Vergleichbare Herausforderungen für Industrie und Kritis
Bild 02: Schematische Darstellung des Aufbaus der Cyber-Diode (Quelle: Genua; Grafik: etz)
Vor diesem Hintergrund ist nachvollziehbar, wie wichtig ausgereifte IT-Security-Lösungen auch für Industrie und Kritis sind. Grundsätzlich müssen dort eine hohe Verfügbarkeit, Auslastung sowie die Produktionsgeschwindigkeit der Anlagen sichergestellt werden. Mit Blick auf die Vernetzung sind die Prämissen von Industrie und Kritis sehr ähnlich, jedoch unterschiedlich gewichtet. Soll über die Schnittstellen der Netzsegmente kommuniziert werden, müssen diese erstklassig gesichert sein. Das bedeutet konkret, der Sender der Daten muss vor möglichst jeder Rückwirkung geschützt sein, die über den Kommunikationskanal entstehen kann. Die hohe Verfügbarkeit der Anlage ist zu erhalten, ebenso die Integrität der Daten. Datenintegrität bedeutet, dass Daten, die gesendet werden, zum Beispiel Steuerungscode, nicht manipulierbar sein dürfen. Ferner ist die Vertraulichkeit zu gewährleisten. Datenlecks sind auszuschließen und die sensiblen Anlagensegmente zu schützen. Sie dürfen nur soweit notwendig und für ausgewählte Personen zugänglich sein, um keinen Datenabfluss zu riskieren.
Die Herausforderung: Security ist in Industrieanlagen schwer nachzurüsten beziehungsweise on top zu gewährleisten. Deshalb sollte sie bereits beim Grundaufbau von Netzwerken berücksichtigt werden. Betreiber sind zudem häufig an existierende, proprietäre und oft kostspielige Lösungen gebunden. Sie unterliegen einem hohen Abhängigkeitsgrad und sind in der Flexibilität beim Ausbau ihrer Netze und der Optimierung ihrer Kommunikation eingeschränkt. Die Gretchenfrage lautet also: Ist es möglich, unabhängig vom Maschinenhersteller die Effizienz von Anlagen durch Vernetzung zu optimieren, ohne ihre Verfügbarkeit und Integrität zu gefährden?
Eine hochsichere Datendiode für die Industrie
Eine Antwort auf diese Frage liefert Genua [2] mit seiner industriellen Software-Datendiode Cyber-Diode (Bild 1). Sie basiert auf der Genua-VS-Diode, einem zugelassenen Produkt aus dem Geheimschutz. Das Cyber-Security-Unternehmen Genua ist Teil der Bundesdruckerei und auf den Schutz von Netzwerken, Kommunikation und interne Netzwerksicherheit für IT und OT spezialisiert. Gemäß des Security-by-Design-Ansatzes haben die Experten bereits in der Konzeptionsphase der Cyber-Diode essenzielle Security-Aspekte berücksichtigt. Für den sicheren Datentransport im industriellen Umfeld unterstützt sie die OPC-UAKommunikation. Darüber hinaus ermöglicht sie einen sicheren Datenversand an Client-Applikationen über IPSec-VPN-Verschlüsselung. So lassen sich Daten hochsicher an ein beliebiges Ziel in der Cloud oder einen anderen Standort übertragen.
Ein Blick in das Innere der Diode
Die Cyber-Diode ist in mehrere Compartments unterteilt (Bild 2). Das schwarze Compartment stellt den Versender dar, im Fall von OPC UA den Client. In der Mitte befindet sich der One Way Task, der die Einwegfunktion abbildet. Das rote Compartment entspricht der empfangenden, VPN-ready Seite. Sie leitet den Datentransfer über ein Netzwerk-Interface (NIC) nach außen, zum Beispiel um die Datenpakete via VPN gesichert an das Zielsystem zu senden. Ergänzend verfügt die Diode über ein Update-Compartment, das es erlaubt, neue Funktionalitäten oder System-Updates einzuspielen. Über Netzwerke ist dies nicht möglich. Diese restriktive Update-Funktionalität ist eine gewollte Sicherheitsbarriere. Updates lassen sich nur auf das Device selbst aufspielen, damit über Netzwerkeinstellungen keine Änderungen an der Grundkonfiguration vorgenommen werden können.
Das Software-Herzstück der Diode bilden ein minimalistisches, gehärtetes Open-BSD-Betriebssystem und ein ebenfalls minimalistischer Mikrokernel mit nur wenigen Zeilen Code. Einfallstore und Angriffsvektoren reduzieren sich damit erheblich. Eine solche Architektur ist schwer anzugreifen: Selbst im Fall einer Schwachstelle im Betriebssystem hätte dies keinen Einfluss auf die One-Way-Funktionalität der Diode. Der Mikrokernel ist mittels Secure Boot zusätzlich vor Manipulation geschützt. Es lässt sich nur die von Genua vorgesehene Software auf der Datendiode starten.