Im Interview mit Prof. Dr. Tobias Heer: OT-Security & Industrial NAC
Sarah Kolberg | Juli 13, 2023
Im Gegensatz zu klassischen IT-Systemen bringt die Cyber Security in der Industrie einige Besonderheiten mit sich. Im Interview mit Prof. Dr. Tobias Heer gehen wir auf OT-Security ein und wie Network Access Control bei der Umsetzung eines industriellen Sicherheitskonzepts helfen kann. Prof. Dr. Tobias Heer lehrt an der Hochschule Esslingen IT-Sicherheit und Networking. Er ist als Forscher im Bereich Future Networking Technologies bei Hirschmann Automation and Control tätig und seit 2012 Teil des Teams von Belden.
Prof. Dr. Tobias Heer ist Co-Autor des White Papers Secure Network Access: Erweiterte Sicherheit für industrielle Netzwerke von macmon secure. Lernen Sie mehr über die Cyber Security von OT-Netzwerken und wie ein Sicherheitskonzept mit macmon NAC und den Industrie-Switches von Hirschmann umgesetzt werden kann.
Wie gut ist die deutsche Industrielandschaft für aktuelle Cyber-Bedrohungen gewappnet?
Prof. Dr. Tobias Heer: Das ist schwer zu beantworten, denn es gibt nicht „die deutsche Industrielandschaft“. Es gibt Unternehmen, die sich seit Jahren mit dem Thema Cyber Security beschäftigen und Standards umgesetzt haben. Das sind meist Unternehmen aus Branchen, die sowieso bereits zum Teil oder vollständig reguliert sind. Unternehmen, die in den Bereich der kritischen Infrastruktur fallen und eine gewisse Größe erreicht haben, müssen seit Jahren aufgrund des ersten BSI-Gesetzes Sicherheitsmaßnahmen ergreifen. Zulieferer der Automobilindustrie müssen ebenso im Rahmen der Zuliefererbedingungen in den Bereichen Forschung und Entwicklung sowie im IT-Umfeld Sicherheitsrichtlinien umsetzen. Entsprechend groß ist der Teil der Firmen, der sich bereits mit dem Thema Cyber Security auseinandersetzt. Andere Unternehmen hingegen stehen noch ganz am Anfang.
Das Spektrum ist entsprechend breit. Im Bereich der kritischen Infrastruktur, also der Infrastruktur zur Bevölkerungsversorgung, stehen wir nicht schlecht da, weil hier schon länger reguliert wird. In kleineren Versorgerbetrieben kommen wir erst durch die NIS2-Richtlinie und der Umsetzung dieser dort hin.
Wieso sind altbewährte Sicherheitskonzepte aus der Industrie wie z.B. der Air Gap nicht mehr praktikabel?
Prof. Dr. Tobias Heer: Der Air Gap war früher eine Maßnahme, die oft eher zufällig funktioniert hat. Es bestand nicht die Notwendigkeit die Produktion zu vernetzen. In der Zeit von Industrie 4.0 sind Unternehmen und Produktionen hochgradig digitalisiert. Das basiert auf Informationsaustausch und der ist mit Air Gap nicht möglich. Das bedeutet, wenn ich meine Produktion modernisieren will, ist ein Air Gap nicht pragmatisch. Niemand läuft mehr mit einem Laufzettel in die Produktionsstätte und arbeitet diesen ab wie in den 80er-Jahren.
Ich wage auch zu bezweifeln, dass Firmen, die sich früher auf den Air Gap verlassen haben, tatsächlich auch immer einen Air Gap hatten. Häufig fanden sich dann doch angeschlossene Modems zum Informationsaustausch in den Produktionen oder Daten wurden über Speichermedien wie USB-Sticks und Disketten rein- und rausgebracht. Diese werden teilweise nicht kontrolliert, sodass hier Raum für Cyber-Angriffe besteht.
Welche Rolle spielt Network Access Control für industrielle Netzwerke?
Prof. Dr. Tobias Heer: Network Access Control ist eines von mehreren Werkzeugen für IT-Sicherheit in der Industrie. Es ist keine Wunderwaffe, die sämtliche Sicherheitsmaßnahmen abdeckt, aber es ist eines der effektivsten Werkzeuge, die wir haben. Es wirkt sowohl gegen Angriffe, in denen der Angreifer lokal - also vor Ort - ist, als auch gegen Angriffe von außen, auch wenn man das auf den ersten Blick nicht denken würde. Lassen Sie mich das ausführen:
Der lokale Angriff
Bei weitläufigen Anlagen haben Sie in der Industrie durchaus Angriffe, die vor Ort stattfinden. Denn ist die Sicherheit der Produktion physisch schlecht zu kontrollieren, ist es ein Leichtes, einfach ein Netzwerkgerät anzuschließen und sich so Zugang zu verschaffen. Das System kann auch beeinträchtigt sein, weil etwas falsch angeschlossen wird. In diesen Fällen hilft NAC, da Geräte nicht einfach unkontrolliert mit dem lokalen Netzwerk verbunden werden können.
Der Angriff von außen
Die andere Möglichkeit sind Angreifer, die von außen kommen und Systeme unterwandern, die sich bereits im Netzwerk befinden. Ein Angriff von außen führt immer zu kompromittierten Geräten im Inneren. Auch hier kann NAC also helfen.
Im ersten Fall, also beim Angriff von innen, muss sich der Angreifer authentifizieren, um überhaupt ein Gerät am Industrienetzwerk anschließen zu können. Mithilfe von NAC kann man jedes Gerät im Netzwerk sehen und darauf reagieren. Das schafft Transparenz, um nachzuvollziehen, was in meinem Netzwerk vorgeht.
Im Fall des Angriffs von außen ist dies nicht so einfach einsetzbar. Ein gutes NAC-System greift jedoch auf weitere Werkzeuge zurück. Es kann beispielsweise einen Schwachstellen-Scanner auslesen und so verwundbare Netzwerkgeräte identifizieren, über die sich ein Angreifer Zugriff verschafft haben könnte. Mit einem NAC-System kann man entscheiden, wie man mit einem verwundeten oder kompromittierten Gerät umgehen will. Möchte man es weiterhin im Netzwerk haben, in ein Quarantäne-Netzwerk verschieben oder jemanden informieren? NAC hilft mir somit dabei, auf unvorhergesehene Änderungen im Netzwerk zu reagieren. NAC agiert als eine Art Hygienemaßnahme für mein Netzwerk.
Was muss Network Access Control im industriellen Umfeld insbesondere leisten?
Prof. Dr. Tobias Heer: In der Industrie ist es ein wenig anders als im klassischen IT-Umfeld. Man hat in der Industrie Prozesse, die auf Kommunikation angewiesen sind. Deren Unterbrechung durch Abschirmung eines beteiligten Gerätes kann zu einem physischen Problem führen. Werden beispielsweise Steuerungsprozesse unterbrochen, kann dies Standzeiten oder physische Schäden zur Folge haben. Wenn ich ein Werk habe und einzelne Teile davon ausschalte, kann es sehr schwierig sein, dieses wieder in Gang zu bringen. Insbesondere in der Prozessindustrie ist das niemals eine Option. Daher muss man in einem Netzwerk in der Industrie differenzierter mit NAC umgehen. Insbesondere: Welche Aktivitäten werden ausgelöst, wenn ein Fehler oder Angriff im Netzwerk erkannt wird? Welche Sicherheitsmaßnahmen können getroffen werden, wenn drastische Schritte, wie Netzwerkausschluss, nicht möglich sind?
NAC bringt im industriellen Umfeld Transparenz und zeigt auf, welche Geräte überhaupt da sind. Es erkennt ungewöhnliche Bewegungen im Netzwerk und typische Angriffsmuster – man agiert hier differenzierter.
Soll jedes Netzwerkgerät gleichbehandelt werden? Ein gutes NAC-System sollte ermöglichen, verschiedene Geräte in entsprechende Gruppen einzuteilen. Je nach Gruppe werden unterschiedliche Verteidigungsaktionen ausgeführt. Ein Beispiel: Ein Wartungslaptop, der nicht die Compliance-Richtlinien erfüllt, kann problemlos aus dem Netzwerk ausgeschlossen werden. Das Gerät ist kein Teil eines geschäftskritischen Prozesses. Hier passiert in der Regel nichts Unvorhersehbares. Ein Industrie-PC als Teil eines Regelkreises hingegen kann nicht ohne Weiteres vom Netz genommen werden, da dann Prozesse in der Anlage gestört werden. Mit Network Access Control kann man diese Unterscheidung treffen und sinnvolle Reaktionen definieren.
NAC kann auch helfen, aufwändige manuelle Arbeiten im Netzwerk zu reduzieren. Ein wichtiges Prinzip in der Industrie sind Zonen und Leitungen bzw. Zonen und Zonenübergänge. Wenn in einer Zone etwas passiert, wirkt sich dies ausschließlich auf diesen Bereich aus. Man nimmt Geräte, die logisch zusammengehören und teilt sie der gleichen Zone zu. Wenn der Angreifer in die Zone vordringt, verbleibt er darin und kann nicht heraus. Die anderen Zonen sind nicht betroffen. Mithilfe von NAC kann man diese Zonen durch VLANs umsetzen. Das VLAN-Management kann dabei nicht nur portbasiert erfolgen. Die Zuweisung ist auch über MAC-Adressen, über Benutzername und Passwort oder per Zertifikat möglich. So lässt sich die Zonengestaltung sehr komfortabel und verlässlich gestalten. Dies reduziert den administrativen Aufwand enorm. Ich muss keine einzelnen Switches konfigurieren, sondern lege meine Sicherheitszonen auf Endgeräte und Endgeräteklassen aus.
Das zonenleitende Konzept ist für die Industrie so wichtig, dass es im Rahmen der ISO-Norm IEC 62443 (Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und System) festgelegt ist. Wenn man Switches per Hand konfiguriert wird es schnell unübersichtlich, wenig agil und der Pflegeaufwand ist groß. Mit Network Access Control-Lösungen wie macmon NAC lässt sich dies sehr einfach umsetzen.
Auch der temporäre Netzwerkzugriff für Unterauftragnehmer und Wartungsmitarbeiter kann mithilfe der NAC-Lösung schnell und sicher umgesetzt werden. Man stelle sich vor, ein Wartungsmitarbeiter benötigt Zugriff auf eine spezifische Maschine für eine turnusmäßige Inspektion. Mit NAC kann man sein Endgerät nun zeitbegrenzt der Zone der zu wartenden Maschine zuweisen. Wenn ich das gleiche ohne NAC umsetzen möchte, bedeutet das, jemand muss einen Switch von Hand konfigurieren, das Endgerät zulassen und am Ende des Tages wieder umkonfigurieren – ein aufwändiger und fehleranfälliger Prozess, der Spezialwissen erfordert. Ist dieser Aufwand zu groß, neigt man schnell dazu, Schutzmaßnahmen aufzuweichen. Man schafft aus Effizienzgründen immer mehr Lücken in seinem Sicherheitskonzept. Mithilfe von NAC kann man also sowohl die Sicherheit als auch die Effizienz steigern. Sonst restriktive und aufwändige Prozesse können mit wenig Aufwand umgesetzt werden.