Absicherung von Industrial Things per Overlay Network
Kryptografisch geschützt
Mit der vierten Welle der industriellen Revolution, der Industrie 4.0, wird durch die Vernetzung intelligenter, autonom handelnder IoT-Geräte, umfassende Prozesstransparenz und eine nie dagewesene Form der Mensch-Maschine-Interaktion möglich. Die Selbstverständlichkeit, mit der der Begriff Industrie 4.0 gegenwärtig im üblichen Sprachgebrauch auftaucht, lässt manchmal vergessen, dass die damit bezeichnete Revolution noch nicht vollzogen ist. Normen und Standards für IoT-Geräte und Best Practices für vielfältige Einsatzszenarien entstehen erst nach und nach.
Unternehmen, die ihre Prozesse oder gar Geschäftsmodelle durch das Industrial Internet of Things (IIoT) modernisieren wollen, müssen eine für ihre individuellen Voraussetzungen geeignete Lösung finden. Sie leisten Pionierarbeit. Eine wesentliche Herausforderung besteht darin, zwei Sicherheitsdimensionen miteinander in Einklang zu bringen: Zur Betriebssicherheit (Safety) gesellt sich im Industrie-4.0-Zeitalter nun auch das Erfordernis der Informationssicherheit (Security). Denn mit vernetzten Maschinen, die laufend Daten über das Internet austauschen, schaffen Unternehmen eine Angriffsfläche für sämtliche Bedrohungen der konventionellen IT wie Ransomware, DoS-Attacken, Trojaner oder Advanced Persistent Threats.
Durch den Eingriff in elementare Betriebsabläufe ist im Fall eines erfolgten Hackerangriffs das Schadenspotenzial jedoch noch größer als in der klassischen IT, denkt man zum Beispiel an den Stillstand von Produktionsstandorten, die Sabotage kritischer Infrastrukturen wie Energieversorger oder die Störung medizinischer Geräte in Krankenhäusern. Dass vernetzte Geräte, Sensoren und Embedded-Technologien unangreifbar bleiben und sich ihre Daten weder manipulieren noch abhören lassen, ist somit die entscheidende Hürde für Planung und Design von Netzwerkinfrastruktur im heutigen industriellen Umfeld.
Klassische Netzwerktechnik skaliert nicht ausreichend
Vom internetbasierten Informationsaustausch gehen die meisten und folgenreichsten Bedrohungen aus. Daher folgten die Sicherungsbemühungen in IoT-Netzwerken auch im industriellen Anwendungsbereich bislang dem Vorbild der konventionellen IT. Integraler Bestandteil dieses Vorgehens ist die Absicherung der Datenströme zwischen verschiedenen Netzwerksegmenten über Firewalls. Als zusätzliche Sicherheitsebene ist eine statische Netzkonfiguration gängig: IP-Adressen von Netzwerkgeräten, Subnetzmasken und Routing-Regeln, die festlegen, welche Geräte sich mit welchen anderen Geräten verbinden dürfen, weisen Administratoren dafür manuell zu. Dabei müssen sie beachten, dass sie IP-Adressen nicht mehrfach vergeben und die Konfiguration und alle Änderungen vollständig dokumentieren.
Nun muss man sich diese Vorgehensweise für Netzwerke vorstellen, in denen die Zahl der vernetzten Dinge die Zahl der Mitarbeiter um ein Vielfaches übertrifft und fünfstellige Zahlen erreicht. Der Aufwand in der Netzwerkverwaltung bliebe vielleicht noch auf einem überschaubaren Niveau, wenn man wenigstens von einer homogenen Gerätelandschaft ausgeht.
Die Realität sieht jedoch in vielen Unternehmen anders aus: Es herrscht eine heterogene Vielfalt an Geräten und Gerätegenerationen vor, die ihre unterschiedlichen Tücken haben. Um nur ein Beispiel zu nennen: Der Administrator muss sicherstellen, dass keines der verbundenen Geräte sich eigenmächtig über eine dynamische IP-Adresse im Netzwerk anmeldet, da dies die vorgegebenen Regeln für den Netzwerkverkehr außer Kraft setzen würde. Sofern vorhanden, muss der IT-Verantwortliche DHCP-Clients auf den einzelnen Geräten also deaktivieren oder deinstallieren. Außerdem können ihm veraltete Betriebssysteme, bekannte Backdoors in der Software oder das Support-Ende für ein Produkt Kopfschmerzen bereiten.
Jedes einzelne Gerät stellt ein potenzielles Einfallstor für Cyberbedrohungen ins Unternehmensnetzwerk dar. Entsprechend muss der Administrator bewerten, ob ein Upgrade sinnvoll ist, geeignete Patches verfügbar sind und diese auch einspielen. Für den Fall, dass ein Gerät bei diesem Vorgang ein neues Zertifikat erhält, gilt es außerdem, die IP-Konfiguration entsprechend zu aktualisieren.
Overlay Network schafft sichere Kommunikation
Es überrascht angesichts dieses Verwaltungsaufwands wenig, dass sich IT-Abteilungen bei dem Versuch, IoT-Netzwerke abzusichern, fühlen, als ob sie ein Kamel durch ein Nadelöhr befördern müssten. Der hierarchische Ansatz, Datenverkehr in einem segmentierten, statisch konfigurierten Netzwerk zentral zu sichern und zu verwalten, erfordert in Industrie-4.0-Szenarien viel zu viel Ressourcen und kommt schnell an seine Grenzen.
Es mutet paradox an: Industrie 4.0 strebt effizientere Abläufe an, doch durch die hohen Anforderungen an die Daten- und Gerätesicherheit gestalten sich betriebliche Prozesse oft um ein Vielfaches komplexer und aufwendiger.
Einen alternativen Ansatz, der diesen Widerspruch auflösen soll, stellen Overlay Networks dar. Diese Technik ist bereits aus den Anfängen des Internets bekannt und wird seit Jahrzehnten im militärischen Bereich genutzt, wenn es darum geht, schnell hochsichere Kommunikationswege zu schaffen. Das Overlay Network ist wie ein Netzwerk im Netzwerk. Es nutzt die zugrunde liegende Infrastruktur, sorgt aber für sichere, verschlüsselte Kommunikationswege und schirmt die Endgeräte ab - sowohl vor unbefugtem Zugriff als auch vom illegitimen Senden von Daten. Im Gegensatz zu VPNs oder Firewalls geschieht dies hardwarebasiert oder virtualisiert und ohne Konfigurationsaufwand bei den bestehenden Netzen.
Ein Overlay Network erschafft eine zusätzliche, sichere Ebene über dem existierenden Netzwerk, das über logische und virtuelle Verbindungen mit der darunter liegenden IP-Infrastruktur verbunden ist. Allen IP-fähigen Geräten im Netzwerk, wie zum Beispiel Industriekühlschränken, Sensoren, Geldautomaten oder Windrädern, wird im Overlay Network eine eigene kryptografische Identität zugewiesen.
Einrichtung per "bump in the wire"
Eingerichtet wird das Overlay Network über eine Hardware oder eine virtuelle Appliance, die vor ein einzelnes Endgerät oder eine Gruppe von Endgeräten in die Kabelverbindung eingebaut wird ("bump in the wire"). Einfach ausgedrückt: Die Hardware erhält ein Netzwerkkabel in Richtung Switch und eines in Richtung Endgerät. Die Hardware fungiert als eine Bridge und wird dem PLC (Programmable Logic Controller) vorgeschaltet.
Bei einem Energieunternehmen mit fünf Windenergiepark-Anlagen an unterschiedlichen Standorten könnte der IT-Verantwortliche je nach Bedarf jede Anlage, jedes Windrad oder jeder Sensor einzeln mit einer entsprechenden Bridge versehen.Diese Bridge regelt dann den sicheren Datenaustausch über OSI Layer 2 und Layer 4 und verschlüsselt den Ende-zu-Ende-Datenverkehr im Overlay Network.
Die einzelnen Geräte bilden die Knoten, die über ein DKX-Heartbeat-Protokoll permanent miteinander in Verbindung stehen. Kommt es zu einem Netzwerkausfall, operieren die Knoten in einem isolierten Modus und nehmen nach Wiederherstellung ohne ein manuelles Eingreifen selbständig den Betrieb wieder auf. Alle mit den Knoten verbundenen Geräte des IP-Netzwerks bleiben unterdessen vor einem Zugriff geschützt.
Das Overlay Network stellt somit eine von den Gegebenheiten des IP-Netzwerks logisch getrennte Schicht dar, die keine zentrale Server-Struktur benötigt. Es lässt sich daher ohne Eingriff in die zugrunde liegende Infrastruktur und ohne Anpassung der Firewalls einrichten und eignet sich auch für Mesh-Netzwerke. Die statische Konfiguration von IP-Adressen, Subnetzmasken und die Einrichtung von Routing-Regeln auf Netzwerkebene entfallen. Zugleich ist es möglich, innerhalb des Overlay Network zu segmentieren, also die Kommunikation der verbundenen Geräte in den einzelnen Knoten auf die notwendigen Verbindungswege zu beschränken. Die Verwaltung erfolgt dabei zentral über eine Management-Oberfläche.
Kein Ersatz für klassische Netzwerktechnik
Overlay Netzworks können allerdings klassische Netzwerktechnologie nicht ersetzen. Beispielsweise sind sie für den Einsatz bei nur wenigen mobilen IoT-Devices oder sehr kleinen, kostengünstigen Embedded-Technologien nur bedingt von Nutzen, da die Kosten für die Bridges von rund 500 Euro pro Stück in keinem Verhältnis zu den Kosten der geschützten Geräte stehen. Für die neuen Herausforderungen, die komplexe IoT- und OT-Netze mit sich bringen, sind sie hingegen ein sinnvolles Add-on zur klassischen Technik. So finden Overlay Networks durch ihre Fähigkeiten, Kommunikationswege verlässlich abzusichern, indem man ein Stück Hardware vor den Endgeräten platziert, in unzähligen Industrie-4.0-Szenarien ein neues Einsatzfeld.
Lesen Sie mehr zum Thema
