Segmentierung von Netzwerken

Der Angreifer wird auf eine einzige Zone eingegrenzt.
Bild 02: Der Angreifer wird auf eine einzige Zone eingegrenzt. (Quelle: Belden, Grafik: OA)
Prof. Tobias Heer
Bild 03: Prof. Tobias Heer ist Senior Architect für Netzwerksicherheit bei Hirschmann Automation and Control/Belden. (Quelle: Belden)

Doch dann traten Globalisierung, Industrie 4.0, weltweite Vernetzung und mehr auf den Plan. Seitdem hat sich die Zahl der schwerwiegenden Sicherheitsvorfälle bei großen Firmen, mit Schäden in den mehrstelligen Millionenbereich hinein, rasant erhöht. In vielen der dokumentierten Fälle konnten sich automatisierte Schadsoftware sowie gezielt vorgehende Angreifer aufgrund einer fehlenden Aufteilung und Abschottung der Netzwerke dort ungehindert bewegen und so zahlreiche angreifbare Systeme für weitere Attacken oder für die Sabotage und Störung der Fertigung nutzen. „Aus diesem Grund empfehlen wir im ersten Schritt die Segmentierung und die Verbesserung des Schutzes der Netzwerkinfrastruktur“, sagt Prof. T. Heer. Sowohl eine gute Trennung von IT- und OT-Netzwerk als auch eine Trennung von funktional unabhängigen Teilen des OT-Netzwerks sollte heute aus seiner Sicht in jedem moder- nen Industrienetzwerk vorhanden sein.

Die Segmentierung von Netzwerken wird durch das Prinzip der Zonen und Zonenüber- gänge erreicht. Hierzu werden funktional ­unabhängige­ Zonen­ im­ Netzwerk­ definiert,­ die überwiegend autark arbeiten können. Zwischen­ den­ Zonen­ werden­ Paketfilter,­ zum Beispiel Firewalls oder Gateways, installiert, die den Netzwerkverkehr, der trotzdem­ über­ die­ Zonengrenzen­ hinaus­ fließen muss, begrenzen und überwachen. „In einem gut segmentierten Industrienetzwerk gibt es nicht nur eine Firewall zwischen OT- und IT-Netzwerk, sondern zahlreiche Firewalls zwischen den einzelnen Anlagenteilen und Maschinen. Sogenannte Soft Targets – alte netzwerkfähige Geräte, die keine aktuellen Patches mehr erhalten können bzw. nicht über ausreichende Sicherheits-Features verfügen – werden zusätzlich durch ­Paketfilter­ wie­ kleine­ Firewalls­ vom­ Netzwerk­ isoliert,­ um­ ihre­ große ­Angriffsfläche­ vor­ einem­ Angreifer­ verborgen­ zu­ halten“,­ informiert er weiter.

Eine Unterteilung in Zonen erschwert es einem Angreifer, der bereits erfolgreich ins Netzwerk eingedrungen ist, sich dort ungehindert zu bewegen. Automatisch agierende Malwarekann die Firewalls an den Zonengrenzen meist nicht überwinden und ist so auf die Geräte innerhalb der betroffenen Zone begrenzt. „In der Regel versucht ein Angreifer, sich durch das Netzwerk zu bewegen (engl. Lateral Movement), um neue Rechner zu übernehmen. Dafür ist er auf Geräte mit Schwachstellen oder­ unzureichenden­ Konfigurationen­ angewiesen“, weiß Prof. T. Heer. Die Unterteilung in Zonen verringert die Auswahl an verwundbaren Geräten und schränkt den Angriff damit ein. Große Teile der Anlage bleiben nach dem Angriff funktionsbereit, da sie unabhängig von den attackierten Systemen sind. Auch die Aufräumarbeiten nach einem Angriff werden durch eine klare und effektive Zonenbildung vereinfacht. „Je weniger Systeme ein Angreifer erreichen konnte, desto weniger forensische Aufgaben und Wiederherstellungsarbeiten fallen an“, sagt der Experte.

2 / 7

Ähnliche Beiträge