Startseite » Chemie » Sicherheit (Chemie) »

Netzwerkmanagement in einer komplexen Infrastruktur

Mehr Transparenz schaffen
Netzwerkmanagement in einer komplexen Infrastruktur

Kommunikationsprobleme, Leistungsverluste oder gar größere Netzwerkausfälle stellen stets einen Kostentreiber dar. Derartige Risiken steigen, je komplexer die Infrastrukturen werden, die sich zudem noch aus unterschiedlichen Komponenten verschiedener Hersteller zusammensetzen. Wie lässt sich also mehr Transparenz schaffen, um eine hohe Verfügbarkeit des Netzwerks sicherzustellen?

Die Arbeitswelt und deren Bedingungen, das Verhalten der Menschen – vieles hat sich grundlegend geändert. Zahlreiche Unternehmen und Personen haben neue Möglichkeiten der Kommunikation für sich entdeckt. Von dieser Entwicklung sind auch die industriellen Komponenten und Systeme betroffen. Das bedeutet auch, dass die Erbringung von Dienstleistungen direkt vor Ort – zum Beispiel an einer Anlage oder einem System – nicht mehr ohne Weiteres umsetzbar ist. Natürlich stehen weiterhin Stabilität, Leistungsfähigkeit und Verfügbarkeit des jeweiligen Systems im Vordergrund. Umso wichtiger ist es, ein Netzwerkmanagement zu haben, das dem Anwender einen Überblick über seine Infrastrukturen gibt und deren aktuellen Status anzeigt.

Durch die Überlastung des Datennetzes aufgrund einer Vielzahl gezielter Anfragen können Denial-of-Service-Attacken einzelne Komponenten oder sogar ganze Systeme lahmlegen. Ransomware-Angriffe, die Komponenten und Systeme kompromittieren, sie inhaltlich verändern oder durch Verschlüsselung komplett außer Funktion setzen, sind keine Seltenheit. Sie fokussieren sich nicht mehr nur auf die klassische IT, sondern zunehmend auf industrielle Systeme. Selbst Fehlfunktionen und -konfigurationen von Geräten können die Stabilität und Leistungsfähigkeit des Netzwerks aus dem Gleichgewicht bringen. So blockiert ein Teilnehmer etwa ganze Bereiche des Netzwerks, weil er dauerhaft Pakete an den falschen Empfänger sendet. Der Grund dafür erweist sich als marginal: eine doppelt vergebene IP-Adresse. Oder die Probleme resultieren aus dem Zeitserver, der allen Echtzeitsystemen die genaue Uhrzeit zur Verfügung stellt, wobei diese nicht bei den Empfängern ankommt, die deshalb nicht synchron arbeiten können.

Ausgewählte Kommunikationskanäle

Neben den beschriebenen Schadhandlungen verlangt die Datenschutz-Grundverordnung ebenfalls, dass auf die Transparenz der Daten geachtet werden muss. Denn neben technischen, unpersönlichen Informationen fallen auch personenbezogene Daten an. So umfasst beispielsweise eine IP-Adresse bereits einen Personen- oder Unternehmensbezug. Maschinendaten enthalten oft Kennnummern, Standortdaten oder andere eindeutige Merkmale, die sich auf Personen – etwa den Maschinenführer – beziehen lassen.

Die sich immer weiter verbreitende industrielle Norm für Cybersicherheit IEC 62443 greift das Thema Transparenz in ihrer Beschreibung der Zones and Conduits ebenso auf, indem sie eine logische oder physikalische Trennung auf der Netzwerkebene einführt. Trotz des Schutzes und der Separierung der unterschiedlichen Anlagen muss jedoch größtenteils weiterhin eine Verbindung zwischen ihnen sichergestellt sein, um einen Datenaustausch zwischen ihren Komponenten zu ermöglichen. Dabei darf es lediglich ausgewählte Kommunikationskanäle geben, die abgesichert und folglich kontrolliert werden können. Als sinnvoll erweist sich der Einsatz von Firewalls und Routern, die das Netzwerk gleichzeitig segmentieren, schützen und überprüfen. Die Security Appliances FL mGuard von Phoenix Contact zeichnen sich hier durch vielfältige Anwendungsoptionen aus.

Asset-Management-Systeme

Damit ein Netzwerk wirkungsvoll abgesichert werden kann, muss der Betreiber zuerst wissen, welche Teilnehmer dort vorhanden sein sollen und wer davon tatsächlich an der Kommunikation teilnimmt. Wenn überhaupt, dann arbeiten viele Unternehmen händisch mit Exceltabellen. Allerdings stellen sich derartige Tabellen als statisch heraus. Sinnvoller ist die Verwendung von Asset-
Management-Systemen. Sie lassen sich ebenfalls mit Daten füllen, erstellen bestenfalls aufgrund einer passiven oder teilweise sogar aktiven Analyse der Netzwerkteilnehmer eine Übersicht und erkennen überdies Details der einzelnen Teilnehmer wie Betriebssystem, Firmware oder Status.

Solche Tools sind häufig mit einer Schwachstellendatenbank verbunden und können sofort auf Gefahren – etwa eine veraltete Firmware mit Sicherheitslücken – hinweisen.
Sofern Komponenten Schnittstellen zur Verfügung stellen, wie dies bei einem managebaren Netzwerkswitch der Fall ist, lässt sich an den Ports bestimmen, welche Teilnehmer an den Switch angeschlossen sind. Sollte sich darunter ein unautorisiertes Gerät befinden, kann der entsprechende Port gegebenenfalls deaktiviert werden. Mit einem solchen Asset-Management-System sind zahlreiche weitere Funktionen umsetzbar. Wie die Bezeichnung bereits impliziert, verwaltet das Tool die Assets – und das durchaus vollumfänglich inklusive einer visuellen Darstellung der gesamten Netzwerkinfrastruktur.

Echtzeitvisualisierung

Nachdem das Netzwerk durch Router segmentiert worden ist, Firewalls den Verkehr kontrollieren und die Nutzung eines Asset-Management-Systems einen genauen Überblick über die Teilnehmer gibt, stellt die Analyse des Inhalts des Datenverkehrs den letzten Baustein im Hinblick auf eine umfassende Transparenz dar. Unter dem Begriff Anomalie sind Ereignisse zu verstehen, die so normalerweise nicht vorkommen sollten, also Unregelmäßigkeiten. Häufig wird mit der Bezeichnung etwas Negatives, zum Beispiel der Angriff eines Hackers oder eine sich verbreitende Ransomware verbunden. Das muss nicht der Fall sein, denn eine Fehlfunktion oder -konfiguration bedeutet ebenfalls eine Abweichung vom Normalzustand.

Die Software zur Anomalieerkennung greift den Verkehr über im Netzwerk installierte Sensoren ab und untersucht ihn bis zum wirklichen Datenstrom, der sogenannten Payload. An sich wird ermittelt, ob das verwendete Protokoll den Spezifikationen entspricht, folglich beispielsweise, ob in einem Modbus-Paket auch Modbus übertragen wird. Diese Prüfung funktioniert ebenso mit vielen anderen Industrie- sowie klassischen IT-Protokollen. Am Beispiel des Modbus-Pakets kann etwa als Anomalie gelten, dass eine Servicestation stets einen Lesebefehl an eine Steuerung weiterleitet. Plötzlich erfolgt die Übertragung eines Schreibbefehls, was eine Anomalie darstellt, die das System erkennt. Ein solcher Befehl kann gewollt sein, unter Umständen allerdings von einer auf IACS-Komponenten (Industrial Automation and Control System) ausgerichteten Schadsoftware kommen, die ihr Unwesen treibt.

Durch die Analyse des Datenverkehrs lernt das System darüber hinaus, wer überhaupt mit wem Daten austauscht, und kann daraus eine umfassende Echtzeitvisualisierung des kommunizierenden Netzwerks erstellen. In diesem Zusammenhang lassen sich ebenfalls beim Asset-Management-System Schwachstellen in Komponenten und Protokollen mit vorhandenen Datenbanken abgleichen und Handlungsempfehlungen geben – ein kleines, eher passives Asset-Management.

Transparenz schafft Sicherheit

Bei zunehmender Komplexität der Netze erweist sich Transparenz als immer wichtiger. Dabei ist es elementar zu wissen, welche Teilnehmer und wie sie im Netzwerk aktiv sind. Bei allen Lösungen ist die Herausforderung, den tatsächlichen Soll- respektive Nullzustand zu definieren. Der Betreiber muss sicher sein, dass sich kein ungewollter Teilnehmer im Netzwerk befindet sowie sämtliche Komponenten richtig konfiguriert sind. Außerdem ist festzulegen, ab welcher Abweichung es sich um eine Anomalie handelt und Alarme generiert werden. Ein Szenario wäre nämlich fatal: Aufgrund einer Flut von angezeigten Anomalien werden diese nicht ernst genommen und ignoriert.

Phoenix Contact GmbH & Co. KG, Blomberg


Autor: Thorsten Vogel

Director ICS Security Services & Solutions, Phoenix Contact
Cyber Security

Newsletter

Jetzt unseren Newsletter abonnieren

cav-Produktreport

Für Sie zusammengestellt

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Top-Thema: Instandhaltung 4.0

Lösungen für Chemie, Pharma und Food

Pharma-Lexikon

Online Lexikon für Pharma-Technologie

Prozesstechnik-Videos

Hier finden Sie alle aktuellen Videos

phpro-Expertenmeinung

Pharma-Experten geben Auskunft

Prozesstechnik-Kalender

Alle Termine auf einen Blick

Anzeige

Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de