht reif dafür, in einer Welt ohne Perimeter mit angemessener Toleranz für Sicherheitsrisiken zu existieren. Eine mehrschichtige Verteidigungsstrategie wird dringend empfohlen. Doch bis diese Geräte sich selbst schützen und mit externen Schutzsystemen interagieren können, bleibt eine IDMZ die beste Verteidigungslösung für Industriesteuerungssysteme. Vorerst muss es bei der „inneren Wand“ bleiben, die durch eine IDMZ verstärkt wird.

Informieren Sie sich darüber, wie Rockwell Automation Sie bei der Einrichtung und Instandhaltung einer IDMZ im Rahmen einer mehrschichtigen Verteidigungsstrategie für die Netzwerksicherheit unterstützen kann.