Das Sicherheitskonzept zur Netzwerktrennung bedingt, dass ein Netzwerk wie das GA-Netzwerk physisch von der restlichen Netzwerkinfrastruktur getrennt wird, um Angriffe über Domänen hinweg zu verhindern. Damit werden zwei Bedrohungen adressiert, die im Kapitel Bedrohungsanalyse für typische GA-Installationen erwähnt sind:

  • Zugang zu einem GA-Gerät wie OPC oder BACnet über einen Computer im Intranet. Durch die Trennung der Domänen werden interne Angriffe von Mitarbeitern mit IT-Knowhow sowie Hacker-Angriffe ab einem gehackten Computer wie eine Webseite, auf der bösartiger Code auf dem Computer platziert wird, in die GA-Domäne vermieden.
  • Normale GA-Kommunikationsprotokolle weisen oft keine starke Verschlüsselung auf. Separate Domänen fügen einen wichtigen Schutzlayer hinzu. Es ist sinnvoll, auch GA-Geräte in Gruppen mit gleichwertiger Cybersicherheitsstufe zu unterteilen. Diese Gruppen werden Sicherheitszonen genannt.

Isolation und physische Trennung

Ein Netzwerk kann auf mehrere Arten getrennt werden:

  • Physische Trennung: Netzwerke verwenden verschiedene Verkabelung und Netzwerkeinrichtungen für GA-Geräte und andere Einrichtungen. Dies ist teuer und wird nur bei Projekten mit äusserst hohen Sicherheitsanforderungen eingesetzt.
  • Logische Trennung: Netzwerke werden physisch auf einer tiefen Ebene getrennt. Die Layer 2 und Layer 3-Netzwerk-Switches der Installation erzeugen virtuelle getrennte Netzwerke oder VLANs. Jedes VLAN markiert die Datenpakete entsprechend. Die Geräte müssen diese Header-Tags entsprechend auslegen können, um zu wissen, zu welchem VLAN diese gehören. Oftmals wird eine Mischung von logischer und physischer Trennung an Standorten eingesetzt, da die meisten GA-Geräte die VLAN-Tags nicht direkt unterstützen und ein Angreifer diese VLAN-Tags absichtlich ignorieren könnte. Logische VLANs enden gewollt auf einer Ebene mit dem entsprechenden Netzwerk-Switch. Von dort wird ein physisches Patch-Kabel zur GA-Einrichtung geführt.
  • IP-Subnetze: Netzwerke werden in kleinere IP-Subnetze als durch die Technik notwendig aufgetrennt. Diese Strategie ist die Divide-and-Conquer-Strategie, mit der ein Ereignis isoliert werden kann. Auf diese Weise ist jeweils nur eine kleinere Gruppe von Geräten betroffen. Um einen Überlauf von einem dieser IP-Subnetze zu verhindern (mit typischerweise nicht mehr als ~200 Geräten), erstellt die IT-Administration restriktive Firewall-Regeln zwischen den IP-Subnetzgrenzen.

Virtuelles LAN (VLAN)

Zur Trennung von Netzwerken werden typischerweise virtuelle LANs (VLANs) eingesetzt.

Anweisungen zur Konfiguration von VLANs übersteigen den Geltungsbereich dieses Dokuments. Die Regeln werden fallweise zusammen mit der IT-Abteilung der Kunden erarbeitet.

Informationen zu VLANs und deren Sicherheits- und Performance-Vorteilen finden Sie in Desigo Application Guide for IP Networks in Building Automation (CM110668).

Verschiedene VLAN-Konfigurationen

VLANs existieren in verschiedenen Konfigurationen:

  • Empfohlen: Ein Port bei einem Router oder Managed Switch wird einem spezifischen VLAN zugewiesen; als Folge gehören alle zu diesem Port zugewiesenen Geräte zu diesem VLAN.
  • Nicht empfohlen: Der Client/das Gerät fügt selbst einen VLAN-Tag zu seinen Ethernet-Paketen hinzu und macht sich so zum Mitglied des VLANs. Diese Methode gilt nicht als physische, sondern als logische Trennung.
  • Bei nichtstationären Geräten wie einem Tablet, das zusammen mit einem Desigo/Apogee Webserver verwendet wird, kann die Zuweisung zu einem bestimmten VLAN basierend auf der MAC-Adresse stattfinden. MAC-Adresse: VLAN-Zuweisung in einem Managed-Switch. Die IT-Sicherheit ist reduziert, da ein Eindringling eine verwendbare MAC-Adresse über MAC-Adress-Spoofing ermitteln und mit dieser auf das VLAN zugreifen kann. Diese Methode gilt nicht als physische, sondern als logische Trennung.
    Siehe http://en.wikipedia.org/wiki/MAC_spoofing.

Physisch getrennte VLAN-Kommunikation ist auf das eigene Netzwerk beschränkt, was bedeutet, dass es keinen Zugang von Computern im Büro-VLAN zu z.B. einem GA-Webserver gibt. Ist ein solcher Zugang trotzdem notwendig, muss Zusatzaufwand geleistet werden:

  • Empfohlen: Am Router oder Managed Switch müssen Layer-3-Routing-/Layer-2-Switching-Regeln konfiguriert werden, um VLANs oder separate Subnetzwerke mittels Zugriffskontrolllisten (Access Control List, ACL) kontrolliert zu verbinden.
    Siehe Schutz gegen Port-Scans und Eindringen.
  • Nicht empfohlen: Ein Managementstationsserver wird mit zwei Netzwerkkarten ausgestattet; eine für das GA-System-VLAN/Subnetz und eine für z.B. das Büro-VLAN/Subnetz. Dieser Server darf nicht den Verkehr zwischen den beiden VLANs/Subnetzen weiterleiten („Bridging“), da damit die IT-Sicherheitsvorzüge des VLAN/Subnetz-Konzepts verloren gingen. Aber die Wahrscheinlichkeit eines Angriffs bei einem Mehrzweck- bzw. Multifunktions-Computer gegenüber einem dedizierten Gerät wie einem Router ist höher.

Weitere Aspekte

Keine Ports für Remote-Desktop-Services öffnen.

Siehe http://en.wikipedia.org/wiki/Remote_Desktop_Services.

Solch ein Zugang öffnet Tür und Tor für Angriffe und reduziert die IT-Sicherheit stark. Für Remote-Wartung/Zugang zu einem Managementstationsserver oder ähnlichen Gerät muss VPN verwendet werden.

Der Zugang zu Managementstationsinformationen von ausserhalb der GA-Domäne erfolgt über Web-Clients anstelle installierter Clients.

Legacy-Protokolle inklusive SNMP werden manchmal auf Kundenanfrage eingesetzt. SNMPv1 und v2 werden nicht verwendet, da unsicher. Müssen sie eingesetzt werden, sind zusätzliche Sicherheitsmassnahmen in Zusammenarbeit mit der IT-Abteilung des Kunden einzusetzen.

Ein mit der GA-Domäne und gleichzeitig dem Internet verbundener Engineering-Computer, z.B. via 3G/4G/5G Modem oder WLAN-Adapter, kann eine Bridge zwischen der GA-Domäne und dem Internet erstellen. Wir empfehlen klar, dies zu vermeiden.