Umgebungen, in denen IT-Komponenten steuernd in die „wirkliche Welt“ eingreifen, lassen sich mit den Standardrezepten der IT-Security nicht immer wirksam und zugleich hinreichend nebenwirkungsfrei schützen. Produktionsanlagen, Kliniken und IoT-Konstrukte verlangen nach neuen, kreativen Ansätzen für die Sicherheit. Das Zugangs-Management wartet dabei mit einigen besonderen Herausforderungen auf.

In der IT gehört wirksames Identitäts- und Zugriffs-Management (Identity- und Access-Management, IAM) zu den zentralen Ansätzen, um ein angemessenes Sicherheitsniveau herzustellen. Das Arsenal an verfügbaren Werkzeugen und Methoden für unterschiedlichste Anforderungen ist dabei gut bestückt: Vom simplen Kennwort über mehr oder weniger bequeme Zwei- und Mehrfaktor-Authentifizierung mit und ohne Biometrie bis hin zum zentralen Management der Identitäten mittels Rollenkonzept und Single Sign-on. Auch für kritische Zielgruppen wie die „privilegierten Anwender“ stehen bewährte Lösungen zur Verfügung.

Sobald es allerdings gilt, Konzepte aus diesem Bereich auf die Welt der digitalisierten Produktionsumgebungen (Operational Technology, OT), auf medizinische Einsatzszenarien oder auf die IoT-Sphäre und damit zugleich aufs Zugangs- und Zutritts-Management zu übertragen, erweisen sich manche der gewohnten und geschätzten „Best Practices“ plötzlich als nicht anwendbar. Drei Beispiele mögen illustrieren, wie es dazu kommt.

Beispiel Produktionsstraße

Eine typische industrielle Produktionsstraße besteht aus mehreren hintereinander angeordneten Maschinen oder Robotern, die nacheinander ein physisches Produkt bearbeiten. Die Abläufe und die Übergaben von Maschine zu Maschine sind exakt aufeinander abgestimmt. Unterbrechungen sind häufig nicht möglich, etwa wenn exakt austarierte Aushärtungs- oder Abkühlungsprozesse mit im Spiel sind. Untereinander sind die einzelnen Stationen mit ihren Steuerungen und Sensoren sowie der zentrale Leitstand meist über Industrieprotokolle vernetzt. Im Zuge der Digitalisierung gibt es gewöhnlich aber auch eine oder mehrere Schnittstellen zum IP-Netz.

Ein klassischer Badge, der sich nicht fälschen lässt: Die Farbmarkierung am Halter wechselt unvorhersehbar, aber immer gleich innerhalb einer Gruppe. Bild: Ticto

Primäre Schutzziele für die Maschinen selbst sind Verfügbarkeit und Prozessintegrität. Die Maschinen müssen korrekt laufen, da der Betreiber bei einer Fehlfunktion oder einem Stillstand unmittelbar Geld verliert, wobei die heute gängigen „Just in Time“-Produktionsverträge eine bedeutende Rolle spielen. Außerdem hängt es von der Integrität der Arbeitsparameter ab, ob die Maschinen die Endprodukte mit der vorgegebenen Präzision und Qualität herstellen – und, besonders wichtig, ob sie korrekt laufen und die Mitarbeiter vor Ort nicht durch unvorhergesehene Aktionen gefährden. Aber auch Vertraulichkeit spielt eine Rolle, denn aus den Parametersätzen und Steuerprogrammen ließe sich unter Umständen herauslesen, wie ein Hersteller mit einem Maschinentyp eine herausragende Qualität seiner Produkte und günstige Produktionskosten erzielt, die ein Mitbewerber mit derselben Maschine nicht erreicht.

In dieser Konstellation stecken Zielkonflikte, die das Zugriffs- und Zutritts-Management betreffen. So müssen der Zugriff auf die Steuerungsparameter und der Zugang zur Produktionshalle limitiert sein, um Industriespionage und Sabotage zu verhindern, zugleich aber darf keine Sicherheitsmaßnahme berechtigte Eingriffe in die Steuerungen erschweren. Nimmt das Team an der Produktionsstraße Abweichungen im Ablauf wahr, muss jeder dort tätige Mitarbeiter – gegebenenfalls auf Zuruf – an jeder Stelle uneingeschränkt eingreifen können, um die laufende Produktion zu sichern und unmittelbare physische Gefahren abzuwenden, möglichst ohne gleich der „Not-Aus“-Knopf drücken zu müssen. Kennwörter an Bedienkonsolen, gestaffelte Zugriffstiefe nach Rolle, RFID-Freischaltung, Vereinzelungstüren – all dies lässt sich deshalb nur begrenzt einsetzen. Für den Fernzugriff mögen strenge Regeln und hohe Barrieren durchzusetzen sein, aber nicht für die direkte Einflussnahme vor Ort.

Beispiel klinische Notfall- und Intensivbetreuung

In modernen klinischen Abteilungen für medizinische Notfall- und Intensivversorgung stehen zunehmend Geräte, die ebenfalls vernetzt oder zumindest an das Intranet angeschlossen sind und extrem schützenswerte Informationen in Form der Patientendaten verwalten. Ein zu strenges Zugriffs- und Zutritts-Management gefährdet in diesem Umfeld unmittelbar das Leben von Menschen, denn sobald ein Patient in eine akute Notlage gerät, muss jede verfügbare medizinische Kraft in der Lage sein, sofort helfend einzugreifen.

Selbst ausgeklügelte Systeme wie die automatische Freischaltung von Türen und Konsolen durch mitgeführte RFID-Chips sind hier noch weniger anwendbar als in der Industrie, da allein das Risiko einer gewöhnlichen Fehlfunktion bereits zu hoch ist. Außerdem könnte ein Mitarbeiter seinen Chip schlicht vergessen.

Eine mögliche Abhilfe besteht darin, sämtliche Barrieren im Fall der Fälle mit einem einzigen Schaltvorgang außer Kraft zu setzen. Dieses Prinzip spiegelt sich in den gängigen Krankenhaus-Informationssystemen (KIS) wider, die auf Anforderung hinderliche Datenschutzfunktionen beim Zugriff auf Patientendaten sofort übergehen, einen derartigen Notfalleinsatz dann aber als solchen protokollieren. Es gilt also, eine brauchbare Balance zwischen Datenschutz- und Informationssicherheit auf der einen Seite und ungehinderter Nutzung der medizinischen Geräte auf der anderen Seite herzustellen. Vorrang hat immer das Leben der Patienten.

Beispiel Event und Meeting

Teilnehmer an Kongressen buchen oft einzelne Seminarreihen oder Vorträge eines Events, können also nicht an jeder Einzelveranstaltung teilnehmen. In modernen Büroumgebungen finden sich Teams zu Meetings zusammen, ohne dass sich die Mitglieder untereinander in jedem Fall kennen und ohne dass immer ein streng abgetrennter Raum verfügbar ist. In beiden Fällen wären strenge Zugangskontrollen unangemessen – und dennoch muss festzustellen sein, wer in die jeweilige Gruppe gehört und wer nicht. Zudem wäre eine Lösung nützlich, die auch den Teilnehmern selbst hilft, ihren richtigen Raum oder ihre richtige Gruppe zu finden.

Für Besucher von Hochsicherheitsumgebungen oder Veranstaltungen gibt es Pins. Bild: Ticto

In allen drei Beispielszenarien sind es primär die beteiligten Menschen selbst, die die Zugangs-, Zugriffs- oder Zutrittskontrolle ausüben. Am Produktionsband kennt man sich gewöhnlich, im medizinischen Umfeld helfen notfalls kurze Nachfragen, auf Veranstaltungen und in Ad-hoc-Teams klärt man die Zugehörigkeit gewöhnlich im Dialog.

Der Mensch als Access-Manager

In allen drei Bereichen unterstützen außerdem fast immer Organisations- oder Veranstaltungsausweise (Badges) die Kontrolle, ob jemand an einen bestimmten Ort oder in ein bestimmtes Team gehört. Fehlt der Faktor „persönliches Wiedererkennen“ als Abgleichsinstrument, überwiegt die Schutzfunktion des Ausweises. Klassische Badges allerdings lassen sich leicht fälschen, vor allem wenn ergänzende technische Hilfsmittel wie Funksender oder RFID-Chips als Türöffner oder Log-in-Hilfe nicht zum Einsatz kommen können. Hier wird dann der mehr oder weniger flüchtige Blick aufs Namensschildchen zur einzigen Handhabe, jemanden zuzulassen oder nicht. Öffnet ein klassisches Badge auch Zugänge, besteht immer die Gefahr, dass die Sicherheitsfunktion durch sogenanntes „Tailgating“ umgangen wird: Jemand hält der nachfolgenden Person höflicherweise die Tür auf, und schon kann sie den für sie eigentlich gesperrten Sektor betreten.

In diesen Fällen bleibt entweder nur die Akzeptanz des Restrisikos oder der Versuch, die gegenseitige, kooperative Kontrolle zu optimieren. Derzeit zwingt vor allem die rasch voranschreitende Digitalisierung der Produktionswelt und in der Medizin dazu, im Bereich des kollaborativen Zugangs- und Zutritts-Managements neue Lösungen zu erproben. Eine besteht darin, die Fälschungssicherheit der Badges durch eine Technik zu erhöhen, die auch bei einem schnellen Blick aufs Gegenüber noch wirksam ist.

Farbwechsel-Badge mit Crypto-Chip

Ein Beispiel, wie dies möglich ist, zeigt der Anbieter Ticto. Er hat wechselnde Badge-Farben als ein Mittel entdeckt, die Fälschungssicherheit offen getragener Ausweise wie auch die Erkennbarkeit der Zugehörigkeit zu einer Gruppe oder der Berechtigung zum Aufenthalt in einem Raum zu verbessern. Die „visuelle Autorisierungslösung“ des Unternehmens bewirkt, dass sich die Farben der Badge-Halter oder Ansteck-Pins einer Gruppe von Menschen algorithmisch gesteuert gleichzeitig und gemeinsam immer wieder ändern. So tragen zwar immer alle Mitglieder derselben Gruppe die gleiche Farbe, die jeweilige Farbe selbst und der Zeitpunkt des Wechselns sind aber nicht vorhersehbar.

Zu den Einsatzgebieten gehören neben den bereits vorgestellten Szenarien spezielle Forschungs- und Entwicklungs- oder Hochsicherheitsabteilungen sowie die Zutrittsregelung für Rechenzentren. Auch die Kontrolle darüber, ob Lieferantenfahrzeuge auf großen Produktionsgeländen die richtigen Hallen ansteuern, ist mittels spezieller Fahrzeugmodule möglich. Wo sich eine automatische Türöffnung und -blockade implementieren lässt, kann man sie mit dem System ebenfalls umsetzen.

Serie Aspekte der OT-Security
Im Rahmen dieser Serie befasst sich LANline in loser Folge mit Aspekten moderner OT- und IoT-Sicherheit. Was das IoT-Umfeld betrifft, so stehen dabei keine Geräte im Mittelpunkt, die hauptsächlich von Privatanwendern verwendet werden, sondern professionell eingesetzte Systeme in der Medizin, in der Produktion oder als Komponente von Anlagensteuerungen.

Die Serie umfasst Beiträge zu folgenden Themen:

  1. Orientierungsrahmen: Scope und Best Practices (siehe LANline 7/2018, S.36ff.)
  2. Assessment-Praxis: Assessments für die OT/IIoT-Sicherheit (siehe LANline 9/2018, S.36ff.)
  3. Zutritts- und Zugriffs-Management
  4. Ein SOC für IT und OT

Die Endanwenderkomponenten der Lösung sind entweder ein Badge-Halter mit Farbanzeige, Akku, integriertem Smartcard-Leser und eine Smartcard für jeden Anwender oder ein Ansteck-Pin, der alle Funktionsmodule enthält. Kommen Badge-Halter und Smartcards zum Einsatz, ist der Badge-Halter selbst nicht personalisiert – er bezieht seine Identitätsinformationen von der Smartcard des Benutzers. Badge-Halter und Pin enthalten Crypto-Chips, die die persönlichen Schlüssel auswerten und damit ein Programm für die Farbsequenzen ihrer Anzeigen steuern. Für die Kommunikation mit den weiteren Komponenten und die Aktivierung oder Deaktivierung ist ein BLE-Chip (Bluetooth Low Energy) zuständig, eine Echtzeit-Uhr stellt den präzisen gleichzeitigen Farbwechsel sicher.

An jedem Zugang zu einem Bereich, der gesichert werden soll, ist mindestens ein Gateway des Herstellers zu platzieren und per Ethernet ans Firmennetz anzuschließen. Die Gateways greifen auf eine Backend-Software zu, die beim Anwender installiert sein kann, aber auch als Cloud-Lösung zur Verfügung steht und laut Hersteller mit gängigen Systemen für die physische Zugangskontrolle (Physical Access Control System, PACS) zusammenarbeitet.

Einbindung der Mitarbeiter als Erfolgsfaktor

Die Kommunikation zwischen Badges und Gateways ist verschlüsselt und durch wechselseitige Authentifizierungsvorgänge abgesichert. Betritt eine Person mit einem der High-Tech-Ausweise eine gesicherte Zone, wird zunächst ihre Identität per PACS abgeglichen. Ist eine Türsteuerung integriert, öffnet sich der entsprechende Zugang, sofern die Person die Zutrittserlaubnis besitzt. Zugleich oder als Alternative sendet das Gateway einen Schlüssel zum Badge-Halter oder Pin, der die für den fraglichen Bereich gültige Farbwechselsequenz aktiviert und die eingebaute Uhr des Geräts synchronisiert. Der Farbwechsel läuft von diesem Moment an autonom, benötigt also keine ständige Verbindung zum Gateway. Alle 20 Millisekunden senden Pin oder Badge-Halter ein Bluetooth-Paket, damit die Gateways erkennen können, ob das Gerät noch in Reichweite ist. Diese beträgt in Räumen laut Hersteller etwa 30 bis 40 Meter, im freien Gelände 70 Meter. Eine ferngesteuerte Deaktivierung der Farbsequenz ist möglich.

Die Lösung ist ein gutes Beispiel dafür, dass Sicherheit nicht immer mit rein technischen Mitteln implementiert sein muss, sondern zuweilen weit besser wirkt, wenn sie den Mitarbeitern assistiert. Im Beispielfall trägt sie zudem zur Sensibilisierung des Personals bei, denn sie bindet alle Mitarbeiter in den Informations- und Anlagenschutz ein und erinnert durch die gelegentlichen Farbwechsel daran, noch einmal in die Runde zu schauen. Dies wiederum ist ein Prinzip, das in OT- und medizinischen Umgebungen ohnehin eine wichtige Rolle spielen muss.

Bettina Weßelmann ist Beraterin für Unternehmenskommunikation und Fachautorin mit dem Spezialgebiet Informationssicherheit. Dr. Johannes Wiele ist freier Autor und arbeitet als Managing Security Consultant.