„Wir haben doch eine teure Perimeter-Firewall mit Deep-Packet-Inspection-Funktionen!“
So oder so ähnlich fielen die Antworten aus, wenn ich mit IT-Verantwortlichen über das Thema Defense in Depth gesprochen habe. Mittlerweile ändert sich das Bild dahingehend, dass die Anerkennung einer solchen Architektur zunimmt. Welche guten Gründe es gibt, um Defense in Depth umzusetzen und welche Maßnahmen dabei hilfreich sein können, erfahren Sie in diesem Artikel.
Weshalb eine Maßnahme allein nicht ausreicht
Früher (und zum Teil noch heutzutage) vertrauten Unternehmen auf ihre teuren und aufwendigen Perimeter-Firewalls und nahmen sie als Begründung, im internen Netz lediglich rudimentäre Schutzmaßnahmen umzusetzen. Das Motto dahinter hörte sich jeweils wie das Zitat zu Beginn des Beitrags an.
Betrachten wir dieses Argument „Meine Perimeter-Firewall reicht aus!“ genauer. Grundsätzlich stellt die Maßnahme „Firewall“ allein keine umfassende Schutzmaßnahme dar, sie schützt nur gegen einen gewissen Teil der Bedrohungen. Warum? Einige Beispiele aus der Praxis machen die Lücken deutlich:
- Ein Mitarbeiter wird Opfer einer Phishing-Attacke oder lädt beim Surfen im Netz unabsichtlich Schadsoftware herunter
- Ein Mitarbeiter spielt eine fehlerhafte Konfiguration auf die SPS (Speicherprogrammierbare Steuerung) auf und erzeugt dadurch eine Kettenreaktion im Echtzeitnetz
- Mangelhafte Verwaltung der Nutzerrechte, kein Erzwingen des Need-to-know-Prinzips innerhalb des Netzes
- Schwache Authentifizierungs- / Verschlüsselungsmechanismen beim VPN-Zugang
- Um interne Dienste von außen erreichbar zu machen, werden absichtlich Löcher im Firewall-Regelwerk geöffnet
- Unabsichtlich fehlerhaft konfigurierte Regelwerke lassen gefährliche Netzwerkverbindungen zu (Sie würden sich wundern, wie häufig das vorkommt!)
- Das Antiviren-Modul in der Firewall kann aufgrund fehlender Signaturen wenig gegen bisher unerkannte Schadsoftware ausrichten
- Verschlüsselter Datenverkehr schränkt die Sicht in Dateipakete ein (- zugegeben, kann man unter Umständen an der Firewall aufbrechen lassen…)
- Es kommen nur Paketfilter zum Einsatz, das Filtern nach Dienst / Applikation ist damit nicht gegeben
- Application-Level-Gateways (ALG) unterstützen keine Industrie-Protokolle
- Angriffe von innen, wie zum Beispiel durch USB-Sticks, infizierte Smartphones oder externes Personal
- und andere
Sie sehen also, es gibt genügend Wege, die an Ihrer Firewall vorbeiführen. Das gleiche gilt für andere singuläre Maßnahmen, weshalb ein Defense-in-Depth-Ansatz so wichtig ist.
Vor allem in Produktionsnetzen kommen mangels alternativer Möglichkeiten veraltete Software-Installationen, ungepatchte Systeme sowie schwachstellenbehaftete Protokolle zum Einsatz. Diese Systeme besitzen von sich aus keinen eigenen Schutzschild. Es bleibt also gar keine andere Möglichkeit, als seine Netzinfrastruktur durch verschiedene Maßnahmen zu schützen.
Schichten und Ebenen für Defense in Depth
Bei Defense in Depth geht es im Grunde darum, die Sicherheitsarchitektur in verschiedene Schichten und Ebenen zu unterteilen. Jede Schicht wird mit verschiedenen Sicherheitsmaßnahmen versehen. Überwindet ein Angreifer eine Schicht, zum Beispiel eine Firewall, dann steht er vor der nächsten Sicherheitsmaßnahme.
Als Analogie dafür wird gerne das Bild der Burg verwendet. Eine standhafte Burg besteht aus mehr Verteidigungsmaßnahmen als nur der Burgmauer allein. Sie besitzt einen Burggraben mit Zugbrücke, diverse Innenmauern und Verteidigungstürme. Jede Maßnahme dient einem anderen Zweck – der Burggraben verlangsamt den Angreifer, die Türme bieten Positionen mit guter Sicht für die Bogenschützen und die Unterteilung durch Innenmauern vermindert die Ausbreitung von Feuern (Sie sehen den Ursprung des Begriffs „Firewall“). Nur im Zusammenwirken aller Maßnahmen wird die Burg zu einer standhaften Festung.
Im industriellen Bereich gibt es eine Vielzahl an internen Kommunikationsbeziehungen. Es gibt die Feldbuskommunikation zwischen Sensoren, Aktoren und verschiedenen Automationsgeräten. Außerdem kommunizieren zentrale Datenspeicher (sogenannte Historians), Smart-Panels zur Steuerung, Human Machine Interface (HMI), und verschiedene Controller-Bausteine, Programmable Logic Controler (PLC), miteinander. Hinzu kommen verschiedene Betriebssysteme und Web-Anwendungen. Allesamt besitzen mehr oder weniger „security-freundliche“ Eigenschaften und die Benutzung von Administrator-Accounts ist oftmals Pflicht. Allerdings sind Proxy-Einstellungen nicht möglich und Updates gibt es schon seit zehn Jahren nicht mehr.
Das alles führt dazu, dass Systeme zur industriellen und automatisierten Steuerung nur mit einer breiten Mischung aus unterschiedlichen Produkten, Technologien und Methoden abgesichert werden können. Ein Defense-in-Depth-Ansatz ist also insbesondere im Automationsumfeld absolut notwendig.
Maßnahmen und Vorgehensweisen
Zur Einführung geeigneter Defense-in-Depth-Maßnahmen bedarf es einer passenden IT-Security-Strategie. Dieser Strategie sollte eine Bestandsaufnahme und eine Risikoanalyse zugrunde liegen. Denn es gilt die zentralen Vermögenswerte (Business Assets), wie etwa Produktionsprozesse, patentierte Verfahren und Rezepturen zu bewerten und dafür angemessene Sicherheitsmaßnahmen zu implementieren.
Zu diesen Maßnahmen zählen unter anderem:
- Aufnahme der „Sonderanforderungen“ von Industrie-Systemen in das generelle IT-Sicherheitsmanagement
- Klassifizierung von Systemen und Netzen nach ihrem Schutzbedarf (zum Beispiel Einfluss auf die Produktionsprozesse)
- Rahmenstruktur und Dokumente für die Sicherheit der Netzinfrastruktur (Hard- und Software, Firewalls, Switches, etc.)
- Härtung der Systeme durch eine Patch-Management-Richtlinie
- Definierte Verfahren zum Umgang mit Systemen und Anlagen, die nicht mit Patches und Virenschutz versorgt werden können (zum Beispiel weitere Segmentierung)
- Einsatz von passenden industrietauglichen Firewall- und IDS-Lösungen (beispielsweise zur Analyse von Industrie-Protokollen wie etwa PROFINET)
- Anwendungssicherheit durch etabliertes Change-Management und freigegebene Programme
- Anomalie-Erkennung durch Intrusion-Detection-Systeme, zentrales Logging sowie SIEM-Lösungen
- Implementierung eines PDCA – Zyklus zur regelmäßigen Überprüfung des Zustands
- und andere
Dabei ist das Ziel nicht unbedingt jede einzelne Maschine und jedes System allumfassend zu schützen. Es geht vielmehr um die zielgerichtete Absicherung der wertvollen Unternehmensdaten und essentiellen Prozesse. Dies erfordert ein mehrstufiges und der Gefahrenlage angepasstes Sicherheitskonzept.
Übrigens: Defense-in-Depth ist auch wichtiger Bestandteil der Norm IEC 62443. In unserem Beitrag finden Sie heraus, wie das Prinzip in aktuelle Normen eingebettet wird.
IEC 62443 Guide: Besser diskutieren mit Herstellern
Die IEC 62443 nimmt weiter mehr Fahrt auf und wird immer öfters auch von Herstellern, Lieferanten und auch Betreibern referenziert.
In unserem Guide helfen wir Ihnen als Betreiber, wie sie die IEC 62443 zur besseren Diskussion mit Ihren Lieferanten und Komponentenherstellern nutzen können.