Datensicherheit im Industrial Internet


Die Zahl der Ethernet basierten Geräte in der Fabrikautomation und im Industrial Control Bereich steigt sehr schnell. Der große Vorteil von Ethernet im Vergleich zu konventionellen Felbussen ist zum einen die meist größere Bandbreite und zum anderen die geringeren Kosten, weil Standard Hardware und Software eingesetzt werden kann. Allerdings liegt genau darin auch das Problem, da mit dem Ethernet Standard der Office IT auch die Gefahren des Internets Einzug in der Fabrik halten. "Cyber Atacken" aller Art sind bereits Realität und werden zunehmend zur Bedrohung.
Selbst abgeschlossene Netzwerke sind keineswegs sicher, wie z.B. der Stuxnet Angriff sehr augenscheinlich demonstriert hat. Sobald es irgendwo in einem Netzwerk Geräte mit Service Zugängen gibt, ist praktisch Tür und Tor geöffnet.
Mit der Industrie 4.0 Initiative wird die Situation noch weit gefährlicher, weil jetzt der Internet Anschluss bis zu Endgeräten geführt werden soll. Eine Firewall hilft in den meinsten Fällen auch nicht, da sie entweder umgangen werden kann oder selbst Ziel eines Angriffs wird.

Angriffe aufs Netz

Es gibt eine ganze Reihe von verschiedenen Gründen, warum ein Angreifer in ein Netzwerk eindringen will. Im einfachsten Fall will er nur Lauschen, d.h. Datenpakete abfangen um diese unabhängig vom Datenverkehr weiter zu verarbeiten und möglicherweise sensible Daten zu stehlen. Oft wird aber passiv mitgehört, um darauf folgende Angriffe vorzubereiten. Die gewonnenen Erkenntnisse können dann dazu eingesetzt, aktiv am Netzverkehr teilzunehmen und dessen Aufbau sowie die Funktionsweise voll zu verstehen. Z.B. könnte durch den Lauschangriff ein Gerät ausgemacht werden, das für die Kontrolle einer bestimmten Ressource zuständig ist. Der Angreifer testet dann verschiedene Zugangsmöglichkeiten, um die Kontrolle über das Gerät und damit die Ressourcen zu gewinnen.
Eine andere Möglichkeit ist, das Netzwerk durch sinnlose Anfragen zu überlasten und damit die Bandbreite für den eigentlichen Netzbetrieb zu eliminieren. Das kann auch effektiv betrieben werden, wenn Geräte im Netzwerk erkannt werden, für die es Informationen zu Softwarefehlern gibt. Diese lassen sich dann ausnutzen, um Geräte vollständig lahm zu legen. Schließlich gibt es auch eine Reihe von Zugangsdaten, die im Netzwerk an verschiedenen Stellen abgespeichert sind. Ein Angreifer kann sich nach erfolgter Inspektion daran machen, Passwörtern und Schlüssel zu stehlen bzw. zu knacken um dann selbst weiter aktiv zu werden.

Einbruchwarnanlage

In der Unternehmens IT gibt es sie schon lange: Intrusion Detection Systeme (IDS) die hinter der Firewall sitzen und ihrer Arbeit unsichtbar für alle Teilnehmer im internen Netzwerk nachgehen. Auch ein Angreifer hat kaum eine Möglichkeit ein IDS zu erkennen. Es besitzt keine Netzwerkadresse und kann daher nicht direkt angesprochen werden. Seine Aufgabe ist es, jedes Datenpaket, das an einem Port hereinkommt am anderen Port wieder rauszuschicken. Die Zeit, die ein Paket zum Durchlaufen des IDS benötigt, wird zur Analyse der Paketdaten verwendet. Dabei wird nach Anhaltspunkten gesucht, ob das Paket zum ganz normalen Datenverkehr gehört, oder eventuell von einem Angreifer initiiert wurde. Falls ein Angriff vorliegt, wird ein Alarmsignal generiert. Leider sind IDS Geräte aus der Unternehmes IT nicht im Fabrikumfeld verwendbar, das sie weder industrielle Protokolle verstehen, noch in einem vertretbaren finanziellen Rahmen in den heterogenen und verteilten industriellen Netzwerken eingesetzt werden können.

Embedded Intrusion Detection Systems