Segmentierung von Netzwerken
Doch dann traten Globalisierung, Industrie 4.0, weltweite Vernetzung und mehr auf den Plan. Seitdem hat sich die Zahl der schwerwiegenden Sicherheitsvorfälle bei großen Firmen, mit Schäden in den mehrstelligen Millionenbereich hinein, rasant erhöht. In vielen der dokumentierten Fälle konnten sich automatisierte Schadsoftware sowie gezielt vorgehende Angreifer aufgrund einer fehlenden Aufteilung und Abschottung der Netzwerke dort ungehindert bewegen und so zahlreiche angreifbare Systeme für weitere Attacken oder für die Sabotage und Störung der Fertigung nutzen. „Aus diesem Grund empfehlen wir im ersten Schritt die Segmentierung und die Verbesserung des Schutzes der Netzwerkinfrastruktur“, sagt Prof. T. Heer. Sowohl eine gute Trennung von IT- und OT-Netzwerk als auch eine Trennung von funktional unabhängigen Teilen des OT-Netzwerks sollte heute aus seiner Sicht in jedem moder- nen Industrienetzwerk vorhanden sein.
Die Segmentierung von Netzwerken wird durch das Prinzip der Zonen und Zonenüber- gänge erreicht. Hierzu werden funktional unabhängige Zonen im Netzwerk definiert, die überwiegend autark arbeiten können. Zwischen den Zonen werden Paketfilter, zum Beispiel Firewalls oder Gateways, installiert, die den Netzwerkverkehr, der trotzdem über die Zonengrenzen hinaus fließen muss, begrenzen und überwachen. „In einem gut segmentierten Industrienetzwerk gibt es nicht nur eine Firewall zwischen OT- und IT-Netzwerk, sondern zahlreiche Firewalls zwischen den einzelnen Anlagenteilen und Maschinen. Sogenannte Soft Targets – alte netzwerkfähige Geräte, die keine aktuellen Patches mehr erhalten können bzw. nicht über ausreichende Sicherheits-Features verfügen – werden zusätzlich durch Paketfilter wie kleine Firewalls vom Netzwerk isoliert, um ihre große Angriffsfläche vor einem Angreifer verborgen zu halten“, informiert er weiter.
Eine Unterteilung in Zonen erschwert es einem Angreifer, der bereits erfolgreich ins Netzwerk eingedrungen ist, sich dort ungehindert zu bewegen. Automatisch agierende Malwarekann die Firewalls an den Zonengrenzen meist nicht überwinden und ist so auf die Geräte innerhalb der betroffenen Zone begrenzt. „In der Regel versucht ein Angreifer, sich durch das Netzwerk zu bewegen (engl. Lateral Movement), um neue Rechner zu übernehmen. Dafür ist er auf Geräte mit Schwachstellen oder unzureichenden Konfigurationen angewiesen“, weiß Prof. T. Heer. Die Unterteilung in Zonen verringert die Auswahl an verwundbaren Geräten und schränkt den Angriff damit ein. Große Teile der Anlage bleiben nach dem Angriff funktionsbereit, da sie unabhängig von den attackierten Systemen sind. Auch die Aufräumarbeiten nach einem Angriff werden durch eine klare und effektive Zonenbildung vereinfacht. „Je weniger Systeme ein Angreifer erreichen konnte, desto weniger forensische Aufgaben und Wiederherstellungsarbeiten fallen an“, sagt der Experte.