Office- und Produktionsnetz in KRITIS-Umgebungen schützen

Office- und Produktionsnetz in KRITIS-Umgebungen schützen

Die verstärkte Vernetzung hält mit Riesenschritten Einzug in die Produktion. Ein sukzessiver Informationsaustausch zwischen dem Fertigungs- und Verwaltungsnetz ist nötig, um den stetig wachsenden Anforderungen gerecht zu werden. Auch bei kritischen Infrastrukturen ist die zunehmende Vernetzung verarbeitender Bereiche bereits Realität, wie z. B. einer Gasturbine oder einer Produktionsstraße eines Unternehmens aus der Ernährungsindustrie.

Ist eine Perimeter-Firewall im internen Netz denkbar? Hier könnte die Aussage im Raum stehen, dass dies ein zu großer Sicherheitsaufwand wäre. Diese Darstellung muss dringend überprüft und näher betrachtet werden. Die Zeiten einer strikten Trennung zwischen Office- und Produktionsnetz werden von der Realität eingeholt. Dies erfordert intelligente Sicherheitsmaßnahmen.

IT-Sicherheitsgesetz: Spagat zwischen Security und Praktikabilität?

Das IT-Sicherheitsgesetz soll das Sicherheitsniveau informationstechnischer Systeme signifikant erhöhen. KRITIS-Betreiber stehen vor der Herausforderung des Schutzes ihrer Infrastrukturen und müssen sich mit neuen  IT-Sicherheitsszenarien auseinandersetzen. Auf der anderen Seite muss das Unternehmen weiterhin praxisgerecht agieren können.

Vor diesem Spagat stehen KRITIS-Betreiber, so dass folgendes Anwendungsszenario näher betrachtet werden muss: Ein erfolgreiches und branchenbekanntes Unternehmen aus einem Sektor der kritischen Infrastrukturen stuft die eigene Produktion als kritisch im Sinne der IT-Sicherheit ein. Hier liegt seine wettbewerbsentscheidende Expertise und damit das Fundament für den wirtschaftlichen Erfolg. Bei der Sicherheitsklassifizierung wird der Verwaltungsbereich als sekundär eingestuft.

Allerdings befinden sich auch in der Verwaltung wertvolle Informationen, welche für die Fertigung relevant sind. Ein Informationsaustausch zwischen beiden Bereichen ist an der Tagesordnung. Die Firmenleitung geht sogar davon aus, dass diese Vernetzung in Zukunft weiter intensiviert wird. In der Konsequenz bedeutet dies, sichere und praktikable Prozesse zu entwickeln und diese technisch zu hinterlegen.

Hierzu entscheidet der IT-Sicherheitsverantwortliche, einen geregelten Austauschprozess zwischen beiden Bereichen zu schaffen, der ähnlich wie der Übergang zum Internet abgesichert werden soll.

Firewalls für interne Sicherheitszonen

Eine solche Absicherung zwischen Office- und Produktionsnetz kann anhand einer Firewall mit definierten Anforderungen an Sicherheit und Funktionalität erfolgen, die als Perimeter zwischen beiden Netzen platziert wird.

Zusätzlich kann die Firewall Spezialprotokolle wie OPC-UA und S7 filtern oder Protokolle wie Modbus ansteuern. Dies gewährt einen optimalen Einsatz bei Verwendung von industriespezifischen Protokollen. Sämtlicher Traffic wird analysiert, d. h. Viren und Malware werden erkannt. Das Firewall-System loggt die entsprechenden Warnungen und kann außerdem sämtliche Logging-Informationen an ein zentrales Security Information and Event Management (SIEM) System weiterleiten und auswerten lassen. Darüber hinaus wird bei bösartigem Traffic die Verbindung abgebrochen. So können beispielsweise Trojaner, die per E-Mail ins Office-Netz übertragen wurden, wirksam am Übergang ins Produktionsnetz gehindert werden.

Eine hochsichere Firewall, welche zum Beispiel eine Zertifizierung des Bundesamts für Sicherheit in der Informationstechnik (BSI) nach CC EAL 4+ besitzt und mit Filterfunktionen sowie Spezialprotokollen kombiniert werden kann, ist diesem Unternehmen wichtig. Nicht nur vor dem Hintergrund des IT-Sicherheitsgesetzes, sondern auch, um seine eigene Produktionsumgebung besser geschützt und überwacht zu wissen.

Hochsichere Firewall-Lösungen zur Netzsegmentierung

Bereits vor dem Inkrafttreten des IT-Sicherheitsgesetzes hat sich genua auf hochwertige IT-Sicherheitslösungen in kritischen Bereichen der Produktion und des staatlichen Geheimschutzes spezialisiert. Besonderes Augenmerk liegt auf der Absicherung sensibler Netzübergänge, die beispielsweise durch die High Resistance Firewall genugate ermöglicht wird.

genugate prüft den Inhalt des kompletten Datenstroms

genugate verfügt über ein zweistufiges Sicherheitskonzept: Ein Application Level Gateway (ALG) und ein Paketfilter (PFL) sind zu einer Lösung kombiniert. Das bedeutet: Alle Daten müssen zwei Firewall-Systeme passieren, deren Schutzmechanismen sich auf unterschiedlichen Ebenen optimal ergänzen.

Kernstück der genugate ist das Application Level Gateway. Dieses Sicherheitssystem prüft den Inhalt des kompletten Datenstroms. Dazu werden die ankommenden Datenpakete zunächst gestoppt – das ALG lässt keine durchgehende Verbindung zwischen den lokalen Netzen zu.

Hoher Schutz durch vollständige Inhaltsanalyse

Der Sicherheitsgewinn durch dieses Feature: Angriffe auf der Netzebene sind nicht möglich. Nach der Verbindungstrennung werden die Pakete wie ein Puzzle zusammengesetzt, denn nur anhand kompletter Datensätze ist eine inhaltliche Prüfung möglich. Jetzt wird gefiltert und je nach Konfiguration unerwünschte und gefährliche Daten wie aktiver Content, Viren oder auch Spam zuverlässig abgeblockt. Erst anschließend werden die Daten über eine neue Verbindung weitergeleitet.

Ergänzt wird das ALG durch einen Paketfilter. Er kontrolliert die Datenpakete anhand der Header-Informationen IP-Adresse, Protokolltyp und Port-Nummer. Mit der umfassenden Content-Analyse durch das Application Level Gateway und den Paketfilter bietet die genugate ein deutlich höheres Sicherheitsniveau als so genannte Next Generation Firewalls, die zumeist mit Pattern Matching arbeiten und den Dateninhalt lediglich stichprobenartig prüfen.

Die genugate ist vom BSI nach dem internationalen Standard Common Criteria (CC) geprüft. Für die Sicherheitsleistung erfüllt die Firewall die Anforderungen von Level EAL 4+ und beim Selbstschutz EAL 7.

Fazit

KRITIS-Betreiber können durch die Segmentierung von Office- und Produktionsnetz ein wesentlich höheres Sicherheitsniveau erlangen. Gleichzeitig ist ein durchgängiger Informationsprozess, wie beispielsweise die Datenübermittlung aus dem Produktionsbereich an ein ERP-System, möglich. Damit wird es möglich, die Anforderungen des IT-Sicherheitsgesetzes zu erfüllen und gleichzeitig produktivitätssteigernde Vernetzung sicherzustellen.

  

Bildquellen: ©gui jun peng/Shutterstock.com


Lesen Sie auch

Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.