Develop³ Systems Engineering 02.2016
Themenschwerpunkte: Methoden, Tools sowie Anwendungen; Köpfe der Wissenschaft: Prof. Reinhard Hüttl, Deutsche Akademie der Technikwissenschaften (acatech), und Dipl.-Ing. Arno Kühn, Fraunhofer IEM
Themenschwerpunkte: Methoden, Tools sowie Anwendungen; Köpfe der Wissenschaft: Prof. Reinhard Hüttl, Deutsche Akademie der Technikwissenschaften (acatech), und Dipl.-Ing. Arno Kühn, Fraunhofer IEM
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
KOMMUNIKATION/SECURITY/INDUSTRIE 4.0<br />
ANWENDUNGEN<br />
Kontakt<br />
INFO<br />
Westermo Data Communications GmbH<br />
Waghäusel<br />
Tel. +49 7254 95400-0<br />
www.westermo.de<br />
Weitere Informationen über das WeOS:<br />
http://t1p.de/z8w1<br />
Bild: Westermo<br />
Daten-Übertragung über nicht<br />
vertrauenswürde Netzwerke<br />
dings nicht ausreichend gesichert sind, ergeben ein erhöhtes Risiko.<br />
Findet der Angreifer hier einen verwundbaren Punkt in der Perimeter-Firewall,<br />
die die Schnittstelle zum Internet bildet, wird dieser an<br />
dieser Stelle ansetzen. Das Sperren von Ports und Protokollen zählt<br />
zu den einfachsten Mitteln, den Perimeter zu härten. Ein Perimeterschutz<br />
alleine ist allerdings nicht ausreichend. Firewalls und Virenschutz<br />
müssen Bestandteile einer Sicherheitsstrategie sein.<br />
Netzwerk-Segregation<br />
Eine dieser Taktiken ist die Segmentierung oder Segregation von<br />
Netzwerken – eine gute Methode, um das Risiko für die einzelnen<br />
Schichten des gesamten Netzwerks zu verringern. Durch die Aufteilung<br />
in kleine Sicherheits-Zonen (Subnetze) kann der Netzwerk-Verkehr<br />
überwacht und entsprechend eingeschränkt werden. Man gibt<br />
nur diesen Verkehr frei, der vom Steuerungssystem auch wirklich<br />
benötigt wird. Sollte es ein Angreifer nun in eines der Teilnetze geschafft<br />
haben, hindert ihn die nächste Firewall an der Grenze zu einer<br />
anderen Zone, sich ungehindert ausbreiten zu können.<br />
Übertragung über nicht vertrauenswürde Netze<br />
Bei kritischer Infrastruktur werden Daten oft zwischen physischen<br />
Sicherheitszonen übertragen und manchmal auch über Medien, die<br />
von Dritten verwaltet werden. Sofern die Daten nicht geschützt<br />
sind, bevor sie eine physische Sicherheitszone, wie ein Kontrollraum,<br />
verlassen, können sie abgefangen und manipuliert werden.<br />
Diese Daten während der Übertragung zu schützen, ist entscheidend<br />
für den gesicherten Betrieb und alle WeOS-Routing-Geräte haben<br />
die Fähigkeit, sichere Kanäle zwischen sich selbst und einem<br />
anderen vergleichbaren Gerät herzustellen. Die sicheren Kanäle bieten<br />
einen logischen Schutz,vergleichbar mit einer physischen Sicherheit<br />
und unterstützen andere Sicherheitsanwendungen wie Perimeterschutz<br />
und Netztrennung über den sicheren Kanal.<br />
Spoofing-Schutz<br />
Beim ARP-Spoofing wird dem Absender eine falsche Adresszuordnung<br />
übermittelt. Ein Anwendungsbeispiel aus der Praxis ist das<br />
Mithören der Daten, die über einen Switch gesendet werden (Manin-the-Middle-Angriff).<br />
Somit hat der Angreifer die Möglichkeit, diese<br />
Daten mitzulesen und entsprechend zu verändern, sofern diese<br />
unverschlüsselt sind. Durch Vortäuschung eines funktionierenden<br />
<strong>Systems</strong> auf dem Prozessleitsystem wird es für den Anlagenbetreiber<br />
schwierig, Probleme zu erkennen. Eine effektive Maßnahme,<br />
um dem ARP-Spoofing vorzubeugen, ist die Verwendung von Layer-<br />
3-Switches. Das Konzept dieser Switches sieht vor, die Verbindung<br />
nicht nur anhand der MAC-Adresse zu identifizieren, sondern auch<br />
anhand der IP-Adresse. Häufige Änderungen der MAC/IP-Zuordnung<br />
werden vom Switch bemerkt und gegebenenfalls verhindert.<br />
Intrusion Detection<br />
Intrusion-Detection-Systeme (IDS) überwachen und analysieren die<br />
Aktivitäten in einem Netzwerk. Dabei werden die Konfigurationen<br />
und Schwachstellen analysiert, sowie die Datei-Integrität bewertet.<br />
Die Systeme können typische Angriffs-Muster erkennen, abnormale<br />
Aktivitäts-Muster analysieren und Verletzungen der Anwender-Policies<br />
aufspüren. Das System wird auch aktiv, sollte das Netzwerk<br />
des Administrators in irgendeiner anderen Form kompromittiert<br />
sein. Einige IDS-Produkte der Enterprise-Klasse sind auch in der Lage,<br />
direkt auf entdeckte Bedrohungen reagieren. Das IDS kann eine<br />
Firewall ergänzen oder auch auf dem zu überwachenden Computersystem<br />
laufen und so die Sicherheit von Netzwerken erhöhen.<br />
Für die Zukunft gerüstet<br />
Nur wer sein System vor unberechtigten Zugriffen und Attacken von<br />
außen schützt und auf hochwertige Komponenten setzt, kann sicher<br />
sein. Der Security-Spezialist Westermo hat seine Routing-Switches<br />
über das intelligente Betriebssystem WeOS mit Cyber-Abwehrfunktionen<br />
ausgestattet. Mit Port-basierender Firewall, Netzwerk-Segmentierung,<br />
VPN-Lösungen, Intrusion Detection und Spoofing-<br />
Schutz wird die Cyber-Security-Architektur eines Netzwerks gut verstärkt.<br />
Dabei gilt zu beachten, dass auch der modernste Cyber-<br />
Schutz auf Dauer nichts nützt, wenn das Personal nicht ausreichend<br />
geschult ist. Nur so lässt sich das Beste aus einem System herausholen<br />
und ein Netzwerk ausreichend vor unberechtigten Zugriffen<br />
und Cyber-Attacken schützen.<br />
ge<br />
Der Autor: Erwin Lasinger, Cyber-Security-Spezialist bei der<br />
Westermo Data Communications GmbH<br />
develop 3 systems engineering 02 2016 53