IT-Sicherheitskatalog für kritische Infrastrukturen

Mit der Veröffentlichung im Bundesanzeiger ist das IT-Sicherheitsgesetz in Kraft getreten und bringt spezielle Anforderungen für Betreiber kritischer Infrastrukturen mit sich.

Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Betroffen sind vor allem die Sektoren Energie, Wasser, Transport und Verkehr, sowie Informationstechnik und Telekommunikation, die die Mindeststandards zur IT-Sicherheit aus dem veröffentlichten IT-Sicherheitskatalog umsetzen, einhalten und zertifizieren müssen.

Die Zertifizierung muss der Bundesnetzagentur bis zum 31.01.2018 nachgewiesen werden.

Doch Sicherheit ist kein Produkt, das erworben werden kann, sondern ein andauernder Prozess, mit drei Zielen, die zur Zertifizierung nach ISO 27001 führen sollen.

  1. Verfügbarkeit

Die zu schützenden Systeme müssen jederzeit betriebsbereit und über berechtigte Teilnehmer nutzbar und zugänglich sein.

  1. Integrität

Die Daten müssen richtig und vollständig sein und die Systeme müssen korrekt funktionieren.

  1. Vertraulichkeit

Schutz der Systeme und Daten vor unberechtigtem Zugriff durch Personen oder Prozesse.

Zum Erreichen dieser Ziele ist der Einsatz eines Informationssicherheits-Managementsystems und eines Sicherheitsmanagers erforderlich, der folgende Aufgaben erfüllen muss:

  • Dokumentation laufender Prozesse
  • Bewertung von Risikofällen
  • Vorschläge zur Optimierung
  • Koordination von Maßnahmen
  • Überprüfen der Ergebnisse

Damit ergeben sich ganz neue Voraussetzungen für den Betrieb von Fernwirk- und Kommunikationsnetzen.

Die eingesetzten Geräte müssen bestimmte Sicherheitskriterien erfüllen, wie z.B.

  • Trennung der Netzwerke durch VLAN
  • Eigenes VLAN für das Management der Geräte
  • HTTPS, SSH – Zugriff mit eigenen Zertifikaten
  • SNMPv3 für die Überwachung
  • Passwortgeschützter Zugriff mit unterschiedliche Administrationsebenen
  • Abschalten nicht genutzter Ports
  • MAC und IP Authentifizierung je Port

Mit der konsequenten Weiterentwicklung aller DigiComm Produkte in Bezug auf Daten-, Übertragungs- und Ausfallsicherheit, erfüllen alle unsere Lösungen die Grundforderungen auf Basis der DIN ISO/IEC 27001:2015-03 und gehen in weiten Teilen noch darüber hinaus.

Als Beispiel dazu dient eine häufig gestellte Anforderung unserer Kunden.

Anwendung:

Das Fernwirknetz des Kunden besteht aus eigenen Kupfer- und LWL-Leitungen, es sollen auch Stationen über öffentliche Netze angebunden werden (DSL oder Mobilfunk, vorrangig LTE wenn verfügbar).

Forderungen:

  1. Das eigene Netz soll eine möglichst einfache redundante Infrastruktur besitzen, damit bei Ausfall der Komponenten die Bereitschaft schnell und ohne spezielles Wissen Geräte tauschen kann.
  2. Die Außenstationen ohne eigene Anbindung über Kabel sollen mit integriert werden
  3. Die Übertragung soll gesichert über VPN-Verbindungen realisiert werden.

Lösung:

  1. Das eigene Netz wird mit einem LWL-Backbone für die wichtigsten Stationen über entsprechende Switche realisiert.

Die Stationen mit Kupferleitungen werden über Ethernetmodem SHDTU-09-is (2 x G.SHDSL) oder SHDTU-10-is (4 x G.SHDSL) redundant an die Backbone-Switche angebunden.

  1. Bei Stationen mit LWL- und Kupfer-Anbindung kommen die SHDTU-08-is-SFP 09-is (2 x G.SHDSL und 2 x SFP für LWL).
  2. Bei reinen LWL-Anbindungen werden gemanagte Switche eingesetzt, die ebenfalls alle Sicherheitsforderungen und Routing (Layer 3) unterstützen.
  3. Die Außenstationen werden mit DSR-Routern und einem zentralen VSS-01 Server an das Netz angebunden.
  4. Ebenfalls werden alle Fernwirkstationen des eigenen Netzwerkes (Forderungen Punkt 1) mit DSR-Routern ausgerüstet um eine geschlossene Benutzergruppe mit VPN-Schutz zu erreichen.

(DSR = DigiComm Secure Router / VSS = VPN Secure Server)

Durch die Nutzung der VPN-Technik ist eine sichere Authentifizierung und eine starke Verschlüsselung garantiert, so dass nur Befugte auf die vertraulichen Firmendaten zugreifen können. Vor allem bei der Übertragung über öffentliche Netze.

Mit unserer VSS-Lösung gehen wir noch einen Schritt weiter, denn es müssen alle Teilnehmer – auch die im eigenen Netzwerk (zum Beispiel das Leitsystem) – eine VPN-Verbindung zu unserem VSS-01 aufbauen. Damit bieten wir eine geschlossene Benutzergruppe in der nur zertifizierte Anwender VPN-verschlüsselt miteinander kommunizieren können.

Eine zentrale Rolle im Betrieb eines Fernwirknetzes spielt die Zuordnung von Zugriffsrechten, d. h. wer mit wem kommunizieren darf.

In der Regel fragt das Leitsystem die Außenstellen ab, muss also mit allen kommunizieren. Häufig besteht aber auch die Notwendigkeit, dass Stationen untereinander Daten austauschen müssen oder eine Fernwartung von externen Mitarbeitern durchgeführt werden muss.

Speziell im Bereich der Fernwartung durch Fremdfirmen soll nicht auf das gesamte Netz sondern nur auf spezielle Stationen zugegriffen werden.

Im Falle eines zentralen Routers für VPN-Anbindungen erfordert das ein hohes Maß an Konfigurationsarbeiten.

Bei der VSS-01 Lösung können Sie sehr einfach mit Gruppen arbeiten. Bei der Grundkonfiguration sind alle Teilnehmer zunächst keine Gruppenmitglieder. Durch einfaches einrichten einer Gruppe und Auswahl durch Klick auf die Stationen können Sie die Teilnehmer einer Gruppe auswählen. Jeder Teilnehmer kann Mitglied in beliebig vielen Gruppen sein.

Im Hintergrund werden aus den Gruppenzuordnungen Firewallregeln erstellt, die in die Router der Außenstationen übertragen werden.

Bei einer Neu- oder Umkonfiguration werden die geänderten Daten automatisch in die Router der Außenstationen übertragen.

Bild: Rechtezuweisung.jpg

Im Beispiel sind alle Teilnehmer mit Ausnahme des Laptops Teilnehmer der roten Gruppe und können miteinander kommunizieren. Der Laptop hat nur Zugriff auf die Station rechts unten (grüne Gruppe)

Für die Konfiguration bedeutet es, dass Anlegen von zwei Gruppen:

  1. ROT = alle Teilnehmer mit Ausnahme des Laptops
  2. GRÜN = Laptop, NMS (Netzwerküberwachung) und Teilnehmer rechts unten

 

Die Stationen, die über eigene Kupferstecken angeschlossen werden, sind mit Ethernetmodem der Serie SHDTU ausgerüstet. Diese Modem unterstützen 2-, 4- oder 8-Draht-Betrieb im Punkt-zu-Punkt-, Linien- oder Ring-Betrieb über Entfernungen bis 25 km mit Geschwindigkeiten von bis zu 60 MBps.

Zusätzlich zu den integrierten Sicherheitsoptionen kann über die Kupferstrecke mittels VPN verschlüsselt übertragen werden.

Für den Anschluss der Stationen, die über eigene LWL-Verbindungen angebunden sind, werden – bei zusätzlichen Kupferstrecken – SHDTU-08-is-SFP, ansonsten managebare Layer 2 Switche eingesetzt, die ebenfalls alle Sicherheitsforderungen unterstützen.

Die Switche im Backbone-Bereich sind Routingfähig (Layer3) und können bei Bedarf eine zusätzliche Verschlüsselung bieten.

 

Bei vorhandenen DSL-Anschlüssen können unsere  DSR-111-N-Router in Kombination mit den industriellen DSL-Modem AM-200B eingesetzt werden.

Die Anbindung der Stationen über das Mobilfunknetz wird über DSR-111-L LTE-Router realisiert, die bei fehlender LTE-Abdeckung auch GPRS, UMTS oder HSDPA unterstützen.  

Für die bestmögliche Netzverfügbarkeit wird mit SIM-Karten gearbeitet, die „National-Roaming“ unterstützen. Diese buchen sich unabhängig vom Provider in das Netz mit der besten Abdeckung ein und wechseln bei Netzausfall oder -störungen automatisch in das Netz eines anderen Anbieters, der am Standort verfügbar ist.

 

Bei wichtigen Außenstationen ohne eigene Anbindung kann als Ersatzweg neben den öffentlichen Netzen auch eine Funkverbindung über private Frequenzen realisiert werden.