Defense in Depth: Warum Ihre nächste Security-Investition nach diesem Konzept erfolgen sollte

Inhaltsverzeichnis

    „Ich habe doch eine teure Perimeter-Firewall mit Deep-Packet-Inspection-Funktionen!“
    So oder so ähnlich fielen die Antworten aus, wenn ich mit IT-Verantwortlichen über das Thema Defense in Depth gesprochen habe. Mittlerweile ändert sich das Bild dahingehend, dass die Anerkennung einer solchen Architektur zunimmt. Welche guten Gründe es gibt, um Defense in Depth umzusetzen und welche Maßnahmen dabei hilfreich sein können, erfahren Sie in diesem Artikel.

    Weshalb eine Maßnahme allein nicht ausreicht

    Früher (und zum Teil noch heutzutage) vertrauten Unternehmen auf ihre teuren und aufwendigen Perimeter-Firewalls und nahmen sie als Begründung, im internen Netz lediglich rudimentäre Schutzmaßnahmen umzusetzen. Das Motto dahinter hörte sich jeweils wie das Zitat zu Beginn des Beitrags an.

    Betrachten wir dieses Argument „Meine Perimeter-Firewall reicht aus.“ genauer. Grundsätzlich stellt die Maßnahme „Firewall“ allein keine umfassende Schutzmaßnahme dar, sie schützt nur gegen einen gewissen Teil der Bedrohungen. Warum? Einige Beispiele aus der Praxis verdeutlichen dies:

    • Ein Mitarbeiter wird Opfer einer Phishing-Attacke oder lädt beim Surfen im Netz unabsichtlich Schadsoftware herunter
    • Ein Mitarbeiter spielt eine fehlerhafte Konfiguration auf die SPS auf und erzeugt dadurch eine Kettenreaktion im Echtzeitnetz
    • Mangelhafte Verwaltung der Nutzerrechte, kein Erzwingen des Need-to-know-Prinzips innerhalb des Netzes
    • Schwache Authentifizierungs- / Verschlüsselungsmechanismen beim VPN-Zugang
    • Um interne Dienste von außen erreichbar zu machen, werden absichtlich Löcher im Firewall-Regelwerk geöffnet
    • Unabsichtlich fehlerhaft konfigurierte Regelwerke lassen gefährliche Netzwerkverbindungen zu (Sie würden sich wundern, wie häufig das vorkommt!)
    • Das Antiviren-Modul in der Firewall kann aufgrund fehlender Signaturen wenig gegen bisher unerkannte Schadsoftware ausrichten
    • Verschlüsselter Datenverkehr schränkt die Sicht in Dateipakete ein (- zugegeben, kann man unter Umständen an der Firewall aufbrechen lassen…)
    • Es kommen nur Paketfilter zum Einsatz, das Filtern nach Dienst / Applikation ist damit nicht gegeben
    • Application-Level-Gateways unterstützen keine Industrie-Protokolle
    • Angriffe von innen, wie zum Beispiel durch USB-Sticks, infizierte Smartphones oder externes Personal

    Sie sehen also, es gibt genügend Wege, die an Ihrer Firewall vorbeiführen. Das gleiche gilt für andere singuläre Maßnahmen, weshalb ein Defense-in-Depth-Ansatz so wichtig ist.

    Vor allem in Produktionsnetzen kommen mangels alternativer Möglichkeiten veraltete Software-Installationen, ungepatchte Systeme sowie schwachstellenbehaftete Protokolle zum Einsatz. Diese Systeme besitzen von sich aus keinen eigenen Schutzschild. Es bleibt also gar keine andere Möglichkeit, als seine Netzinfrastruktur durch verschiedene Maßnahmen zu schützen.

    Castle Cornet, Photo by Enrapture Media on Unsplash

    Schichten und Ebenen für Defense in Depth

    Bei Defense in Depth geht es im Grunde darum, die Sicherheitsarchitektur in verschiedene Schichten und Ebenen zu unterteilen. Jede Schicht wird mit verschiedenen Sicherheitsmaßnahmen versehen. Überwindet ein Angreifer eine Schicht, z.B. eine Firewall, dann steht er vor der nächsten Sicherheitsmaßnahme. Als Analogie dafür wird gerne das Bild der Burg verwendet. Eine standhafte Burg besteht aus mehr Verteidigungsmaßnahmen als nur der Burgmauer allein. Sie besitzt einen Burggraben mit Zugbrücke, diverse Innenmauern und Verteidigungstürme. Jede Maßnahme dient einem anderen Zweck – der Burggraben verlangsamt den Angreifer, die Türme bieten Positionen mit guter Sicht für die Bogenschützen und die Unterteilung durch Innenmauern vermindert die Ausbreitung von Feuern (Sie sehen den Ursprung des Begriffs „Firewall“). Nur im Zusammenwirken aller Maßnahmen wird die Burg zu einer standhaften Festung.

    Im industriellen Bereich gibt es eine Vielzahl an internen Kommunikationsbeziehungen. Es gibt die Feldbuskommunikation zwischen Sensoren, Aktoren und verschiedenen Automatisierungsgeräten. Außerdem kommunizieren zentrale Datenspeicher (sogenannte „Historians“), Smart-Panel zur Steuerung (HMIs) und verschiedene Controller-Bausteine (PLCs) miteinander. Hinzu kommen verschiedene Betriebssysteme und Web-Anwendungen. Allesamt besitzen mehr oder weniger „security-freundliche“ Eigenschaften und die Benutzung von Administrator-Accounts ist oftmals Pflicht. Allerdings sind Proxy-Einstellungen nicht möglich und Updates gibt es schon seit zehn Jahren nicht mehr.

    Das alles führt dazu, dass Systeme zur industriellen und automatisierten Steuerung nur mit einer breiten Mischung aus unterschiedlichen Produkten, Technologien und Methoden abgesichert werden können. Ein Defense-in-Depth-Ansatz ist also insbesondere im Automatisierungsumfeld absolut notwendig.

    Maßnahmen und Vorgehensweisen

    Zur Einführung geeigneter Defense-in-Depth-Maßnahmen bedarf es einer passenden IT-Security-Strategie. Dieser Strategie sollte eine Bestandsaufnahme und Risikoanalyse zugrunde liegen. Denn es gilt die zentralen Vermögenswerte (Business Assets), wie etwa Produktionsprozesse, patentierte Verfahren und Rezepturen zu bewerten und dafür angemessene Sicherheitsmaßnahmen zu implementieren.

    Zu diesen Maßnahmen zählen unter anderem:

    • Aufnahme der „Sonderanforderungen“ von Industrie-Systemen in das generelle IT-Sicherheitsmanagement
    • Klassifizierung von Systemen und Netzen nach ihrem Schutzbedarf (z.B. Einfluss auf die Produktionsprozesse)
    • Rahmenstruktur und Dokumente für die Sicherheit der Netzinfrastruktur (Hard- und Software, Firewalls, Switches, etc.)
    • Härtung der Systeme durch eine Patch-Management-Richtlinie
    • Definierte Verfahren zum Umgang mit Systemen und Anlagen, die nicht mit Patches und Virenschutz versorgt werden können (z.B. weitere Segmentierung)
    • Einsatz von passenden industrietauglichen Firewall- und IDS-Lösungen (z.B. zur Analyse von Industrie-Protokollen wie beispielsweise PROFINET)
    • Anwendungssicherheit durch etabliertes Change-Management und freigegebene Programme
    • Anomalie-Erkennung durch Intrusion-Detection-Systeme, zentrales Logging, sowie SIEM-Lösungen
    • Implementierung eines PDCA – Zyklus zur regelmäßigen Überprüfung des Zustands

    Dabei ist das Ziel nicht unbedingt jede einzelne Maschine und jedes System allumfassend zu schützen. Es geht vielmehr um die zielgerichtete Absicherung der wertvollen Unternehmensdaten und essentiellen Prozesse. Dies erfordert ein mehrstufiges und der Gefahrenlage angepasstes Sicherheitskonzept.

    Übrigens: Defense-in-Depth ist auch wichtiger Bestandteil der Norm IEC 62443. In unserem Beitrag finden Sie heraus, wie das Prinzip in aktuelle Normen eingebettet wird.

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    Der große Industrial Security Einsteiger-Guide

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Whitepaper herunterladen!

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Industrial Security auf den Punkt gebracht

    Erhalten Sie die wichtigsten Erkenntnisse und Best-Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr Email-Postfach.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung