Security Konzept für Prozess- und Fertigungsindustrie

White
Paper V1.0
Juli
2016
Security
Security Konzept
concept
für
und
for Prozessthe protection
Fertigungsindustrie
of industrial plant
Industrial
Industrial Security
Security
siemens.com/industrial-security
Siemens DF/PD White Paper V1.0
Industrial Security – Security Konzept für Prozess- und Fertigungsindustrie, Juli 2016
Prolog
Dieses Whitepaper gibt einen Überblick zum Thema Industrial Security. Es beschreibt
die Bedrohungen und Gefährdungen, denen industrielle Automatisierungsnetze
ausgesetzt sind und zeigt die Konzepte auf, wie diese Risiken minimiert und auch unter
wirtschaftlichen Gesichtspunkten ein vertretbarer Schutz erreicht werden kann. Es gibt
darüber hinaus einen Ausblick in welche Richtung sich die Situation aufgrund der
aktuellen Trends entwickeln wird und welche Security Mechanismen zukünftig auch im
industriellen Umfeld Verwendung finden werden.
Weitere Information zum Thema Industrial Security bei Siemens finden Sie unter:
http://www.siemens.com/industrialsecurity
Stand der Informationen im vorliegenden White Paper: Juli 2016
Herausgeber
SIEMENS AG
DF & PD Division
Gleiwitzer Str. 555
90475 Nürnberg, Deutschland
Weitere Unterstützung:
Bei weiteren Fragen wenden Sie sich bitte an Ihren Siemens-Ansprechpartner in
den für Sie zuständigen Vertretungen und Geschäftsstellen.
Frei verwendbar Copyright © Siemens AG
All Rights reserved
Seite 1 von 20
Siemens DF/PD White Paper V1.0
Industrial Security – Security Konzept für Prozess- und Fertigungsindustrie, Juli 2016
Security-Hinweise
Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den
sicheren Betrieb von Anlagen, Systemen, Maschinen und Netzwerken unterstützen.
Um Anlagen, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu
sichern, ist es erforderlich, ein ganzheitliches Industrial Security-Konzept zu
implementieren (und kontinuierlich aufrechtzuerhalten), das dem aktuellen Stand der
Technik entspricht. Die Produkte und Lösungen von Siemens formen nur einen
Bestandteil eines solchen Konzepts.
Der Kunde ist dafür verantwortlich, unbefugten Zugriff auf seine Anlagen, Systeme,
Maschinen und Netzwerke zu verhindern. Systeme, Maschinen und Komponenten
sollten nur mit dem Unternehmensnetzwerk oder dem Internet verbunden werden, wenn
und soweit dies notwendig ist und entsprechende Schutzmaßnahmen (z.B. Nutzung von
Firewalls und Netzwerksegmentierung) ergriffen wurden.
Zusätzlich sollten die Empfehlungen von Siemens zu entsprechenden
Schutzmaßnahmen beachtet werden. Weiterführende Informationen über Industrial
Security finden Sie unter
http://www.siemens.com/industrialsecurity
Die Produkte und Lösungen von Siemens werden ständig weiterentwickelt, um sie noch
sicherer zu machen. Siemens empfiehlt ausdrücklich, Aktualisierungen durchzuführen,
sobald die entsprechenden Updates zur Verfügung stehen und immer nur die aktuellen
Produktversionen zu verwenden. Die Verwendung veralteter oder nicht mehr
unterstützter Versionen kann das Risiko von Cyber-Bedrohungen erhöhen.
Um stets über Produkt-Updates informiert zu sein, abonnieren Sie den Siemens
Industrial Security RSS Feed unter
http://www.siemens.com/industrialsecurity.
Frei verwendbar Copyright © Siemens AG
All Rights reserved
Seite 2 von 20
Siemens DF/PD White Paper V1.0
Industrial Security – Security Konzept für Prozess- und Fertigungsindustrie, Juli 2016
Inhaltsverzeichnis
Security-Hinweise ........................................................................................................2
1. Einleitung ....................................................................................................................4
2. Das Industrial Security Konzept von Siemens im Überblick ......................................... 5
3. Anlagensicherheit ........................................................................................................6
3.1 Physikalischer Zugangsschutz ...............................................................................6
3.2 Das Security Management .....................................................................................7
3.3 Plant Security Services ..........................................................................................8
4. Netzwerksicherheit .................................................................................................... 10
4.1 Sicherung der Schnittstellen zu anderen Netzen.................................................. 10
4.2 Netzsegmentierung und Zellenschutzkonzept ...................................................... 11
4.3 Sichere Fernzugriffe............................................................................................. 12
Systemintegrität ............................................................................................................15
5.1 Schutz PC-basierter Systeme im Anlagennetz ..................................................... 15
5.2 Schutz der Steuerungsebene............................................................................... 15
6. Rollen- und Rechtekonzepte ..................................................................................... 17
7. Angriffsszenarien in der Produkt-Entwicklung und Fertigung berücksichtigen ........... 18
8. Fazit: Industrial Security für Produktionsanlagen ....................................................... 19
Frei verwendbar Copyright © Siemens AG
All Rights reserved
Seite 3 von 20
Siemens DF/PD White Paper V1.0
Industrial Security – Security Konzept für Prozess- und Fertigungsindustrie, Juli 2016
1. Einleitung
Die voranschreitende Digitalisierung der industriellen Automatisierungssysteme
ist verbunden mit zunehmender Vernetzung, großen Datenmengen und der
Verwendung offener Standards, mit der die erforderliche Durchgängigkeit aller
Ebenen erreicht wird. Sowohl für die diskrete, als auch für die Prozessindustrie
bieten diese Veränderungen große Chancen und Vorteile, so dass man unter
dem Schlagwort „Industrie 4.0“ sogar von einer weiteren industriellen Revolution
spricht.
Die Schattenseite dieser Entwicklung ist aber die zunehmende Verwundbarkeit
dieser Systeme gegenüber Cyberangriffen. So macht es die umfassende
Vernetzung, zunehmende Datenmengen und durchgängige, standardisierte
Anwendungen es Angreifern und Schadsoftware leichter auf die Systeme
zuzugreifen. Hinzu kommt aber wie auch Studien und Vorfälle zeigen , dass die
OT-Netze und Produktionsbereiche längst zu lukrativen Angriffszielen avanciert
sind und das Vorgehen der Angreifer zunehmend aggressiver, die Werkzeuge
effektiver und immer größere Ressourcen eingesetzt werden, so dass sich
industrielle Anlagen mittlerweile auch professionell durchgeführten Angriffen
ausgesetzt sehen.
Der sogenannte „Cyber War“ ist längst zur Realität geworden. Die veränderte
Bedrohungslage erfordert ein grundlegendes Umdenken in Bezug auf
Informations- und Zugriffsschutz, sowie das Vorgehen bei der Etablierung von
industriellen Sicherheitskonzepten. Die Angreifer rüsten auf – sowohl Hersteller,
als auch Betreiber von Automatisierungs- und Produktionssystemen müssen sich
diesen Bedrohungen mehr denn je stellen.
Jedoch kann diesen Bedrohungen auch effektiv begegnet werden. Von einer
100%igen Sicherheit sollte man nie ausgehen, aber es gibt durchaus Mittel und
Wege das Risiko auf ein vertretbares Maß zu reduzieren. Hierfür ist ein
umfassendes
Sicherheitskonzept
erforderlich,
das
sowohl
den
verschiedenartigen Angriffen, als auch den professionellen Charakter der
Angriffe Rechnung trägt und das Zusammenwirken der beteiligten Akteure, d.h.
den Betreibern, Integratoren und Herstellern von Automatisierungssystemen
erfordert.
Organisatorische Maßnahmen müssen mit technischen Maßnahmen Hand in
Hand gehen. Ein ganzheitliches Security Konzept betrifft Menschen, Prozesse
und Technologien, um den erforderlichen Schutz überhaupt erreichen zu können.
Dieses White Paper beschreibt ein entsprechend umfassendes Security-Konzept
zum Schutz industrieller Anlagen.
Frei verwendbar Copyright © Siemens AG
All Rights reserved
Seite 4 von 20
Siemens DF/PD White Paper V1.0
Industrial Security – Security Konzept für Prozess- und Fertigungsindustrie, Juli 2016
2. Das Industrial Security Konzept von Siemens im
Überblick
Um Industrieanlagen umfassend vor Cyber Angriffen von innen und außen zu
schützen, muss auf allen Ebenen gleichzeitig angesetzt werden – von der
Betriebs- bis zur Feldebene, von der Zutrittskontrolle bis zum Netzwerk- und
Endgeräteschutz. Zu diesem Zweck ist eine tiefengestaffelte Verteidigung – ein
„Defense in Depth“ – Konzept nach den Empfehlungen der IEC 62443, -dem
führenden Standard für Security in der industriellen Automatisierung- das
geeignetste Mittel.
Bild 1: Defense in Depth Konzept für industrielle Anlagen
Die Elemente Anlagensicherheit, Netzwerksicherheit und Systemintegrität bilden
die Grundlagen des Industrial Security Konzeptes von Siemens. Hierbei werden
alle wesentlichen Aspekte berücksichtigt, wie physischer Zugangsschutz,
organisatorische Maßnahmen wie Richtlinien und Prozesse, genauso wie
technische Maßnahmen zum Schutz der Netzwerke und Systeme vor unbefugten
Zugriffen, Spionage und Manipulation. Der Schutz auf mehreren Ebenen und das
Zusammenspiel verschiedener Schutzmaßnahmen sorgt für ein hohes Maß an
Sicherheit und reduziert so das Risiko von erfolgreichen Angriffen, was im
Endeffekt die Anlagenverfügbarkeit und damit die Produktivität steigert.
Frei verwendbar Copyright © Siemens AG
All Rights reserved
Seite 5 von 20
Siemens DF/PD White Paper V1.0
Industrial Security – Security Konzept für Prozess- und Fertigungsindustrie, Juli 2016
3. Anlagensicherheit
Die Anlagensicherheit schafft die Voraussetzungen, dass technische
Maßnahmen der IT-Sicherheit nicht anderweitig umgangen werden können.
Dazu gehören physikalische Zugangsschutzmaßnahmen wie Zäune,
Drehkreuze, Kameras oder Kartenlesegeräte sowie organisatorische
Maßnahmen insbesondere ein Security Management Prozess, der die Sicherheit
einer Anlage auch dauerhaft gewährleistet.
3.1 Physikalischer Zugangsschutz
Folgende Punkte können hier eingeordnet werden:

Maßnahmen und Prozesse, die den Zugang nicht autorisierter Personen
zur Umgebung der Anlage verhindern.

Physikalische Trennung unterschiedlicher
differenzierten Zugangsberechtigungen.

Physikalischer Zugangsschutz für kritische Automatisierungskomponenten
(z.B. sicher verschlossene Schaltschränke)
Produktionsbereiche
mit
Die Richtlinien für physikalische Zugangschutzmaßnahmen haben auch
Einfluss darauf, welche IT-Security Maßnahmen erforderlich sind und in
welcher Stärke. Wenn beispielsweise zu einem Bereich von vornherein nur
ausgesuchte berechtigte Personen Zugang haben, müssen die
Netzzugangsschnittstellen oder Automatisierungssysteme nicht im gleichen
Maß abgesichert werden, wie es bei öffentlich zugänglichen Bereichen der
Fall wäre.
Bild 2: Physikalischer Schutz gegen unbefugten Zugang zu Produktionsbereichen
Frei verwendbar Copyright © Siemens AG
All Rights reserved
Seite 6 von 20
Siemens DF/PD White Paper V1.0
Industrial Security – Security Konzept für Prozess- und Fertigungsindustrie, Juli 2016
3.2 Das Security Management
Ein unerlässlicher Bestandteil der Anlagensicherheit sind organisatorische
Maßnahmen und die Einführung von Security Prozessen. Organisatorische
Maßnahmen müssen mit den technischen Maßnahmen eng verzahnt sein und
bedingen sich gegenseitig. Die meisten Schutzziele lassen sich auch nur durch
eine Kombination beider Arten von Maßnahmen erreichen.
Zu den organisatorischen Maßnahmen gehört die Etablierung eines SecurityManagement-Prozesses. Um fundiert entscheiden zu können, welche
Maßnahmen sinnvoll sind, ist zunächst zu analysieren, welche Risiken konkret
bestehen, die nicht toleriert werden können. Hierbei spielen sowohl die
Eintrittswahrscheinlichkeit eines Risikos, als auch die mögliche Schadenshöhe
eine Rolle (Bild 3). Werden Risikoanalyse und Ermittlung der Schutzziele
vernachlässigt oder gar nicht durchgeführt, ist die Gefahr groß, dass
unpassende, zu teure oder wirkungslose Maßnahmen getroffen werden und
manche Schwachstellen nicht erkannt und damit auch nicht behoben werden.
S
c
h
a
d
e
n
s
h
ö
h
e
sehr
hoch
inakzeptables
Risiko
hoch
mittel
gering
sehr
gering
akzeptables
Risiko
sehr gering
gering
mittel
hoch
sehr
hoch
Eintrittswahrscheinlichkeit
Bild 3: Entscheidungstabelle zur Bewertung von Risiken nach einer
anlagenspezifischen Risikoanalyse, die regelmäßig überprüft werden
Aus der Risikoanalyse ergeben sich dann Schutzziele, die als Basis für konkrete,
organisatorische, als auch technische Maßnahmen dienen. Die Maßnahmen
müssen nach der Implementierung überprüft werden. Von Zeit zu Zeit oder wenn
sich Änderungen ergeben haben, muss das Risiko erneut bewertet werden, da
sich die Bedrohungslage oder Randbedingungen mittlerweile geändert haben
könnten. Die Risiko-Analyse bildet die Grundlage für das Vorgehen bzgl. der
Implementierung von Schutz- und ggfs. Überwachungsmaßnahmen.
Frei verwendbar Copyright © Siemens AG
All Rights reserved
Seite 7 von 20
Siemens DF/PD White Paper V1.0
Industrial Security – Security Konzept für Prozess- und Fertigungsindustrie, Juli 2016
3.3 Plant Security Services
Spezielle Security Services können Betreiber bei der Gestaltung von sicheren
Produktionsumgebungen in vielerlei Hinsicht unterstützen. Dies beginnt mit einer
Analyse des Risikos (Assess Security), geht über die Gestaltung und den Aufbau
einer sicheren Produktion (Implement Security) bis hin zum kontinuierlichen
Monitoring des Sicherheitszustandes einer Anlage (Manage Security).
Bild 4: Die Siemens Plant Security Services unterstützen bei der Risiko-Analyse, der
Implementierung von Maßnahmen und dem kontinuierlichen Management der Anlage
Im Rahmen der Risikoanalyse wird Transparenz über den Sicherheitszustand
einer Anlage erzeugt, Schwachstellen werden aufgezeigt und daraus wird das
entsprechende Risiko abgeleitet. Als letzter Schritt werden die Maßnahmen in
einen Maßnahmenplan (eine Roadmap) gebracht, der dann aufzeigt, wie der
Sicherheitszustand einer Anlage auf ein neues, höheres Level gebracht werden
kann. Als neueste Dienstleistung hat Siemens nun das IEC 62443 Assessment
entwickelt, um für eine konkrete Anlage die Erfüllung gegenüber dem IEC 62443
Standard aufzuzeigen.
Im nächsten Schritt gilt es, die vorgeschlagenen Maßnahmen zur Schließung
der entdeckten Lücken zu implementieren. Dazu stehen sowohl Hardware wie
Firewall als auch Software wie Anti Virus und Whitelisting zur Verfügung.
Eingeschlossen sind auch klare Anweisungen und Richtlinien zur IT-Sicherheit.
Schließlich können Security-Lösungen nur dann funktionieren, wenn die
Mitarbeiter entsprechend sensibilisiert und geschult sind. Durch Workshops,
webbasierte Schulungen oder ähnliche Maßnahmen sollten das Bewusstsein
und die entsprechenden Kenntnisse fortlaufend gefördert werden.
Als wesentliche weitere Maßnahme unterstützt Siemens seine Kunden bei der
kontinuierlichen
Überwachung
ihrer
industriellen
Anlagen
und
Produktionsmaschinen. Siemens hat in Europa und den USA jeweils ein Cyber
Frei verwendbar Copyright © Siemens AG
All Rights reserved
Seite 8 von 20
Siemens DF/PD White Paper V1.0
Industrial Security – Security Konzept für Prozess- und Fertigungsindustrie, Juli 2016
Security Operation Center aufgebaut, mit welchem der Sicherheitszustand von
industriellen Anlagen und Produktionsmaschinen kontinuierlich überwacht
werden kann. Die Mitarbeiter im CSOC analysieren alle sicherheitsrelevanten
Daten, die von der Anlage mitgeteilt werden, und informieren den Kunden über
Gefahren und Angriffe. Gemeinsam werden dann Gegenmaßnahmen ergriffen.
In einigen Ländern ist es bereits gesetzlich verpflichtend, dass Betreiber von
Anlagen in kritischen Infrastrukturen Vorfälle (cyber incidents) an zuständige
Behörden melden. Diese Auflage wird mit dem CSOC ebenfalls unterstützt.
Die Defense-in-Depth-Strategie bildet eine geeignete Basis, um die Sicherheit in
Industrieanlagen zu erhöhen. Unterstützung bei der Umsetzung entsprechender
Maßnahmen finden Unternehmen bei den Siemens-Plant Security Services. Mit
umfassenden Services unterstützen sie Industriekunden, das Sicherheitsrisiko in
ihren Anlagen zu senken – von Security Assessments über die FirewallEinrichtung und Schulungen bis hin zum kontinuierlichen Monitoring und
Erkennung von Angriffen.
Bild 5: Das Portfolio der Plant Security Services basierend auf dem industriellen
Standard IEC 62443
Frei verwendbar Copyright © Siemens AG
All Rights reserved
Seite 9 von 20
Siemens DF/PD White Paper V1.0
Industrial Security – Security Konzept für Prozess- und Fertigungsindustrie, Juli 2016
4. Netzwerksicherheit
Das zentrale Element des industriellen Security-Konzeptes ist die
Netzwerksicherheit. Dies beinhaltet den Schutz von Automatisierungsnetzen vor
unbefugten Zugriffen und die Kontrolle aller Schnittstellen zu anderen Netzen
wie z. B. zum Büronetzwerk und insbesondere den Fernwartungszugängen zum
Internet. Zum Bereich der Netzwerksicherheit gehört darüber hinaus auch der
Schutz der Kommunikation vor Abhören und Manipulation, d.h. die
Verschlüsselung der Datenübertragung und Authentisierung der jeweiligen
Kommunikationsteilnehmer.
4.1 Sicherung der Schnittstellen zu anderen Netzen
Übergänge zu anderen Netzwerken können mittels Firewalls und gegebenenfalls
Aufbau einer DMZ überwacht und geschützt werden. Der Ausdruck DMZ steht
für „demilitarisierte Zone“ und ist ein Netzwerk mit sicherheitstechnisch
kontrollierten Zugriffsmöglichkeiten auf die darin vorhandenen Daten, Geräte,
Servern und Dienste. Die in der DMZ aufgestellten Systeme werden durch
Firewalls gegen andere Netze abgeschirmt, die die Zugriffe kontrollieren. Durch
diese
Trennung
können
Daten
aus
dem
internen
Netz
(z.B.
Automatisierungsnetz) externen Netzen zur Verfügung gestellt werden, ohne
direkten Zugang zum Automatisierungsnetz gewähren zu müssen. Üblicherweise
ist eine DMZ so ausgelegt, dass davon auch kein Zugriff oder
Verbindungsaufbau in das Automatisierungsnetz möglich ist, d.h. also selbst
wenn ein Rechner in der DMZ von einem Hacker übernommen worden ist, bleibt
das Automatisierungsnetz weiterhin geschützt (Bild 6).
Bild 6: Einsatz einer „Demilitarisierten Zone“ für den Datenaustausch zwischen
Unternehmens- und Produktionsnetz.
Frei verwendbar Copyright © Siemens AG
All Rights reserved
Seite 10 von 20
Siemens DF/PD White Paper V1.0
Industrial Security – Security Konzept für Prozess- und Fertigungsindustrie, Juli 2016
4.2 Netzsegmentierung und Zellenschutzkonzept
Die sicherheitstechnische Segmentierung des Anlagennetzwerks in einzelne
geschützte Automatisierungszellen, dient der weiteren Risikominimierung und
Erhöhung der Sicherheit. Dabei werden Teile eines Netzwerkes, z.B. ein IPSubnetz von einer Security-Appliance geschützt und dadurch das Netz
sicherheitstechnisch segmentiert. Somit können Geräte innerhalb dieser ‘Zelle’,
vor unbefugten Zugriffen von außen geschützt werden, ohne dass dabei
innerhalb die Echtzeitfähigkeit, Performance oder andere Funktionen
beeinträchtigt werden.
Die Firewall kann nun die Zugriffe von und zur Zelle kontrollieren, wobei
festgelegt werden kann, welche Netzteilnehmer miteinander und ggf. auch mit
welchen Protokollen kommunizieren dürfen. Damit können nicht nur unbefugte
Zugriffe unterbunden, sondern auch die Netzlast reduziert werden, da nicht jede,
sondern nur die gewollte und erforderliche Kommunikation passieren darf.
Die Datenübertragung von und zu den Zellen kann zudem bei Bedarf mittels
VPN von den Security Appliances verschlüsselt und so vor Datenspionage und
Manipulation geschützt werden. Die Kommunikationsteilnehmer werden dabei
authentifiziert und ggfs. für die Zugriffe autorisiert. Beispielsweise kann mit den
Komponenten wie den SCALANCE S Security Appliances oder den Security CPs
für das Automatisierungssystem SIMATIC S7 das Zellenschutzkonzept
umgesetzt und die Kommunikation dazwischen gesichert werden (Bild 7). Mit
dem SCALANCE S615 können Zellen zudem auf Basis von VLANs definiert und
geschützt werden.
Bild 7: Netzsegmentierung und Zellenschutz mit speziellen Security Komponenten
(siehe rotes Schloss-Symbol)
Frei verwendbar Copyright © Siemens AG
All Rights reserved
Seite 11 von 20
Siemens DF/PD White Paper V1.0
Industrial Security – Security Konzept für Prozess- und Fertigungsindustrie, Juli 2016
4.3 Sichere Fernzugriffe
Für Fernwartung oder Fernwirkungsanwendungen aber auch zur Überwachung
von weltweit installierten Maschinen werden immer mehr Anlagen direkt über das
Internet angebunden bzw. abgesetzte Anlagen über mobile Netze (GPRS,
UMTS, LTE).
Hier ist die Absicherung der Zugänge besonders wichtig. Mit Hilfe von
Suchmaschinen, Portscannern oder automatischen Scripten können Hacker
einfach und ohne großen Aufwand ungesicherte Zugänge finden. Hier gilt es die
Authentifizierung der Kommunikationsteilnehmer, die Verschlüsselung der
Datenübertragung und die Integrität der Daten sicher zu stellen. Besonders
dann, wenn es sich um Anlagen kritischer Infrastrukturen handelt. Das
Eindringen unbefugter Personen, das Auslesen vertraulicher Daten und die
Manipulation von Parametern oder von Steuerbefehlen können enormen
Schaden anrichten, negative Auswirkungen auf die Umwelt haben und
Menschen gefährden.
Als Schutzfunktionen haben sich hier besonders VPN-Mechanismen bewährt,
die genau die Funktionen Authentifizierung, Verschlüsselung und
Integritätsschutz zur Verfügung stellen. Die industriellen Internet- und MobilfunkRouter von Siemens unterstützen VPN um damit Daten gesichert über diese
Netze zu übertragen und unbefugte Zugriffe unterbinden können.
Hierbei werden Geräte z.B. mittels Zertifikaten als vertrauenswürdige
Kommunikationsteilnehmer authentifiziert und IP-Adressen oder DNS-Namen
werden in den Firewall-Regeln verwendet, um Zugänge freizuschalten oder zu
blockieren. Die VPN-Appliance und Firewall SCALANCE S bietet mit
userspezifischen Firewall-Regeln darüber hinaus die Möglichkeit, Zugriffsrechte
auch an User zu binden. Hier loggen sich User an einem Webinterface mit
Namen und Passwort ein und jedem berechtigten User wird ein spezieller
Firewall-Regelsatz zugeordnet und kann so gemäß seiner Rechte zugreifen. Der
Vorteil ist hier, dass auch ganz klar nachvollzogen werden kann, wer zu einem
bestimmten Zeitpunkt zugegriffen hat.
Die Variante SCALANCE S623 mit drei Firewall-Ports bietet zudem einen
Ausweg aus einem Dilemma, den sich Systemintegratoren, OEMs und
Endanwender oft gegenübersehen. Einerseits sollen Maschinenbauer zu
Wartungszwecken in der Lage sein, auf ihre Maschinen beim Endanwender
zuzugreifen, aber andererseits möchte die IT des Endanwenders nur ungern
Firmenfremde in das Netzwerk lassen, in dem die Maschine steht. Mit dem
SCALANCE S623 kann die Maschine mit dem Anlagennetzwerk verbunden
werden und mit dem dritten Port der Firewall mit dem Internet. Damit kann der
Zugriff Internet -> Maschine erlaubt, aber der Zugriff auf das Anlagennetzwerk
vom Internet aus unterbunden werden. Somit sind Fernwartungszugriffe vom
Internet auf die Maschine möglich ohne den Servicetechniker direkten Zugang
zum Anlagennetzwerk geben zu müssen (Bild 8).
Frei verwendbar Copyright © Siemens AG
All Rights reserved
Seite 12 von 20
Siemens DF/PD White Paper V1.0
Industrial Security – Security Konzept für Prozess- und Fertigungsindustrie, Juli 2016
Bild 8: Sicherer Fernzugriff auf Anlagenteile ohne direkten Zugang zum
Anlagennetzwerk mit 3-Port Firewall.
Vermittlung gesicherter Fernzugriffe mittels Managementplattform
Industrieanlagen sind oft weit verteilt – teilweise sogar über Ländergrenzen hinaus. Für
einen effizienten und sicheren Fernzugriff auf Maschinen und Anlagen in der Fertigungsoder Prozessindustrie über die öffentliche Infrastruktur bietet sich ab einer gewissen
Größe und Komplexität der Verbindungen eine Managementplattform an, die diese
Verbindungen verwaltet, wobei sämtliche Kommunikationsverbindungen damit auch
gesichert, authentifiziert und autorisiert werden.
Dies eignet sich besonders für den Serien- und Sondermaschinenbau: Erstausrüster –
so genannte OEMs (Original Equipment Manufacturer) – können damit beispielsweise
viele baugleiche Maschinen bei unterschiedlichen Kunden eindeutig identifizieren und
für die Fernwartung ansteuern.
Die Managementplattform SINEMA Remote Connect ist eine Server-Applikation, die für
die sichere Verwaltung von Tunnelverbindungen (VPN) zwischen der Zentrale, den
Servicetechnikern und den installierten Anlagen sorgt. Die Identität der Teilnehmer wird
über Zertifikatsaustausch ermittelt, bevor der Zugriff auf die Maschine erfolgen kann.
Unautorisierte Zugriffe auf das Firmennetzwerk, in dem die Anlage oder Maschine
eingebunden ist, können somit unterbunden werden. Die Rechtevergabe für den Zugriff
auf Maschinen lässt sich über die Benutzerverwaltung der Managementplattform zentral
regeln. Da der Verbindungsaufbau immer von der Anlage zum Server, sowie nur bei
Bedarf erfolgt und damit auch keine eingehenden Verbindungen in die Anlage erlaubt
werden müssen, wird dadurch die Sicherheit weiter erhöht.
Frei verwendbar Copyright © Siemens AG
All Rights reserved
Seite 13 von 20
Siemens DF/PD White Paper V1.0
Industrial Security – Security Konzept für Prozess- und Fertigungsindustrie, Juli 2016
Bild 9: SINEMA Remote Connect ist eine Managementplattform für den effizienten und
gesicherten Fernzugriff auf weltweit verteilte Anlagen und Maschinen.
Bild 10: Gesicherter Fernzugriff auf verteilte Anlagen mit SINEMA Remote Connect.
Frei verwendbar Copyright © Siemens AG
All Rights reserved
Seite 14 von 20
Siemens DF/PD White Paper V1.0
Industrial Security – Security Konzept für Prozess- und Fertigungsindustrie, Juli 2016
Systemintegrität
Als dritter wesentlicher Aspekt eines ausgewogenen Security-Konzeptes ist die
Sicherung der Systemintegrität zu sehen. Hiermit sind Automatisierungssysteme,
Steuerungskomponenten, SCADA und HMI Systeme gemeint, die gegen
unbefugte Zugriffe und Malware geschützt sind oder spezielle Anforderung wie
Know-How Schutz erfüllen müssen.
5.1 Schutz PC-basierter Systeme im Anlagennetz
In Büroumgebungen werden PC-Systeme typischerweise gegen Schadsoftware
geschützt und durch Installation von Updates/Patches Schwachstellen im
Betriebssystem oder in der Anwendersoftware geschlossen. Je nach
Anwendungsfall
sind
auch
für
Industrie-PCs
und
PC-basierte
Steuerungssysteme entsprechende Schutzmaßnahmen erforderlich. Prinzipiell
sind die aus dem Büroumfeld bekannten Schutzmechanismen wie beispielsweise
Antivirus-Software auch hier einsetzbar. Allerdings ist zwingend darauf zu achten,
dass keine Störeinflüsse auf die Automatisierungsaufgabe entstehen.
Als Alternative oder Ergänzung zur Antivirus-Software bietet sich der Einsatz
sogenannter Whitelisting Lösungen an. Solche Whitelisting Lösungen arbeitet mit
Positivlisten, in denen der Benutzer festlegen kann, welche Prozesse bzw.
Programme auf dem Rechner laufen dürfen. Versucht dann ein Benutzer oder
eine Schadsoftware ein neues Programm zu installieren, so wird dies
unterbunden und der Schaden verhindert.
Siemens als Hersteller von Industriesoftware unterstützt die Absicherung von
Industrie-PCs und PC-basierter Systeme, indem die Software auf Verträglichkeit
mit Virenscannern und Whitelisting-Software getestet wird.
Darüber hinaus stehen natürlich auch die zahlreichen integrierten SecurityMechanismen der Windows-Betriebssysteme für eine angemessene
Systemhärtung zur Verfügung. Dies umfasst die Benutzer- und
Rechteverwaltung bis hin zur feingranularen Einstellung über Security-Policies.
Auch hier bietet Siemens Unterstützung durch ausführliche Guidelines.
5.2 Schutz der Steuerungsebene
Der Schutz der Steuerungsebene richtet sich im Kern darauf, die Verfügbarkeit in
der Automatisierungslösung sicherzustellen. Die Basis dafür bilden die in den
Standard-Automatisierungskomponenten integrierten Security-Mechanismen.
Diese können je nach erforderlichem Schutzbedarf der Maschine oder Anlage
aktiviert bzw. konfiguriert werden. Das Engineering der Security-Mechanismen
erfolgt dabei komfortabel und effizient im TIA-Portal, zusammen mit der
eigentlichen Automatisierungslösung.
Frei verwendbar Copyright © Siemens AG
All Rights reserved
Seite 15 von 20
Siemens DF/PD White Paper V1.0
Industrial Security – Security Konzept für Prozess- und Fertigungsindustrie, Juli 2016
Mit zunehmender Vernetzung und der Integration von IT-Mechanismen in die
Automatisierungstechnik, verändern sich jedoch die Anforderungen an
Zugriffsschutz und Manipulationssicherheit von Produktionsanlagen. Dieser ist
für moderne Steuerungssysteme unumgänglich und in den ControllerFamilienSIMATIC S7-1200 und S7-1500 inkl. des Software-Controllers bereits
integriert.
Zum einen umfasst dies einen mehrstufigen Zugriffsschutz mit unterschiedlichen
Zugriffsrechten. Des Weiteren beinhalten die Kommunikationsprotokolle für die
Controller-Projektierung oder HMI-Anbindung integrierte Security-Mechanismen
zur deutlich verbesserten Erkennung von Manipulationen.
Zunehmend rückt auch der Schutz des geistigen Eigentums in den Fokus, denn
das Entwicklungs-Know-how bezüglich der Maschine stellt für Maschinenbauer
eine große Investition dar. Mit den Funktionen zum Know-how- und Kopierschutz
der Siemens Steuerungen gibt es auch in diesem Themenfeld einfache und
komfortable Unterstützung.
Hierbei bietet der Know-how-Schutz einen feingranularen Schutz von
Programmbausteinen, um Zugriffe auf deren Inhalt zu unterbinden und somit
Algorithmen nicht herauskopieren oder verändern können.
Mit dem Kopierschutz erfolgt eine Verknüpfung von Programmteilen mit der
Seriennummer der Speicherkarte oder CPU. Dies unterstützt dabei, die
Vervielfältigung der Maschinen zu unterbinden, da geschützte Programme nur in
vorgesehenen Maschinen eingesetzt werden können. Diese Funktionen helfen
Maschinenbauern, die Investitionen zu sichern und den technologischen
Vorsprung zu behalten.
Weitere Security-Funktionen wie Stateful Inspection Firewall und VPN sind in
den Kommunikationsprozessoren für S7-Steuerungen integriert.
Die Kommunikationsprozessoren CP343-1 Advanced für die Steuerungen
SIMATIC S7-300 bzw. CP443-1 Advanced für die SIMATIC S7-400 und CP15431 für die S7-1500 werden dadurch zur „sicheren Schnittstelle“ hin zum gesamten
Anlagennetzwerk. Damit schützen sie die jeweils angebundenen Steuerungen,
sowie die unterlagerten Netze und bei Bedarf auch die Kommunikation zwischen
ihnen und ergänzen bzw. erweitern damit das Zellenschutzkonzept in einer
Anlage (siehe Bild 7).
Bei PCs kommt die Ethernetkarte CP1628 zum Einsatz, die ebenfalls mittels
VPN und Firewall die Kommunikation zu Industrie-PCs schützen kann. Alle diese
„Security Integrated“ Produkte sind kompatibel zueinander und können
gesicherte VPN-Verbindungen zueinander aufbauen, so dass praktisch jeder
Anlagenteil und alle Arten von Automatisierungskomponenten damit geschützt
werden können.
Frei verwendbar Copyright © Siemens AG
All Rights reserved
Seite 16 von 20
Siemens DF/PD White Paper V1.0
Industrial Security – Security Konzept für Prozess- und Fertigungsindustrie, Juli 2016
6. Rollen- und Rechtekonzepte
Wir haben gesehen, dass zur Abwehr der unterschiedlichen Bedrohungen und
zum Erreichen eines angemessenen Schutzes, ein Verteidigungskonzept
erforderlich ist, das mehrere Hürden für Angreifer aufbaut (Defense-in-DepthKonzept). Das bedeutet aber gleichzeitig, dass berechtigte Personen diese
Hürden überwinden müssen. In der Praxis gibt es normalerweise verschiedene
Zugangsberechtigungen bzw. Klassen von Rechten. Bestimmte Anwender
dürfen beispielsweise nur auf bestimmte Anlagenteile, Geräte oder Applikationen
zugreifen, manche haben Administratorrechte, andere nur Lese- oder auch
Schreibrechte.
Die Umsetzung eines Security-Konzeptes dient also nicht nur der Abwehr von
direkten Angriffen, sondern auch der Umsetzung eines BerechtigungsKonzeptes. Damit soll sichergestellt werden, dass nur berechtigte Personen
gemäß ihrer jeweils zugeordneten Rechte zugreifen können. Üblicherweise wird
nicht für jede Person ein eigenes Rechteprofil erstellt, sondern es werden Rollen
definiert, die wiederum bestimmte Rechte haben. Benutzern oder auch
Benutzergruppen werden dann diese Rollen zugeordnet, wodurch diese dann
ihre entsprechenden Zugriffsrechte erhalten. Ein wichtiger Aspekt in
Zusammenhang mit Industrial Security ist daher auch die Benutzer- und
Rechteverwaltung.
Eine durchgängige Projektierung für alle Automatisierungskomponenten
erleichtert hier die Userverwaltung, da von zentraler Stelle aus Rollen und
Rechte verschiedener Personen festgelegt und gepflegt werden können. Bild 11
zeigt einen Screenshot der Benutzer- und Rechteverwaltung im TIA-Portal.
Bild 11: Usermanagement im TIA Portal mit Rollen- und Rechte-Vergabe
Frei verwendbar Copyright © Siemens AG
All Rights reserved
Seite 17 von 20
Siemens DF/PD White Paper V1.0
Industrial Security – Security Konzept für Prozess- und Fertigungsindustrie, Juli 2016
7. Angriffsszenarien in der Produkt-Entwicklung und
Fertigung berücksichtigen
„Security-by-Design“, also bereits während der Produktentwicklung und
Fertigung Security Aspekte zu berücksichtigen, wird immer häufiger von
Herstellern gefordert, z.B. auch in der IEC 62443, dem internationalen Standard
für Industrial Security. Das bedeutet, dass ein Automatisierungsprodukt von der
Entstehung über die Produktion bis hin zum Einsatz in ein Holistic Security
Concept (HSC) einbettet werden soll. Das betrifft beispielsweise Source Code,
IT-Verfahren oder Produktionsmaschinen. Je nach Sicherheitsbedarf eines
Produkts steigen die Anforderungen an die Sicherheit der Assets und der
Organisation in Prozessen und Verfahren. Der Produkt Eigentümer ist
verantwortlich für die Festlegung, mit welchem Sicherheitslevel er das Produkt
und die dazugehörigen Assets bewertet werden (Bild 12).
Insbesondere bei der Entwicklung und Fertigung von Automatisierungsprodukten
mit Security-Funktionen ist der Sicherheitsbedarf hoch. Das verwendete
Schlüsselmaterial beispielsweise muss sicher gegen unbefugte Zugriffe verwahrt
werden, da eine Kompromittierung einen sehr hohen Aufwand nach sich zieht,
um neue Schlüssel zu generieren und wieder zu verteilen. Sollte die
Kompromittierung nicht oder erst nach einiger Zeit entdeckt werden, entsteht ein
Sicherheitsrisiko. Aus diesem Grund sind für Hersteller von Produkten mit
Security-Funktionen diese Schutz- und Überwachungsmaßnahmen besonders
relevant. Aber nicht nur das Portfolio von Security-Produkten – wie die SecurityRouter Scalance S und Scalance M – sowie die Kommunikationsprozessoren für
Simatic mit integrierter Firewall und VPN profitieren vom HSC, sondern auch alle
Standard-Produkte, mit integrierten Security-Funktionen, wie beispielsweise das
Engineering Werkzeug TIA Portal und die Simatic S7-1200- und Simatic S71500-Controller. Denn auch diese Produkte können beim Endanwender das
Risiko reduzieren, da schon während der Entwicklung die Produkte auf
Schwachstellen getestet und das Design durch Risikoanalysen optimiert wurde.
Bild 12: Ganzheitliches Security Konzept für IT and OT
Frei verwendbar Copyright © Siemens AG
All Rights reserved
Seite 18 von 20
Siemens DF/PD White Paper V1.0
Industrial Security – Security Konzept für Prozess- und Fertigungsindustrie, Juli 2016
8. Fazit: Industrial Security für Produktionsanlagen
Noch bis vor wenigen Jahren war Security für Produktionsanlagen eher ein
Randthema. Die Bedrohungen schienen abstrakt und theoretisch zu sein und nur
wenige Hersteller und Betreiber beschäftigten sich damit ernsthaft.
Dies änderte sich schlagartig, als mehrere Vorfälle medienwirksam bekannt
wurden und damit das allgemeine Bewusstsein geschärft wurde, dass nun auch
Automatisierungssysteme und Produktionsanlagen im Fokus von Cyberangriffen
stehen und diesen real ausgesetzt sind, womit in letzter Konsequenz auch hohe
Verluste verbunden sein können. Allein die schiere Anzahl der bekannt
gewordenen Fälle, aber auch Untersuchungen mit sogenannten Honeypots, die
als Fallen für Hacker aufgestellt wurden, um deren Methodik zu studieren und
Statistiken zu erzeugen, zeigten das wahre Ausmaß dieser Bedrohungen.
Auf dem Weg zur digitalen Fabrik setzen sich vielerlei Trends fort, die die Risiken
von Cyberattacken vergrößern, wie zunehmende Vernetzung, immer mehr Daten
müssen übertragen und gespeichert werden, sowie weitere Verbreitung der
eingesetzten offenen Standards. Sich diesen Entwicklungen zu verschließen, allein aus sicherheitstechnischen Überlegungen- ist aber auch nicht der richtige
Weg. Denn damit würde die Wettbewerbsfähigkeit immer stärker leiden und
massive Umsatzverluste wären die Folge. Somit ist die Abwehr von
Bedrohungen und Angriffen eine besonders wichtige Grundvoraussetzung für die
digitale Transformation. Gerade auch vor dem Hintergrund der kürzlich in Kraft
getretenen Datenschutz-Grundverordnung der EU ist es für Unternehmen
ohnehin wichtig, einen schärferen Blick auf ihre Datensicherheit zu werfen.
Als Hersteller und Komplettanbieter industrieller Automatisierungs- und
Kommunikationssysteme kann Siemens Integratoren und Betreiber dabei
unterstützen, sich diesen zunehmenden Herausforderungen zu stellen. Indem
bereits während des Designs, der Entwicklung und Fertigung Security Aspekte
berücksichtigt werden (siehe Holistic Security Concept) und dementsprechend
robuste und mit effektiven Security-Funktionen ausgestattete Komponenten
geschaffen werden, können Risiken erfolgreich minimiert werden.
Aber Technik und Technologie alleine reichen nicht. Auch Prozesse müssen
eingeführt, organisatorische Maßnahmen ergriffen und den jeweiligen,
spezifischen Anforderungen angepasst werden. Bei Bedarf kann hier Siemens in
Form von Security Services unterstützen.
Frei verwendbar Copyright © Siemens AG
All Rights reserved
Seite 19 von 20
Siemens DF/PD White Paper V1.0
Industrial Security – Security Konzept für Prozess- und Fertigungsindustrie, Juli 2016
Bild 13: Industrial Security Portfolio: Konzept, Produkte und Services.
Mit Expertise sowohl im Automatisierungs-, als auch im Security-Umfeld, ist
Siemens ein starker Partner sowohl für Maschinenbauer, als auch Integratoren
und Betreibern von Produktionsanlagen. Neben einem effektiven Industrial
Security Konzept wird auch das passende Portfolio an Security Produkten und
Services bereitgestellt (Bild 13).
Bild 14: Industrial Security - für rundum gesicherte Produktionsanlagen
Frei verwendbar Copyright © Siemens AG
All Rights reserved
Seite 20 von 20