LANline sprach mit Udo Schneider, Security Evangelist für den DACH-Markt beim japanischen IT-Sicherheitsanbieter Trend Micro, über die Absicherung von IoT-Infrastrukturen im Industrieumfeld (Industrial Internet of Things, IIoT). Denn IIoT-Umgebungen bergen diverse Tücken in puncto Sicherheit, erfordern sie doch das Zusammenspiel eines jahre- und mitunter jahrzehntealten Maschinenparks mit neuen Internet-gestützten Lösungen.

LANline: Herr Schneider, das IoT hält immer stärker Einzug in Betriebe sämtlicher Branchen, von der Automobilindustrie bis zum Gesundheitssektor. Welche Schritte sind nötig, um Industrial-IoT-Umgebungen wirkungsvoll abzusichern?

Udo Schneider: Im Industrieumfeld muss man zunächst unterscheiden zwischen Legacy-Systemen, die man nicht mehr anfassen darf, und neuen IoT-Systemen, die heute für die vernetzte Produktion entwickelt werden. Eine Herausforderung ist vor allem das Zusammenspiel von IoT-Gerätschaft und Legacy-Maschinen oder -Anlagen. Dafür braucht man speziell adaptierte Security-Lösungen. Deshalb haben wir zum Beispiel unsere „Advanced Threat Protection“-Lösungen Deep Discovery und TippingPoint um Scada- und Industrieprotokolle wie Modbus oder Profinet erweitert. Zum Einsatz kommt Deep Discovery dabei in der Regel für rein passives Scannen am Span- oder Mirror-Port, um keine Latenz in die Datenkommunikation einzufügen.

LANline: Welche Überraschungen treten bei Scans von Industrieumgebungen zutage?

Udo Schneider: Die Betreiber stoßen hier immer wieder auf Endpunkte, von denen sie zuvor nichts wussten. Ein Klassiker sind zum Beispiel Wartungs-PCs oder -Notebooks, die irgendjemand ans falsche Netz angeschlossen hat.

LANline: Welche Sicherheitsmaßnahmenen sollten am Übergang vom Büro- zum Produktionsnetz implementiert sein?

Udo Schneider: Abgesehen von der stets zwingend notwendigen Firewall ist der Übergang zwischen Office und Produktion ein Einsatzfall für TippingPoint als klassisches Intrusion-Protection-System. Wichtig ist den Industriekunden bei einem IPS neben der Unterstützung der Industrieprotokolle ein hoher Automationsgrad sowie vorhersagbare Werte bei Latenz und Jitter. Hier kann TippingPoint glänzen, da alles in Hardware passiert. Zudem bieten wir für den Industrieeinsatz optische Netzwerkkarten – im Office-Bereich wäre das technischer Overkill. Die Auswertung der gesammelten Informationen übernimmt dann eine SIEM-Lösung, die beispielsweise auch Daten unserer Deep-Security-Plattform auswertet. Für die Analyse ist es allerdings unerheblich, ob es sich um Sensordaten einer Zentrifuge oder Performance-Werte eines Online-Shops handelt, hier geht es im Grunde immer nur um Verhaltensanalyse und Anomalieerkennung.

LANline: Welche besonderen Herausforderung bringen Wartung und Patching im IIoT-Umfeld mit sich?

Trend Micros Portable-Security-Stick gibt optisch über den Status Auskunft, wie dies insbesondere im Industrieumfeld gewünscht ist. Bild: Trend Micro

Trend Micros Portable-Security-Stick gibt optisch über den Status Auskunft, wie dies insbesondere im Industrieumfeld gewünscht ist. Bild: Trend Micro

Udo Schneider: Zunächst lässt sich auch in der Industrie 4.0 nicht jede Maschine remote erreichen. Hier benötigt die IT-Organisation USB-Sticks, die sich der Maschine als Read-Only-CD-ROM zu erkennen geben. Damit kann der Administrator Patches oder zum Beispiel eine neue Scanning-Policy aufspielen. Diese Richtlinien sind digital signiert, um Missbrauch zu vermeiden. Auf diese Weise lassen sich selbst Airgapped-Systeme (physisch vom Netzwerk abgekoppelte Systeme, d.Red.) scannen, aktualisieren oder bereinigen. Wichtig dabei: Unser Portable-Security-Stick besitzt hinten drei LEDs, die optisch über den Status Auskunft geben. Denn das Wartungspersonal im Industrieumfeld besteht auf solche klaren optischen Signalgeber.

LANline: Wäre denn nicht Application Whitelisting ein geeigneter Ansatz, um die Sicherheit von Maschinen und Anlagen im IIoT-Umgebung deutlich zu erhöhen? Die zugelassenen Applikationen dürften im Industriealltag schließlich nicht allzu oft wechseln…

„Bei der Industrie-4.0-Sicherheit“, so Trend Micros Security Evangelist Udo Schneider, „ist die Anforderung Nummer 1: keine Software-Installation!“ Bild: Trend Micro

„Bei der Industrie-4.0-Sicherheit“, so Trend Micros Security Evangelist Udo Schneider, „ist die Anforderung Nummer 1: keine Software-Installation!“ Bild: Trend Micro

Udo Schneider: Application Whitelisting ist ein altbekanntes Konzept, das wir mit unserer SafeLock-Lösung umgesetzt haben. Diese ist über unsere Portable-Security-Lösung auch „airgapped“ administrierbar. Allerdings gibt es hier ein Problem. Bei der Industrie-4.0-Sicherheit ist die Anforderung Nummer 1: keine Software-Installation! Stets heißt es hier: „Das hätten wir durchaus gern, aber wir dürfen an unseren Systemen keinerlei Änderung vornehmen.“ Denn in der Industrie behandelt man Hardware und Software als Gesamtsystem, und wenn man an der Softwareausstattung etwas verändert, droht der Verlust der Herstellergarantie. In solchen Fällen muss man auf die Netzwerkebene ausweichen oder sich auf reines Scannen, Monitoring und die möglichst echtzeitnahe Forensik beschränken.

LANline: Welche Rolle kann oder sollte Software-Defined Networking (SDN) für die IIoT-Sicherheit spielen?

Udo Schneider: Ein SDN kann im Zusammenspiel mit Security-Lösungen wie unserer Virtual Network Function Suite Sicherheit aus der Infrastruktur heraus anbieten, etwa indem man das Netzwerk per Slicing segmentiert. So kann ein Software-Defined Network pro Geräteklasse verschiedene Services anbieten, zum Beispiel: Slice 1 bekommt eine Firewall, Slice 2 bekommt Deep Analytics, Slice 3 bekommt – wichtig zum Beispiel im Carrier-Umfeld – Parental Control (Kontrollmechanismen für Erziehungsberechtigte, d.Red.). Eine solche Sicherheitstechnologie lässt sich mittels OpenFlow herstellerübergreifend einbinden, die Implementierung erfolgt dann per Flow. Letztlich sorgt dieser Ansatz für eine zusätzliche Sicherheitsschicht auf Netzwerkebene.

LANline: Der vielversprechendste Ansatz für IIoT-Sicherheit scheint Security by Design, also ab Werk integrierte Sicherheitsmechanismen, wie sie – in einem anderen Kontext – zum Beispiel auch die DSGVO fordert. Wie ist es um Kooperationen von Trend Micro mit den Herstellern industrieller Geräte und Anlagen bestellt?

Der japanische Security-Spezialist kooperiert mit Herstellern, um IT-Sicherheit in vernetzte Geräte zu integrieren – im Bild zum Beispiel ein vernetztes Fahrzeug. Bild: Trend Micro

Trend Micro kooperiert mit Herstellern, um IT-Sicherheit in vernetzte Geräte zu integrieren – im Bild ein vernetztes Fahrzeug. Bild: Trend Micro

Udo Schneider: Alle Trend-Micro-Technologien von der Firewall bis zu den Detection-Verfahren sind unter dem Namen „Trend Micro IoT Security“ als SDK (Software Development Kit, d.Red.) erhältlich. Der jeweilige Hersteller kann sich damit aus einem breiten Technologiefundus bedienen. Hierfür haben wir diverse Referenzen etwa aus dem Automotive-Bereich. Kooperationen unterhalten wir zum Beispiel mit Panasonic für die Entertainment-Elektronik im Automobilbau ebenso wie mit der Siemens-Tochter Mentor Graphics.

LANline: Herr Schneider, vielen Dank für das Gespräch.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.