+49 (0) 8171/405-0 info@proSoft.de
04.
Mai
2023
Datendiode, Datenfluss OT IT, Digitalisierung, ICS Security, IT-Security, Malware, Netzwerksegmentierung, Netzwerkzonen, OT-Security, OT-Segmentierung, OT-Sicherheit, Security Gateway, Security Gateways

Die Digitalisierung bietet große Vorteile

Eine automatisierte Industrieproduktion lässt sich effizienter steuern, kritische dezentrale Infrastrukturen sind vernetzt besser aufeinander abstimmbar. Informationstechnologie (IT) und Betriebstechnologie (OT – Operational Technology) in industriellen Umgebungen verlieren ihre einstmals klare Unterscheidung. Systeme, Prozesse und Menschen arbeiten nun übergreifend, OT- und IT-Netzwerksegmente lassen sich nicht mehr strikt trennen. Permanente Konnektivität und Datentransfer ermöglichen es, Prozesse und Produktion zu automatisieren und zu optimieren.

… birgt aber auch Risiken.

Die allzeit verfügbare Konnektivität setzt OT der Gefahr gezielter Cyber-Angriffe aus. Malware wie Stuxnet, Ekans, Triton oder Industroyer haben weltweit Schaden in Milliardenhöhe angerichtet. Industrieunternehmen drohen «nur» verlustreiche Folgen, wie Stillstand, massenhafter Ausschuss oder teure Rückrufaktionen. In der Folge hat das Auswirkungen auf die Lieferkette.
Im schlimmsten Fall, wenn z.B. kritische Infrastruktur angegriffen wird, können sogar Leib und Leben von vielen Menschen bedroht sein.

Deshalb: OT unbedingt absichern!

Um unberechtigte oder böswillige Zugriffe auf OT-Systeme zu verhindern, sollten im Zuge der Digitalisierung gleichzeitig auch auf OT zugeschnittene Sicherheitsmaßnahmen ergriffen werden. Etablierte IT-Security-Maßnahmen sind bei ICS nur bedingt geeignet, so das BSI im ICS-Security-Kompendium, denn ICS haben längere Betriebszeiten und seltenere Wartungsfenster. Trotzdem gibt ein modernes IT-Security-Konzept wertvolle Orientierung. Dessen Vorgehensweise kann man mit auf OT angepasste Maßnahmen analog umsetzen.

Die vier Elemente eines OT-Security-Konzepts

  • OT-Bereiche segmentieren: Funktionale Bereiche so klein wie möglich und so groß wie nötig halten. Eine Firewall, Datendiode und Security Gateway dienen als «Schott» zwischen den Netzwerksegmenten.
  • Risiken bewerten: Schwachstellen identifizieren, in Risikoklassen einteilen und Angriffsauswirkungen bewerten. Mehr dazu folgt in einem weiteren Beitrag im ProBlog.
  • Zugangsregeln festlegen: Je nach Risikoklasse unterschiedlich strenge Policies für Zugang, Authentifizierung, Sitzungsberechtigungen, Passwörter und Gruppenrichtlinien.
  • Sicherheitsregeln umsetzen: Rollenbasiertes Benutzerkonzept definieren, wer bekommt welche Rechte?

In diesem Beitrag: Datenstrom zwischen getrennten OT-Segmenten über Datendiode und Security Gateway

Analog zur Netzwerksegmentierung in der IT werden auch bei der OT verschiedene funktionale Bereiche definiert und voneinander getrennt. Die OT-Segmentierung ist dabei meist deutlich differenzierter als in der IT, die einzelnen Segmente unterteilen sich auf verschiedenen Ebenen des OSI-Modells (Open System Interconnection).

Eine Datendiode und Security Gateway kommen besonders an Übergängen zwischen Netzwerken / Netzwerksegmenten mit unterschiedlichen Sicherheitsanforderungen und Schutzbedarf zum Einsatz. Netzwerksegmente mit hohen Sicherheitsstandards werden mit Patches und Updates versorgt. Ein Abfluss von Daten aus diesen Segmenten dagegen ist ausgeschlossen.

Bei einem OT-Security-Breach kann man, wie bei einem IT-Security-Vorfall, betroffene Segmente umgehend isolieren und so den Schaden eingrenzen. Um wichtige Steuerungsdaten dennoch – und dabei sicher – in einzelne OT-Segmente transferieren zu können, sind ausgereifte und speziell zugeschnittene Lösungen, wie Firewall, Datendiode und / oder Security Gateway erforderlich.

OT-Security Datendiode

Die Datendiode arbeiten unidirektional, d. h. der Datenstrom fließt nur in eine Richtung

Security Gateway und Datendiode: so fließen die Daten von IT zu OT sicher 

Geeignete Lösungen, um Daten abgesichert zwischen verschiedenen OT-Segmenten (Netzwerkzonen) oder zwischen IT und OT zu übertragen, sind ein Security Gateway (uni- oder bidirektional) und eine (optische) Datendiode. Mit diesen Cross Domain Solutions kontrollieren und blockieren Sie notfalls den Datenfluss zwischen den einzelnen Segmenten.

Bei einer Datendiode (unidirektionales Security Gateway) erfolgt der Datenstrom in nur eine Richtung. Ein Rückkanal, wie er bei einem bidirektionalen Security Gateway existiert, ist ausgeschlossen. Bidirektionale Security Gateways filtern den Datenstrom über den Rückkanal durch ein granulares Regelwerk.

Der Begriff «Security» in Security Gateway drückt sich dadurch aus, dass das Netzwerkprotokoll unterbrochen wird und der Datenverkehr zwischen den meist benötigten internen und externen Appliances beispielsweise nur über eine serielle oder optische Verbindung fließt. Trotz physikalischer Trennung der Netzwerksegmente (Netzwerkzonen) kann über diese Verbindung ein sicherer Datenstrom erfolgen. Diese Lösungen ermöglichen den sicheren Zugriff auf Echtzeit-OT-Daten und zudem eine sichere Datenübertragung in OT-Umgebungen und kritische Produktionssysteme. 

Datendiode und Security Gateway verhindern bösartige C&C Kommunikation, wie sie bei fragmentierten Malware-Angriffen wie Ransomware vorkommen und schützen die einzelnen Netzwerksegmente, Geräte, Historians und ICS.

Fazit

FAZIT

Um kritische OT-Betriebsbereiche vor Cyber-Angriffen zu schützen, sind geeignete OT-Sicherheitsmaßnahmen erforderlich. Die vier Elemente eines IT-Security-Konzepts können dabei helfen, Ihre OT-Umgebung effektiv abzusichern. Für den sicheren Datentransfer zwischen IT und OT-Segmenten sollte man spezielle Lösungen einsetzen.

Geeignete und einfach bedienbare Lösungen hierfür sind Netwall USG (unidirektionale(s) Datendiode bzw. Security Gateway), NetWall BSG (bidirektional) oder die optische Datendiode Netwall optical Datadiode von OPSWAT. Damit lässt sich der Datenfluss zwischen OT-Netzwerksegmenten kontrollieren und der Datenverkehr zwischen einzelnen Segmenten isolieren, um Cyber-Angriffen einzudämmen. Die Datendiode NetWall kann die Sicherheit weiter verbessern, indem der Zugriff auf bestimmte OT-Systeme und -Geräte zusätzlich beschränkt wird.
Der Hersteller OPSWAT bietet modulare OT-Sicherheit und IT-Security Lösungen an, z. B. um Risiken zu bewerten. Diese Lösungen werden wir in weiteren Blogbeiträgen beschreiben.

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 
Mit der Anmeldung akzeptiere ich die Datenschutzbestimmungen der ProSoft GmbH.

 

Share This