Netze für Industrial Control Systems segmentieren

IT-Sicherheit in Industrial Control Systems ist notwendig und wird mittlerweile auch von der überwiegenden Mehrheit der Firmen als Teil des Gesamtschutzkonzepts gesehen. Einige Maßnahmen unterscheiden sich grundlegend von der typischen IT-Sicherheit im Rechenzentrumsumfeld, Patching und Vulnerability Management beispielsweise. Andere Aspekte lassen sich weitgehend aus dem RZ-Bereich übernehmen. Dazu gehört die Segmentierung des Netzes. Mittlerweile nutzen die meisten Firmen das Konzept „Zero Trust“ oder „Consider Breach“. Es gibt also keine sicheren oder unsicheren Netze mehr. Jedes Netz wird potenziell als unsicher eingestuft, weil man davon ausgeht, dass ein Angreifer auf alle Fälle den Perimeter überwindet.

Netzsegmentierung ist ein fester Bestandteil von wichtigen Frameworks im ICS-Umfeld, beispielsweise der EN 62443 und des NIST 800-82. Natürlich ist die Implementierung eines Zonenkonzeptes in einer bestehenden ICS-Umgebung eine besondere Herausforderung: Einfach abschalten, neu verkabeln und Firewall-Regen anpassen geht meist nicht. Trotzdem ist Segmentierung zum einen ein sehr wichtiger Teilaspekt der Sicherheit für ICS-Umgebungen und zum anderen mit der richtigen Planung durchaus umsetzbar. Dazu gehört, bei der Analyse der bestehenden Umgebung Vorsicht bei der Tool-Auswahl und-Nutzung walten zu lassen.  Aggressives aktives Scanning mit Nmap kann Downtime bei IoT- und ICS-Geräten hervorrufen. Aber nicht jedes Gerät reagiert auf einen Ping, so dass die entstehende Landkarte lückenhaft bleibt. Neben spezialisierten Tools für ICS-Anwendungen bieten sich Packet-Sniffer an, die den Netzverkehr protokollieren, ICS-Protokolle verstehen und eine hohe Trefferquote bei den vorhandenen Geräten haben. Natürlich sollte die Dokumentation in einem effizienten und gut geführten ICS-Netz ohnehin einen sehr hohen Prozentsatz des Netzes beschreiben.

Sobald ein vernünftiges Bild der bestehenden Endgeräte vorhanden ist, folgt die nächste Stufe: Welche Segmente werden gebildet? Auch hier kann der Sniffer helfen, denn er zeigt welche Kommunikationsbeziehungen zwischen den einzelnen Systemen bestehen. Idealerweise werden Endgeräte in einem Segment vereint, die ohnehin hohes Kommunikationsaufkommen untereinander haben. Werden in der Kommunikation unternehmensweite Grenzen überschritten – zum Beispiel, wenn ein Zugriff aus dem regulären Office-Netz auf ICS-Komponenten protokolliert wird, lohnt es sich, diese Verbindung genau auf ihre Notwendigkeit zu prüfen. Sind solche Verbindungen tatsächlich legitim und auch von Seiten der Risikobetrachtung akzeptabel, müssen Gateways wie ein Proxy oder eine Firewall dazwischengeschaltet werden.

Einer der Hauptgründe, warum ICS-Admins so ungern über Segmentierung in bestehenden Umgebungen nachdenken, ist die Angst davor, versehentlich wichtige Verbindungen zu blockieren. Das Risiko ist real, absolute Sicherheit, jedes Gerät und seinen Kommunikationsbedarf gefunden zu haben, gibt es nicht. Doch neben einer gründlichen Analysephase mit Packet-Sniffer und guter Dokumentation helfen moderne ICS-geeignete Firewalls mit Features wie „Learning-Mode“ dabei, diese Gefahr zu minimieren. Dabei sorgt die Firewall zwar schon für die Segmentierung, lässt aber noch alle Pakete passieren. Sie „lernt“ alle Kommunikationsbeziehungen und ermöglicht so ein genaues Bild, ob notwendige Verbindungen versehentlich geblockt worden wären. Nach einer Testphase von einigen Wochen, bei der alle wichtigen produktiven Aufgaben der zu steuernden Produktionssysteme durchgeführt wurden, kann die Firewall nach und nach scharf geschaltet werden.

Eine Sonderstellung nehmen in den Kommunikationsbeziehungen Verbindungen ins Internet ein. Während bis vor wenigen Jahren solche Verbindungen generell als nicht notwendig und aus Risikosicht als nicht akzeptabel eingestuft werden konnten, sieht die Situation heute manchmal anders aus. Nach wie vor sollte es keine direkten Verbindungen ins Internet geben, aber ein absolutes Verbot von Verbindungen über die Unternehmensgrenzen hinaus ist nicht mehr zeitgemäß. Zum einen bieten sehr viele Hersteller Cloud-basierte Managementfunktionen an. Ob solche Angebote im spezifischen Umfeld notwendig sind, ist eine individuelle Entscheidung. Sie können aber ermöglicht werden, wenn die Verbindungen durch einen VPN-Tunnel gesichert werden und eine Firewall sowie ein solides Rollen- und Rechtemanagement die möglichen Aktionen beschränkt. Auch eingehende Fernverbindungen, die von vielen Herstellern zur Wartung ihrer ICS-Komponenten gefordert werden, sind akzeptabel, solange sie über ein VPN geführt werden und immer klar ist, was dabei getan wird. Bei kritischen Komponenten kann man über den Einsatz von Privileged Access Management nachdenken.

Netzsegmentierung kann man nicht früh genug einführen, man muss es aber nicht auf einmal machen. Getreu der 80/20-Regel sollten zuerst die wichtigsten Assets gesichert werden, deren Ausfall den größten Schaden verursachen würde. Danach sind sukzessive alle anderen Bereiche dran. Das setzt voraus, zu wissen, welches die Kronjuwelen des eigenen Unternehmens sind. Und genau hier mangelt es vielen Unternehmen, die keine Risikoanalyse und keine daraus abgeleitete Risikobehandlung haben. Bevor es also an die technischen Maßnahmen geht, sind zunächst die Hausaufgaben angesagt. Aber die ICS Security Empfehlungen des BSI, die NIST 800-82 sowie die EN 62443 zeigen ausführlich, und im Fall on BSI und NIST sogar kostenlos, wie man am besten an das Thema herangeht.