Diode versus Air Gaps, Firewalls und Glasfaserdioden

Die Cyber-Diode ist komfortabler als Air Gaps, sicherer als Firewalls und zuverlässiger als Glasfaserdioden. Dieser Sachverhalt erklärt sich wie folgt:

Ein Air Gap ist der sprichwörtliche Lufttrenner, wodurch eine Datenverbindung per se ausgeschlossen ist. Allerdings findet bei Industrie-4.0-Szenarien zwangsläufig eine Kommunikation zwischen IT- und OT-Netzen statt. Tritt nun der Fall ein, dass ein Mitarbeiter an einer Maschine einen USB-Stick einsteckt, erhöht sich das Sicherheitsrisiko, da USB-Sticks bekanntlich Schadcode transportieren können. Die Cyber-Diode erlaubt es, solche Air Gaps nachträglich sicher zu vernetzen, also dort zu kommunizieren, wo bislang keine Kommunikation möglich war. Das Sicherheitsniveau ist dabei vergleichbar mit dem einer Glasfaserdiode, da ein Datenfluss in die Gegenrichtung ausgeschlossen ist.

Eine Alternative sind Firewalls, die nur in eine Richtung konfiguriert werden können. Es wird ein Regelsatz aufgespielt, der pass in die eine Richtung erlaubt sowie block für die Gegenrichtung sichert. Grundsätzlich ist diese Lösung vorstellbar. Kaum eine Firewall verfügt jedoch über nur einen Regelsatz, stattdessen ist ihr Komplexitätsgrad hoch.

Die Erfahrung zeigt, dass aufgrund der hohen Komplexität Regelsätze versehentlich abgeändert werden. Zudem kommt es vor, dass Regelsätze bereits mehrere Jahre alt sind. Es wird nicht empfohlen, dort sicherheitskritische Netzwerksegmente neu anzuschließen – zumindest erfordert es ausgeprägten Sachverstand. Ansonsten kann es passieren, dass die Einwegfunktion der Firewall versehentlich oder aus Unwissenheit deaktiviert wird. Derlei Risiken sind bei der Cyber-Diode per Definition ausgeschlossen.

Um die Zuverlässigkeit des Datentransfers weiter zu erhöhen, sendet die Diode nach vollständigem Empfang der Datenpakete ein einzelnes Bestätigungsbit zurück. Somit wird ein paralleler Kanal für die Vollständigkeitsprüfung des Datentransfers obsolet. Glasfaserdioden können diese Funktion nicht nachbilden, da sie über einen Null-Rückkanal verfügen: Es fließen keine Information zurück. Parallel muss abgefragt werden, ob alle Datenpakete angekommen sind.

Mögliche Einsatzszenarien

Mögliche Anwendungsbereiche für die Datendiode stellen beispielsweise das Anlagenmonitoring, Predictive Maintenance oder Analytics-Aufgaben in der Industrie dar. Ein typisches Szenario zeigt Bild 3: In der Mitte befindet sich die Cyber-Diode, links davon die sendenden Geräte, in diesem Szenario die OPC-UA-Server in Maschinen, die Maschinendaten aufnehmen und an die Datendiode weiterleiten. Dort werden sie per One Way nach außen gesendet und, optional per IPSec-VPN, an den OPC-UA-Client übertragen. Dieser kann sich an vielerlei Orten befinden: als On-Premise-System im Gebäude oder als Cloudinfrastruktur, als virtualisiertes System oder physikalische Hardware. In der Wahl seiner Zieladresse ist der Anwender relativ frei.

Bild 4 zeigt ein beispielhaftes Einsatzszenario in der Prozessindustrie: Über die Diode werden Daten in das ERP-System übertragen, risikolos und ohne Angriffsmöglichkeit auf die Anlage auf diesem Kanal. Sollte zum Beispiel ein Fernzugriff auf ein System der Anlage notwendig werden, kann dieser auf einem weiteren, dediziert dafür vorgesehenen Kanal kontrolliert umgesetzt werden.

Ein weiterer interessanter Use Cases ist NOA. Die Interessengemeinschaft Automatisierungstechnik der Prozessindustrie, kurz Namur, ist ein Verband, der sich mit der Optimierung von Prozessindustrieanlagen beschäftigt und Empfehlungen ausspricht. Die Namur Open Architecture (NOA) hat das Ziel, Produktionsdaten einfach und sicher für die Anlagen- und Geräteüberwachung sowie Optimierungen nutzbar zu machen. Für die sichere Datenübertragung von der Core Process Control (CPC) an eine anlagenspezifische Monitoring-and-Optimization-Leitebene ist die Cyber-Diode prädestiniert. Eine herkömmliche Integration zum Beispiel mit einer Firewall erfüllt die Anforderungen an Rückwirkungsfreiheit, Wartbarkeit und den Kostenrahmen hingegen nicht zuverlässig. Auch bei einer Datenrückführung aus der Leitebene, zum Beispiel für die Optimierung von Regelungssollwerten, kann, bevor der Request geprüft wird, eine Cyber-Diode stehen. An dieser Stelle dient sie dazu, eine Rückwirkung aus der Prozesskontrolle auf die CPC auszuschließen.

Fazit

Mit der Cyber-Diode steht eine industrielle Software-Datendiode zur Verfügung, die auf einem zugelassenen Produkt basiert. Die hochsichere Diode bietet eine herstellerunabhängige Alternative für die Optimierung der Kommunikation von Maschinen und Anlagen. Mit der Datendiode wird eine konfigurierte, verlässliche Kommunikationsverbindung geschaffen, die einen definierten, festen Verbindungskanal mit einem hohen Durchsatz etabliert, der keine Rückwirkung zulässt. Sie ist somit nicht angreifbar. Es kann kein Schadcode übertragen werden, kein ungewollter Einblick in ein sensibles Anlagensegment erfolgen und kein Ausspähen stattfinden. Die Lösung adressiert gleichermaßen Kritis und die Automatisierungsindustrie. In ihrer neuesten Version unterstützt sie für den Datentransfer OPC UA mit IPSec-Verschlüsselung und bietet dank Security by Design und einem minimalistischen, gehärteten Betriebssystem hochsichere unidirektionale One-Way-Datenkommunikation. Weitere Protokolle, die unterstützt werden, sind aktuell FTP, SMTP, TCP, UDP sowie Syslog. 

Literatur

1. Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn: www.bsi.bund.de
2. Genua GmbH, Kirchheim.