Abwehr von Stuxnet-Angriffen durch Sicherheitszone für die Produktionsabteilung

GeNUA Fernwartungs-Appliance „GeNUBox“ verhindert einseitige Zugriffe von außen

[datensicherheit.de, 18.10.2010] Viele Industrieunternehmen haben ihre Anlagen vollständig automatisiert und vernetzt, um effizient produzieren zu können – häufig ohne für ausreichende IT-Sicherheit bei den verbundenen Systemen zu sorgen. Jetzt kommt der Schadcode Stuxnet und nistet sich massenhaft in den Steuerungssystemen für die Simatic S7 ein. Auch wenn nach den bisherigen Erkenntnissen „Stuxnet“ das Werk eines Spezialisten-Teams ist, zeigt gerade die wohl ungewollte, schnelle Verbreitung dieses Codes, wie anfällig Industrieanlagen in der ganzen Welt gegen Cracker-Angriffe sind:
Experten befürchten, dass es schnell Nachahmer geben wird – von Kriminellen über Terroristen bis hin zu Freizeit-Hackern. Mit vollständig automatisierten Produktionsanlagen steigern Unternehmen einerseits zwar ihre Wettbewerbsfähigkeit, gehen aber andererseits gleichzeitig neue Risiken ein. Denn über die Netze, die zur komfortablen Maschinensteuerung dienen, kann auch Schadcode eingeschleust und im gesamten Produktionsbereich verbreitet werden. Industrieunternehmen müssen deshalb die IT-Sicherheit im Produktionsbereich verbessern!
Eine grundlegende Maßnahme ist die Schaffung einer eigenen Sicherheitszone für die Systeme der Produktionsabteilung. Diese wird mit internen Firewalls von anderen Bereichen des lokalen Firmennetzes abgetrennt, so dass nur die Steuerungs-Software WinCC auf die S7-Anlagen zugreifen kann. Denn weder die Buchhaltung, der Vertrieb noch die Personalabteilung müssen auf die Systeme der Produktionsabteilung zugreifen können – sie sind aber mit ihren zahlreichen PC-Anwendern und Außenkontakten gut erreichbare Angriffsziele für Cracker.
Aber nicht alle Verbindungen in die Sicherheitszone der Produktions-Server können gekappt werden. Denn viele Industrieunternehmen lassen ihre zahlreichen Maschinenanlagen von den Herstellerfirmen via Fernzugriff betreuen, um den störungsfreien Betrieb sicherzustellen. Dafür müssen die Hersteller via Internet auf die Steuerungssysteme der Anlagen zugreifen können. Zur Fernwartung von Maschinenanlagen in sensiblen Produktionsbereichen bietet z.B. das deutsche IT-Sicherheitsunternehmen GeNUA eine Lösung, in dessen Mittelpunkt ein „Rendezvous-Server“ steht. Es werden keine einseitigen Wartungszugriffe von Herstellern in das Netz des Industrieunternehmens zugelassen, stattdessen kommt es dem Hersteller mit einer Verbindung von innen aus dem Produktionsbereich entgegen. Erst wenn es auf dieser zentralen Wartungsplattform zum „Rendezvous“ kommt, kann der Hersteller die jetzt durchgängige Verbindung zum Zugriff auf die betreute Anlage nutzen.

© GeNUA

Fernwartungs-Appliance GeNUBox

Weitere Informationen zum Thema:

datensicherheit.de, 03.10.2010
ENISA-Chef Dr. Udo Helmbrecht: Stuxnet stellt Paradigmenwechsel dar / Jüngste Attacke sei als „first strike“ gegen kritische Informationsinfrastruktur zu werten