Die von der Unternehmensberatung Gartner herausgegebene Studie \’Hype Cycle for Cyberthreads 2006\‘ kommt zu dem Schluss, dass 40% aller Organisationen bis Ende 2008 Ziel finanziell motivierter krimineller Angriffe auf ihr Netzwerk sein werden. In seinem Bericht zur \’Lage der IT-Sicherheit in Deutschland 2007\‘ zieht das Bundesamt für Sicherheit in der Informationstechnik ein ähnliches Fazit. Bereits heute stellen Schadprogramme wie Trojaner, Viren oder Würmer, die sich innerhalb von Sekunden weltweit verbreiten, die häufigste Angriffsform gegen IT-Systeme dar. Da der Kontakt mit dem Angreifer zumeist über Webseiten oder Standard-Ethernet-Protokolle erfolgt, die zur Internet- und E-Mail-Nutzung notwendig sind, bieten Firewalls nur beschränkten Schutz. Moderne Schadprogramme passen sich darüber hinaus der Rechnerumgebung an, sodass sie nicht von Virenschutzprogrammen erkannt werden. Trotzdem schätzen viele Unternehmen das eigene Bedrohungsrisiko als gering ein und implementieren daher keine Security-Lösungen. Solche Versäumnisse können schwerwiegende Folgen haben, denn sie verursachen nicht nur hohe Produktionsausfallkosten, sondern auch einen Imageverlust sowie unter Umständen eine persönliche Haftung der Vorstände oder Geschäftsführer. Unzureichende Sicherheitsmechanismen Prozessleitsysteme werden nicht nur in produzierenden Unternehmen sondern auch in Betrieben zur Energie- und Wasserversorgung eingesetzt, um Prozesse zu steuern und zu überwachen. Da sie immer häufiger über Ethernet-TCP/IP2 Netzwerke mit der Peripherie verbunden sind, können Hacker die gleichen Angriffsmethoden zum unbefugten Eindringen in das Netzwerk nutzen, die gegen die Standard-IT verwendet werden. Trotz des Gefährdungspotenzials sind Sicherheitsmechanismen wie die Authentifizierung oder Verschlüsselung bislang nur unvollständig oder gar nicht in viele Scada-Lösungen integriert. Wenn überhaupt, dann werden Daten durch das SSL-Protokoll (Secure Socket Layer) vor dem Lesen und Manipulieren während der Übertragung geschützt. Durch die Kombination aus asymmetrischer und symmetrischer Verschlüsselung bietet SSL ein hohes Maß an Sicherheit. Allerdings ist das asymmetrische Verfahren aufgrund der längeren Schlüssel sehr langsam und erhöht die Serverbelastung. Weitere Nachteile ergeben sich aus der aufwendigen Verwaltung der Zertifikate sowie ihrer Speicherung auf dem Rechner, um ein gemeinsames Login von Plattform und Applikation zu ermöglichen. Außerdem ist eine schnelle Key-Blockierung im Fall der \’Übernahme\‘ des Clients durch einen Angreifer nur aufwendig realisierbar. Authentizität, Integrität und Vertraulichkeit garantiert Vor diesem Hintergrund hat ETM professional control GmbH mit Kerberos ein bewährtes Third-Party-Authentifizierungsprotokoll in sein Prozessleitsystem PVSS integriert, das alle technischen Anforderungen erfüllt. Das vom Massachussets Institute of Technology (MIT) vor rund 15 Jahren entwickelte Protokoll stellt die Authentizität der beteiligten Parteien sowie die Integrität und Vertraulichkeit der Datenübertragung sicher. Soll eine Kommunikation zwischen zwei Parteien aufgebaut werden, authentifizieren sich beide gegenüber einer vertrauensvollen dritten Partei, dem so genannten Authentication Server (AS), und vereinbaren einen Session Key, mit dem ihre Nachrichten signiert und bei Bedarf verschlüsselt werden. PVSS besteht aus verschiedenen Komponenten, die als Manager bezeichnet werden und jeweils eine spezielle Funktion wahrnehmen. So verwaltet der Event-Manager das Prozessabbild und verteilt Nachrichten an die anderen Manager, während der Datenbank-Manager die Informationen archiviert und auswertet, der Control-Manager Steuerungs- und Überwachungsfunktionen übernimmt und der User-Interface-Manager für die Visualisierung der Daten sorgt. Wenn sich beispielsweise ein Prozesswert in der Peripherie ändert, wird dies vom Treiber erfasst, der eine Nachricht an den zentralen Event-Manager schickt. Der Event3 Manager leitet die Nachricht dann an den User-Interface-Manager und/oder den Datenbank-Manager weiter. Kerberos stellt nun sicher, dass nur die berechtigten Manager miteinander kommunizieren (Authentizität) und die Nachrichten nicht verändert werden können (Integrität). Falls vom Anwender gewünscht, lassen sich die Informationen auch verschlüsselt übertragen (Vertraulichkeit). Da sich die Kerberos-Implementierung in PVSS optimal in die IT-Systemlandschaft integriert, werden die Anwender gegen die zentrale Nutzerdatenbank Windows Active Directory oder Linux LDAP-Service geprüft. Dadurch ist garantiert, dass der User, der einen Befehl absetzen will, tatsächlich der ist, der er zu sein vorgibt. Vorteilhafte Lösung Im Vergleich zur SSL-Verschlüsselung bietet Kerberos verschiedene Vorteile. Während sich die Parteien bei SSL komplett über Zertifikate austauschen, muss bei Kerberos aufgrund der zentralen Verwaltung nur die (eigene) Signatur mitgeschickt werden, so dass sich die Kommunikation durch den geringeren Datenumfang beschleunigt. Zu einem schnelleren Datenaustausch trägt auch die einheitliche Verwendung von symmetrischen Schlüsseln bei, die erheblich kürzer als die von SSL verwendeten asymmetrischen Keys sind. Die zeitlich beschränkte Gültigkeit des Zugriffs auf die einzelnen Manager erhöht die Sicherheit ebenso wie die Tatsache, dass die User-Passwort-Informationen bei Kerberos nicht über das Netz übertragen werden und nur berechtigte PCs an der PVSS-Kommunikation teilnehmen können. Findet ein Angriff auf das Netzwerk statt, kappt PVSS darüber hinaus die kompromittierende Verbindung automatisch und ohne Zeitverlust. Neben der schnelleren Kommunikation und hohen Sicherheit überzeugt Kerberos durch wirtschaftliche Aspekte. Aufgrund der optimalen Integration von PVSS in die IT-Systemlandschaft können die verwendeten Sicherheitsmechanismen von der zentralen IT bereitgestellt und aktuallisiert werden, sodass die zeitraubende und fehlerträchtige Einstellung an den einzelnen Arbeitsplatz-Rechnern entfällt. Die Möglichkeit des Single Sign-on reduziert hier den Zugriffsaufwand für den einzelnen Mitarbeiter. Da die einzelnen Teilnehmer nicht mehr explizit durch eine Firewall geschützt werden müssen, lassen sich auch dort die Kosten für den Einsatz von Sicherheitsfunktionen senken. Umfassendes Schutzkonzept Mit Kerberos verfügt das Prozessleitsystem PVSS über ein Authentifizierungsprotokoll, das eine unverfälschte und vertrauliche Kommunikation zwischen den berechtigten Parteien sicherstellt. Aufgrund der verteilten Manager-Architektur sowie der ereignisgesteuerten Kommunikation über TCP/IP ergänzen sich die Scada-Lösung und das Protokoll optimal. Kerberos kann dabei – je nach Bedarf – in verschiedenen Ausbaustufen freigeschaltet werden, um PVSS und die sensiblen Daten umfassend vor unbefugten Zugriffen zu schützen. Zu einem hohen Maß an Sicherheit tragen darüber hinaus eine Reihe von Funktionen bei: das Redundanzkonzept des Prozessleitsystems, dessen ausgeklügelte Logik den Zustand der beiden miteinander verbundenen Serversysteme permanent analysiert und individuell entscheidet, ob eine Redundanzumschaltung notwendig ist. Im Fehlerfall übernimmt der Hot-Standby-Rechner stoßfrei alle Aufgaben des ausgefallenen Systems, ohne dass der Nutzer in seiner Arbeit beeinträchtigt wird oder Daten verloren gehen. Im Rahmen des so genannten Lastabwurfs wird automatisch eine Überlastung des zentralen Event-Managers und damit ein Datenverlust oder Crash verhindert, während das Berechtigungskonzept den Zugriff auf die einzelnen Aufgabenbereiche einschränkt, um Schäden durch Fehlbedienung zu minimieren. Eine Inaktivitätsverwaltung, die den User bei kurzzeitigem Verlassen des Arbeitsplatzes beispielsweise abmeldet, und die Access Control List, mit der sich Zugriffe auf Maschinen individuell beschränken lassen, runden das umfassende Sicherheitskonzept von PVSS ab.
ETM professional control GmbH
