Warum Ihre nächste Security-Investition nach Defense-In-Depth erfolgen sollte

Warum Ihre nächste Security-Investition nach Defense-In-Depth erfolgen sollte

Der Defense in depth-Ansatz implementiert IT-Sicherheitsmaßnahmen auf mehreren Schichten. Wir erklären warum er so wichtig für industrielle Netze ist und listen Maßnahmen auf, die ein umfassendes Sicherheitskonzept unterstützen.

Schutzmaßnahmen2018-10-02T14:34:35+00:007. Februar 20180 Kommentare

„Ich habe doch eine teure Perimeter-Firewall mit Deep-Packet-Inspection-Funktionen!“
So oder so ähnlich waren teilweise die Antworten, wenn ich mit IT-Verantwortlichen über das Thema „Defense in depth“ gesprochen habe. Mittlerweile ändert sich das Bild dahingehend, dass die Anerkennung einer solchen Architektur steigt. Welche guten Gründe es gibt, um „Defense in depth“ umzusetzen und welche Maßnahmen dabei hilfreich sein können, erfahren Sie in den kommenden Zeilen.

Weshalb eine Maßnahme allein nicht ausreicht

In vergangenen Tagen (und zum Teil noch heutzutage) vertrauten Unternehmen auf ihre teuren und aufwendigen Perimeter-Firewalls und nahmen sie zum Anlass, im internen Netz lediglich rudimentäre Schutzmaßnahmen umzusetzen. Das Motto dahinter hörte sich so an, wie im Zitat zu Beginn des Beitrags.

Bleiben wir vorerst bei diesem Beispiel und betrachten das Argument „Meine Perimeter-Firewall reicht aus“. Das Problem hierbei ist, dass die Maßnahme „Firewall“ allein keine umfassende Schutzmaßnahme darstellt, sondern nur gegen einen gewissen Teil der Bedrohungen schützt. Warum? Einige Beispiele:

  • Ein Mitarbeiter wird Opfer einer Phishing-Attacke oder lädt beim Surfen im Netz unabsichtlich Schadsoftware herunter
  • Ein Mitarbeiter spielt eine fehlerhafte Konfiguration auf die SPS auf und erzeugt dadurch eine Kettenreaktion im Echtzeitnetz
  • Mangelhafte Verwaltung der Nutzerrechte, kein Erzwingen des „Need to know“-Prinzips innerhalb des Netzes
  • Schwache Authentifizierungs- / Verschlüsselungsmechanismen beim VPN-Zugang
  • Um interne Dienste von außen erreichbar zu machen, werden absichtlich Löcher im Firewall-Regelwerk geöffnet
  • Unabsichtlich fehlerhaft konfigurierte Regelwerke lassen gefährliche Netzwerkverbindungen zu (Sie würden sich wundern, wie häufig das vorkommt…)
  • Das Antiviren-Modul in der Firewall kann aufgrund fehlender Signaturen wenig gegen bisher unerkannte Schadsoftware ausrichten
  • Verschlüsselter Datenverkehr schränkt die Sicht in Dateipakete ein (Zugegeben, kann man unter Umständen an der Firewall aufbrechen lassen…)
  • Es kommen nur Paketfilter zum Einsatz, das Filtern nach Dienst / Applikation ist damit nicht gegeben
  • Application-Level-Gateways unterstützen keine Industrie-Protokolle
  • Angriffe von Innen wie zum Beispiel durch USB-Sticks, infizierte Smartphones oder externes Personal

Sie sehen also, es gibt genügend Wege an Ihrer Firewall vorbei. Das gleiche gilt für andere singuläre Maßnahmen und der Grund warum ein „Defense in depth“-Ansatz so wichtig ist.

Vor allem in Produktionsnetzen kommen, weil oftmals nicht anders möglich, veraltete Software-Installationen, ungepatchte Systeme sowie schwachstellenbehaftete Protokolle zum Einsatz. Diese Systeme besitzen von sich aus keinen eigenen Schutzschild. Es bleibt also gar keine andere Möglichkeit, als seine Netzinfrastruktur durch verschiedene Maßnahmen zu schützen.

Schichten und Ebenen für Defense in depth

Bei „Defense in depth“ geht es im Grunde darum, die Sicherheitsarchitektur in verschiedene Schichten und Ebenen zu unterteilen. Jede Schicht wird mit verschiedenen Sicherheitsmaßnahmen versehen. Überwindet ein Angreifer eine Schicht, z.B. eine Firewall, dann steht er schon vor der nächsten Sicherheitsmaßnahme. Als Analogie dafür wird gerne das Bild der Burg hergenommen. Eine standhafte Burg besteht aus mehr als nur der Burgmauer allein. Sie besitzt einen Burggraben mit Zugbrücke, diverse Innenmauern und Verteidigungstürme. Jede Maßnahme dient einem anderen Zweck – der Burggraben verlangsamt den Angreifer, die Türme bieten Platz für Bogenschützen und die Unterteilung durch Innenmauern vermindert die Ausbreitung von Feuern (Sie sehen woher der Begriff „Firewall“ seinen Namen bekommt…). Nur im Zusammenwirken aller Maßnahmen wird die Burg zu einer standhaften Festung.

Eine Festung an einer felsigen Küste mit verschiedenen Innenbereichen und Verteidigungsmechanismen

Castle Cornet, Photo by Enrapture Media on Unsplash

Im industriellen Bereich gibt es eine Vielzahl an internen Kommunikationsbeziehungen. Es gibt die Feldbuskommunikation zwischen Sensoren, Aktoren und verschiedenen Automatisierungsgeräten. Es gibt zentrale Datenspeicher (sogenannte „Historians“), Smart-Panel zur Steuerung (HMIs) und verschiedene Controller Bausteine (PLCs) die miteinander kommunizieren. Hinzu kommen verschiedene Betriebssysteme und Web-Anwendungen. Allesamt besitzen mehr oder weniger „security-freundliche“ Eigenschaften. Die Benutzung von Administrator-Accounts ist oftmals Pflicht, Proxy-Einstellungen sind nicht möglich und Updates gibt es schon seit zehn Jahren nicht mehr.

Das alles führt dazu, dass Systeme zur industriellen und automatisierten Steuerung nur mit einer breiten Mischung aus unterschiedlichen Produkten, Technologien und Methoden abgesichert werden können. Ein „Defense in depth“-Ansatz ist also insbesondere im Automatisierungsumfeld absolut notwendig.

Maßnahmen und Vorgehensweisen

Zur Einführung geeigneter „Defense in depth“-Maßnahmen bedarf es einer passenden IT-Security-Strategie. Dieser sollte eine Bestandsaufnahme und Risikoanalyse zugrundeliegen. Denn es gilt die zentralen Vermögenswerte (Business-Assets), wie etwa Produktionsprozesse, patentierte Verfahren und Rezepturen zu bewerten und für sie angemessene Sicherheitsmaßnahmen zu implementieren.

Zu diesen Maßnahmen zählen unter anderem:

  • Aufnahme der „Sonderanforderungen“ von Industrie-Systemen in das generelle IT-Sicherheitsmanagement
  • Klassifizierung von Systemen und Netzen nach ihrem Schutzbedarf (z.B. Einfluss auf die Produktionsprozesse)
  • Rahmenstruktur und Dokumente für die Sicherheit der Netzinfrastruktur (Hard- und Software, Firewalls, Switches, etc.)
  • Härtung der Systeme, durch eine Patch-Management-Richtlinie
  • Definierte Verfahren zum Umgang mit Systemen und Anlagen, die nicht mit Patches und Virenschutz versorgt werden können. (z.B. weitere Segmentierung)
  • Einsatz von passenden industrietauglichen Firewall- und IDS-Lösungen (z.B. zur Analyse von Industrie-Protokollen, wie Profinet)
  • Anwendungssicherheit durch etabliertes Change-Management und freigegebene Programme
  • Anomalie-Erkennung durch Intrusion Detection Systeme, zentrales Logging, sowie SIEM-Lösungen
  • Implementierung eines PDCA – Zyklus zur regelmäßigen Überprüfung des Zustands

Dabei ist nicht unbedingt das Ziel, jede einzelne Maschine und jedes System allumfassend zu schützen. Es geht vielmehr um die zielgerichtete Absicherung der wertvollen Unternehmensdaten und essentiellen Prozesse. Dies erfordert ein mehrstufiges und der Gefahrenlage angepasstes Sicherheitskonzept.

Hoffentlich konnte ich Ihnen einen Einblick in dieses elementare Schutzprinzip geben. Übrigens: „Defense in depth“ ist auch wichtiger Bestandteil der Norm IEC 62443. In unserem Beitrag finden Sie heraus, wie das Prinzip in aktuelle Normen eingebettet wird.

 

Praxistipp: Notieren Sie sich 5 konkrete Schwächen in Ihrem Automatisierungsnetz, die nicht durch den Einsatz einer Firewall behoben werden und diskutieren Sie Ihr Ergebnis mit Ihren Kollegen oder der dafür verantwortlichen Person in Ihrem Unternehmen.

Über den Autor:

Max Weidele
Max Weidele ist Initiator der Wissensplattform Sichere Industrie sowie Mitgründer und Geschäftsführer des Industrial Security Beratungsunternehmens, bluecept GmbH – Simplified Industrial Security. Er fördert Lösungen, die die industrielle Sicherheit nachhaltig anwendbar und handhabbar machen.

Hinterlassen Sie einen Kommentar

* Die Checkbox für die Zustimmung zur Speicherung ist nach DSGVO zwingend.

Ich akzeptiere

Newsletter anmelden!
  • eBook "7 Schritte Richtung Industrial Security" 
  • Hinweise auf neue Fachinformationen zum Thema Industrial Security
  • Tipps & praktische Vorgehensweisen
  • Infos zu neuen Workshops, eBooks und Angeboten auf der Plattform
Ihre Daten sind bei uns sicher. Datenschutzerklärung