Service-Netzwerke zum Routing von Wartungsverbindungen

Neben allen Chancen, die Produktionsnetzwerke mit sich bringen, stellt der Zugriffsschutz der komplex vernetzten Maschinen und Anlagen den Betreiber vor große Herausforderungen bei der IT-Sicherheit, im Fachjargon als ICS für Konstrukteure">Security (Industrial Control System) bezeichnet. Während sich fertigungsbedingte Datenströme auf ein definiertes Maß reduzieren und die Maschinen und Anlagen folglich durch Anwendung bekannter Best-Practice-Methoden – wie der Schaffung einer Sicherheitsarchitektur nach dem Defense-in-Depth-Prinzip gemäß ISA99 und IEC 62443 – schützen lassen, erweist sich der Wartungs- und Programmierzugriff auf solche Systeme als besondere Aufgabenstellung.

Wie beim Zwiebelprinzip werden bei der Realisierung einer Sicherheitsarchitektur nach dem Defense-in-Depth-Verfahren mehrere Netzwerkschichten aufgebaut, die untereinander durch Zugriffsbeschränkungen abgesichert sind. Die äußere Schicht ist dabei mit dem Internet verbunden und stellt somit die am wenigsten vertrauenswürdige Ebene dar. In diesem Zusammenhang wird auch von Trust Level gesprochen. Der erzielte Trust Level nimmt mit jeder weiteren Netzwerkschicht zu. Im Innersten der Netzwerk-Zwiebel sind also besonders schutzbedürftige Systeme angesiedelt – in Produktionsnetzwerken die Maschinen und Anlagen mit ihren Komponenten. Ihre Systeme werden aufgrund der Bildung nicht sichtbarer Subnetze durch NAT (Network Address Translation) und Masquerading sowie das Setzen von Zugriffsbeschränkungen, die nur die für die Fertigung absolut erforderlichen Datenströme zulassen, abgesichert.

Um Service- und Wartungsaufgaben durchführen zu können, müssen die entsprechenden Mitarbeiter des Betreibers ebenso wie die externen Service-Techniker des Maschinenbauers Zugriff auf diese besonders geschützten Netzwerkbereiche erhalten. In der Vergangenheit konnten sie sich dazu oftmals über eigene Knoten einwählen. Direkt aus dem Telefonnetz erreichbare Einwahlknoten erweisen sich jedoch als erhebliches Security-Risiko. Denn die einwählende Person kann auf das gesamte Netzwerk zugreifen und muss sich bei den meisten dort angehängten Systemen nicht einmal authentifizieren. Heute wird diese veraltete Technik häufig durch gängige VPN-Fernwartungszugänge ersetzt.

Die beschriebenen Lösungen erlauben zwar eine Identitätsprüfung des zugriffsberechtigten Personenkreises und eine verschlüsselte Datenübertragung. Der Zugriffsberechtigte hat allerdings weiterhin freien Zugang zum geschützten Netzwerk. Zudem wird dem Maschinenbetreiber durch die Verschlüsselung der Einblick in die Daten und damit jegliche Kontrolle verwehrt. Deshalb lässt sich ein schädigendes Ereignis auch nicht zurückverfolgen.

Ein weiteres Problem des Konzepts resultiert daraus, dass jeder Maschinenbauer das von ihm präferierte Fernzugriffs-System verwenden möchte. Auf diese Weise entstehen heterogene, nicht beherrschbare IT-Landschaften. Darüber hinaus lösen die VPN-Fernwartungszugänge nicht die Herausforderung, den Service-Technikern des Betreibers einen kontrollierten und authentifizierten Zugriff zur Verfügung zu stellen.

Werden den internen Service-Mitarbeitern weitreichende Zugangsrechte zu den Maschinen und Anlagen gewährt, führt das zu einer deutlichen Verringerung des erzielten Security Levels. Daher sollten entsprechende Zugänge stets auf ein notwendiges Maß reduziert werden. Als Lösungsansatz bietet sich die Einrichtung einer separaten isolierten Netzwerkzone – Service-Netzwerk genannt – zur Übergabe respektive zum Routing der Service-Verbindungen an. Im Bereich der Informationstechnik wird eine derartige Netzwerkzone auch als demilitarisierte Zone bezeichnet.

Die industrietauglichen Security Appliances der Produktfamilie FL mGuard von Phoenix Contact sichern die einzelnen Fertigungszellen ab und ermöglichen ferner die Bildung von Service-Netzwerk-Zonen. Aufgrund ihrer konsequenten Ausrichtung auf die ICS Security umfassen die Geräte genau den Funktionsumfang, der zur Umsetzung der geschilderten Aufgaben benötigt wird. Das Service-Netzwerk ist bestenfalls auf der Ebene des Produktionsnetzwerks angesiedelt. Beide Netzwerke werden durch die Security Appliances separiert und voneinander isoliert.

Die FL mGuard fungieren außerdem als Zugangspunkt zu den einzelnen Netzwerken der Produktionszellen. Diese Netzwerke sind über VPN-Verbindungen transparent in das Service-Netzwerk integriert. Entsprechende Service-Verbindungen auf Basis von VPN lassen sich aus den Produktionszellen heraus auf- und abbauen. Dazu wird entweder ein Schlüsselschalter genutzt, der die Security Appliances über die integrierten digitalen I/Os ansteuert. Alternativ kann der Maschinenbediener ein HMI-Gerät verwenden, wobei hier interne Netzwerk-Events verschickt werden. So behält er jederzeit die Kontrolle über mögliche Service-Verbindungen.

Innerhalb der VPN-Verbindungen können Firewall-Regeln festlegen, welche Service-Zugriffe autorisiert sind. Ist der Einsatz von VPN-Verbindungen in den internen Netzwerken nicht gestattet, stellt die Funktion GRE-Tunnel (Generic Routing Encapsulation) und Conditional Firewall – also schaltbare Firewall-Regelsätze – die gleiche Funktionalität zur Verfügung.