Deep Packet Inspection
Die Deep Packet Inspection geht noch weiter. Hier wird z.B. für ein Modbus-Protokoll genauestens definiert, welche Teilnehmer welchen anderen Teilnehmern welche Register senden oder empfangen dürfen. Deep Packet Inspection bietet nicht nur Schutz vor der Ausbreitung von Malware, sondern verhindert auch Angriffe auf die größte Schwachstelle in der Industrieapplikation, der Integrität der Daten. Auch die Netzwerkkommunikation kann whitegelistet werden. So kann es beim Aufkommen neuer Protokolle im Netzwerk bzw. bei Veränderungen der Häufigkeit des Aufkommens bestehender Protokolle Hinweise für den Administrator geben, der diesen nachgehen kann. So hätte man das Eindringen des Stuxnet-Virus daran erkennen können, dass die Häufigkeit des in der Siemens-Welt üblichen RPC-Protokolls erheblich zunimmt. Ebenso verhindert die Einteilung des Netzwerkes in Segmente und Übergangspunkte mit Firewalls (Conduits) Cyber-Angriffe. So werden nur die im Subnetzwerk benötigten Protokolle und Verbindungen vom Conduit freigegeben. Alle anderen werden geblockt [3]. Ratsam ist es auch, grundsätzlich auf allen Industriegeräten im Netzwerk nur die notwendigen Funktionen, Dienste und Protokolle freizugeben, um die Möglichkeiten der Angreifer einzugrenzen. Auch das Management von Benutzerkonten und Passwörtern gehört zur Installation sicherer ICS-Systeme (Systemhärtung). So können nicht verwendete Benutzerzugänge ggf. mit Standard-Passwörtern der Hersteller, die im Internet auffindbar sind, schnell zum einfachen Einfallstor für Angreifer werden. Tools wie Qualys sind da sehr hilfreich. [4]
Security-Information-and EventManagement (SIEM)-Lösungen
Wenn in verteilten Applikationen zwingend auch über das Internet kommuniziert werden muss, wie das bei Smart-Grid-Applikationen oft der Fall ist, empfiehlt sich die Anwendung von SIEM-Lösungen (Security Information and Event Management) [2]. Hierbei werden hauptsächlich Daten bezüglich des Netzwerks, der Geräte, der Applikationen, der Vulnerabilitys und der Policys aufgezeichnet und ausgewertet. So kann z.B. festgestellt und verhindert werden, wenn das Netzwerk plötzlich Kontakt zu einem Bootnetzwerk aufbauen möchte, in dem die Zieladressen ausgehender IP-Pakete geprüft und verglichen werden. Die Infektion des Netzwerks wird zwar dadurch nicht verhindert, jedoch gelingt es dem Angreifer auch nicht, eine Verbindung zur Anlage aufzubauen.
Open Source
Bei Open-Source-Produkten muss in Zukunft ein größeres Augenmerk auf Security gelegt werden. Als Beispiel ist hier die Heartbleed Vulnerability bei Open SSL zu nennen. Notwendige Tests und Zertifizierungen müssen in Zukunft auch auf Open-Source-Produkte verstärkt angewendet werden. Grundsätzlich müssen Open-Source-Produkte aber nicht unsicherer sein als herstellergetriebene Lösungen, wie die Vulnerabilty-Veröffentlichungen auf ICS-Cert beweisen [5]. Der hohe Verbreitungsgrad und die Vielzahl der erfolgreichen und sicheren Applikationen sprechen nach wie vor für Open-Source-Produkte. Auch werden z.B. die bekannt gewordenen Sicherheitslücken in der Open Source Engineering Plattform ROS Industrial durch geeignete Maßnahmen geschlossen [6]. Die Vorteile von Open-Source-Lösungen werden nicht an Security-Anforderungen scheitern.
