Manchmal muss ein Zugang zum GA-Netzwerk von anderen Netzwerken oder umgekehrt möglich sein. In einem solchen Szenario ist der nichtautorisierte Zugang das höchste IT-Sicherheitsrisiko. So kann ein Angreifer z.B. einen korrupten Computer im Büronetzwerk des Kunden für den Angriff auf die Geräte im GA-Netzwerk verwenden.

Port-Scanning und Eindringversuche

Eindringlinge verwenden dazu typischerweise eine Port-Scanning-Software zum Durchsuchen von IP-Adressbereichen auf offene Kommunikations-Ports. Diese Software erzeugt einen Bericht, der zur weiteren Untersuchung der offenen Ports genutzt wird.

Schutz mittels Firewall

Um ein GA- oder Kundennetzwerk zu schützen, muss jedes Netzwerk mittels Firewall geschützt werden. Eine Firewall ist ein Gerät oder eine Software, welche den Datenverkehr gemäss vorkonfigurierten Regeln filtern. Normalerweise enthält der Managed-Switch oder Router die Firewall-Funktionalität.

Anweisungen zur Konfiguration der Firewall übersteigen den Geltungsbereich dieses Dokuments. Die Regeln werden fallweise zusammen mit der IT-Abteilung der Kunden erarbeitet.

Allow-list

Die Firewall-Konfiguration sollte die Allow-Liste verwenden, d.h. sämtlicher Datenverkehr wird standardmässig geblockt und nur explizit zulässiger Verkehr ist erlaubt. Jeder direkte Zugang zum GA-Netzerk über das Internet muss blockiert und der Zugang von anderen Kundennetzwerken auf spezifische Computer wie Managementstationen und die erforderlichen Ports eingeschränkt werden.

Liste der von Desigo verwendeten Ports: Grundlagen für Ethernet, TCP/IP, MS/TP und BACnet (CM110666).

Keine Ports müssen in der Firewall geöffnet werden, wenn kein Zugang zum GA-System benötigt wird. Dies ist die sicherste Variante, hat aber Auswirkungen auf Service und Systemmanagement.

Allgemein sind die GA-Protokolle auf die GA-Domäne zu beschränken und Zugang von aussen mittels GA-Protokollen zu vermeiden. Ist ein externer Zugriff wie Engineering-Zugriff über BACnet unabdingbar, ist der Zugriff auf das absolute Minimum zu beschränken und zusätzliche IT-Sicherheitsmassnahmen zu treffen.

Die Art der Firewall und die Regeln hängen vom Projekt ab und sind gemeinsam mit der IT-Abteilung auszuwählen. Eine einfache Router-Firewall kann mehrere Netzwerkschnittstellen für mehrere, getrennte Netzwerke enthalten. In typischen Kleinprojekten kann ein Router mit integrierter Firewall und DSL-Modem beim Einsatz eines DSL-Links ausreichen.

In grösseren Projekten kann eine dedizierte Router- oder Switch-Firewall zwischen GA-Domäne und das restliche Intranet platziert werden. Bei starken IT-Sicherheitsanforderungen kann eine interne DMZ für GA-Benutzerschnittstellen wie Managementstationen und Webserver umgesetzt werden. Hier wird eine Firewall zwischen interner DMZ und BACnet-Domäne und eine weitere zwischen DMZ und Intranet zwischengeschaltet.

Persönliche Firewall

Allgemeine PC-Betriebssysteme wie Windows enthalten eine integrierte Firewall (auch „persönliche Firewall“), die als zweite „Verteidigungslinie“ auch auf GA-PCs aktiviert werden sollte.

Zugriffspunkte ausserhalb der 
IT-Sicherheitsrichtlinie

Gemäss Sicherheits-Audits stellen Internet-Zugangspunkte, welche entgegen der Site-IT-Sicherheitsrichtlinie aufgesetzt wurden, und oft parallel zur offiziellen Internet-Verbindung in Betrieb sind, einen oft genutzten Angriffspunkt für Eindringlinge dar. Oft sind dies unzureichend geschützte DSL-Modems. Solche inoffiziellen Zugriffspunkte dürfen nicht verwendet werden. Jeder Zugang muss in enger Zusammenarbeit mit der IT-Abteilung des Kunden (wo vorhanden) umgesetzt werden und auf gleichem Niveau wie jeder andere Internet-Zugang des Standorts geschützt sein.

Systeme zur Erkennung und Verhinderung von Eindringversuchen

Ist eine erhöhte IT-Sicherheitsstufe notwendig, sind Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) zu verwenden. Die IT-Abteilung des Kunden ist dafür zuständig, nicht das GA-Personal.

Siehe https://en.wikipedia.org/wiki/Intrusion_detection_system.

Wireless LANs

Wireless LANs müssen mit den modernsten verfügbaren Verfahren geschützt sein, da sonst Angreifer die Firewall über das Wireless LAN überspringen.

  • WPA3 verwenden.
  • Ein starkes Passwort ist einzugeben oder das vorkonfigurierte Passwort abzuändern. Manche WLAN-Router und Access-Point-Provider verwenden Algorithmen mit vorhersagbaren Resultaten zur Passworterstellung. Beispiel: http://www.devttys0.com/2015/04/reversing-belkins-wps-pin-algorithm/.
  • Hat ein WLAN-Router aber ein Wi-Fi Protected Setup (WPS) unabhänging von der Marke, ist WPS zu deaktivieren.
  • Andere Methoden inklusive Einschränkung bekannter MAC-Adressen oder SSID-Unterdrückung sind kein Schutz gegen erfahrene Hacker.