KRITISCHE INFRASTRUKTUR ERFOLGREICH UND NACHHALTIG SCHÜTZEN IT-SECURITY FÜR DEN ENERGIEMARKT IN DEUTSCHLAND UND EUROPA

Transkript

1 KRITISCHE INFRASTRUKTUR ERFOLGREICH UND NACHHALTIG SCHÜTZEN IT-SECURITY FÜR DEN ENERGIEMARKT IN DEUTSCHLAND UND EUROPA

2 Stuxnet war nur der Anfang. Auch die politischen Bemühungen in Deutschland und Europa zeigen: Die Energiebranche muss jetzt auf die gravierenden Veränderungen in der Steuerungsund Managementtechnolgie reagieren.

3 2 WANDEL IN DER ENERGIEBRANCHE: FOLGEN FÜR DIE IT-SICHERHEIT Die Energiebranche hat aktuell mit zwei gravierenden Änderungen zu kämpfen: Zum einen befindet sich der Bereich Energieerzeugung im Umbruch, teilweise auch durch die Frage, wie diese Energie zukünftig in das Netz gespeist werden soll. Zum anderen steht die Branche vor der Herausforderung, Technologien und Prozesse zu definieren, um das Energienetz zu steuern und zu überwachen. In der Vergangenheit ist Elektrizität in wenigen, zentralen Einheiten erzeugt worden: in Wasser- oder Heiz-Kraftwerken, in Atomkraftwerken oder auch mit Biomasse. Diese Kraftwerke nutzten vorwiegend alte Technologien zur Steuerung und Überwachung. Technologien, die sehr gut in einer zentralisierten Umgebung funktionierten, denn dafür wurden sie entworfen und entwickelt. Allerdings ist diese Technik weniger dafür geeignet, in einer dezentralen, vernetzten Welt eingesetzt zu werden. Heutzutage bewegt sich die Energieerzeugung in einer verteilten und vernetzten Welt. Strom wird in hunderten von kleinen Einheiten erzeugt, teilweise auf Hausdächern und mit Windrädern. Dies verändert die Anforderungen der überwachenden Technik. Steuerungs- und Managementtechnologie muss angepasst und erweitert werden. Dazu gehört zum einen, die grundlegenden Funktionen über öffentliche Netze zu erbringen, zum anderen aber auch, die Technologie so abzusichern, dass kein Schaden entsteht. Die zweite große Veränderung betrifft die Technologie und die zugehörigen Prozesse, um das Management und die Abrechnung zu ermöglichen. Wie bereits erwähnt, wurden die meisten Komponenten im Vor-Internetzeitalter erdacht und entwickelt. Sie wurden nicht für die heutige IT-Landschaft gebaut oder gar um sich selbst zu schützen. Heutzutage arbeiten Energieversorger miteinander. Sie stellen sich gegenseitig ihre Leistung in Rechnung. Herkömmliche Kommunikationsnetzwerke verbinden sich immer öfter mit SCADA-Netzwerken (Supervisory Control and Data Acquisition). Verschiedene IT- oder Büro-Netzwerke wachsen immer schneller, um den Erfordernissen des Energiemarktes gerecht zu werden. Dies sind heute die Treiber für den sich schnell ausdehnenden Sicherheitsbereich in den Energiemärkten.

4 3 DIE CYBERKRIEGSERKLÄRUNG Die Stuxnet-Angriffe im Jahre 2010 werden allgemein als der Moment angesehen, als Medien und westliche Regierungen damit begannen, Gefahren für die kritische Infrastruktur des Energiemarktes ernst zu nehmen. Im Juni 2010 wurden Details über Angriffe bekannt, die spezifische Ziele fanden, Schwachstellen dieser Ziele ausnutzten, dort einen Code installierten und ausführten. Anschließend benutzten sie sogenannte»zombie-rechner«, um speicherprogrammierbare Steuerungen welche speziell im Energiemarkt Verwendung finden zu suchen und zu zerstören. Im Fall von Stuxnet waren die Endziele der Angriffe eben jene speicherprogrammierbare Steuerungen, die im Rahmen des iranischen Atomprogramms verwendet wurden. Nach allem was man weiß, war dieser Angriff sehr erfolgreich und zerstörte mehr als 20 % der iranischen Stromerzeugungskapazitäten. Bereits in dieser Zeit war vieles von dem, was Stuxnet gemacht hat, alltäglich und wohlbekannt. Der Angriff folgte einem ausführlich dokumentierten Ablauf, einer»angriffskette«von Ereignissen: Ziel finden Angriff erzeugen, um die Schwachstelle herauszufinden Angriff ausführen. Anschließend wird der gefährdete Zielort als Einstieg für einen viel komplexeren Angriff verwendet. Dieser kann auf Alles abzielen, angefangen von der Zerstörung der iranischen Zentrifugen bis hin zum Diebstahl vertraulicher Pläne und Daten. Der Einsatz von Abwehrmaßnahmen zu jedem Zeitpunkt während einer solchen Angriffskette bildet die Grundlage für eine erfolgreiche Verteidigung. gateprotect nutzt diese Grundlage für seine Methodik»Echelons der internen Abwehr«. Die Gefahrendimensionen und das Stuxnet-Vermächtnis Es existieren verschiedene Ansichten darüber, was Stuxnet in der Welt der Netzwerk- und Informationssicherheit möglicherweise geändert hat oder nicht. Unstrittig ist allerdings, dass Stuxnet allgemeine Einigkeit darüber erzielt hat, welche Vektoren von Internetangriffen betroffen sein können und wie ernst die Gefahr aus dem Internet in einer zunehmend vernetzten Welt ist. Nach Stuxnet konnten weder die Öffentlichkeit noch die Regierungen weiterhin die Notwendigkeit zurückweisen, sich mit kriminellen Teenagern oder sogenannten»script-kiddies«, beschäftigen zu müssen.

5 Büro-Netz(e) 4 öffentliches Netz INTERNET ROUTER Packetfilter GATEPROTECT NP PROZESS-NETZ IT-NETZ (BÜRO) NETZWERK KOMMUNIKATION FWE SPS HE BÜRO- UND IT-SYSTEME HE Haupteinheit FWE Fernwartungseinheit SPS Speicherprogrammierbare Steuerung Verbindung von Prozess- und IT-Netzwerk bei heutigen Energieerzeugern und -versorgern Das Ziel: IT-Netzwerke und Prozess- Minimierung der Angriffsfläche verbanden traditionsgemäß speziell entwickelte speicherprogrammierbare steuerungsnetzwerke INTERNETVERKEHR Steuerungen, INTERNETVERKEHRdie spezifische Bedrohungserkennung und Eliminierung Komponenten von Stromerzeugungs- oder Energiesystemanagement Weiterentwicklung steuerten. Speicherprogrammier- Heute gibt es zwei Netzwerktypen Identifizierung, im Energiebereich. Blockade und Überwachung VALIDIERT Einhaltung, Überwachung und Deren Definitionen haben viele Ausnahmen, aber tendenziell gelten die folgenden: bare Steuerungen besitzen traditionsgemäß eine Lebensdauer, die in Jahrzehnten gemessen wird. Viele Prozesssteuerungsnetzwerke bilden das operative Herzstück des Energiemarktes. Sie kontrollieren die einzelnen Komponenten innerhalb eines Kraftwerks. Die Verantwortung für den Betrieb und die Wartung des Netzwerks liegt bei der Operationsgruppe. ursprüngliche Geräte der ersten Generation existieren noch heute und werden auch weiterhin bestehen. Fernwartungseinheiten verbanden mehrere speicherprogrammierbare Steuerungen an einem Standort und hatten in der Regel eine spezielle Art von Schnittstelle. IT-Netzwerke sind die Grundlage für moderne vernetzte Büroumgebungen. Diese Netzwerke dienen zur Bereitstellung von Servern und Datenbanken. Darüber hinaus sind sie für die Koordination der Managementtätigkeiten zwischen den wesentlichen Akteuren des modernen Energiemarktes verantwortlich vom Produzenten über den Kunden bis zum intelligenten Stromnetz (Smart Grid). Die Verantwortung für die Wartung dieses Netzwerks liegt bei der IT-Gruppe.. Prozesssteuerungsnetzwerke waren in der Vergangenheit von den in jüngerer Zeit errichteten IT-Netzwerken getrennt. IT-Netzwerke basieren auf IP über Ethernet und sind miteinander verbunden. Weiterhin beinhalten sie Internet und Intranet. So verbinden sie Privat- und Berufsleben vieler Menschen in den entwickelten Ländern, einschließlich Deutschland und dem Großteil Europas. Die Verknüpfung veralteter Prozesssteuerungsnetzwerke macht die Systeminfrastruktur der SCADA aus. SCADA betrieb ursprünglich eine Vielzahl eigener Kommunikationsmethoden (serielle und anderweitige) in einer»n-schicht-architektur«. Die ersten Generationen Nachfolgende Generationen der Energiebranche fügten schließlich weitere Schichten hinzu, um Fernbedienungsterminals mit einer Haupteinheit zu verknüpfen. Jedoch wurden die eigenen individuellen Kommunikationsdesigns trotz der Entstehung von Standards fortgesetzt. Dies erschwerte die Verbindung und schirmte die ersten SCADA-Generationen von vielen offenen IT- und vernetzten Sicherheitsanforderungen ab. Die Sicherheit wurde demnach nicht in die Architekturüberlegung dieser Systeme einbezogen. Die Zunahme von IT-vernetzten Systemen versprach also einerseits Kostenvorteile. Auf der anderen Seite aber resultierten aus den neuen Möglichkeiten an Verbindung und Zugang neue Sicherheitsgefahren für prozesssteuerungsnetzwerkbasierte Komponenten. In vielen Fällen sind die speicherprogrammierbaren Steuerungen im jetzt verbundenen SPS-IT-Netzwerk nicht fähig, sich selbst gegen bekannte Bedrohungen zu verteidigen. Doch sind Würmer und Trojaner wie Stuxnet, Spear-Phishing, Malware, Viren und Drive-by- Downloads Bestandteile der heutigen vernetzten Realität geworden und somit die wichtigsten Bedrohungen, auf die sich gateprotect konzentriert.

6 5 Eigentum über Sicherheitsschutzmaßnahmen Heutige Prozesssteuerungsnetzwerke sind mit IT- Netzwerken verbunden. Das heißt, während es zu einer Überschneidung von internen Anschlüssen und somit zu einer Angriffsoberfläche zwischen den zwei Netzwerken kommt, gab es in der Vergangenheit eine geringe Überschneidung beim internen Netzwerkschutz. Es wurde teilweise bereits damit begonnen, dieses Fehlen einer einzigen Sicherheitsverantwortlichkeit zu thematisieren. Anfänglich geschah dies durch Prozessverbesserungen, da die Kenntnisse über den Betrieb von Prozesssteuerungsnetzwerken und die IT-Netzwerk-Standorte einzigartig sind. Jedoch werden höhere Sicherheitslevel zunehmend durch den Einsatz interner sowie von Informationssicherheits-Plattformen gesteuerter Abwehrmechanismen erzielt eine Kombination, wie sie gateprotect innerhalb und zwischen diesen Netzwerken anbietet. Da Energiemärkte streng reguliert sind, spielen die Regierung und die staatliche Gesetzgebung eine zunehmend positive Rolle in der Energiemarktsicherheit und heben die funktionellen Schlüsselkomponenten der Sicherheitslösung gateprotect NP hervor. Viele der anfänglichen Empfehlungen und Initiativen stammten aus den USA, insbesondere nach den Terroranschlägen vom 11. September Dazu gehört die Ausweitung der Richtlinien der NERC CIP (Critical Infrastructure Protection der North American Electric Reliability Corporation) und der NIST 800-Schriften (National Institute of Standards and Technology). Diese wurden durch Initiativen wie NISCC (National Infrastructure Security Co-ordination Centre) des Vereinigten Königreichs erweitert. Allerdings spielten auch Deutschland und Europa eine starke und zunehmend führende Rolle. Deutsche Initiativen des Bundesverbands der Energie- und Wasserwirtschaft (BDEW) haben sich dafür eingesetzt, grundlegende Sicherheitsmaßnahmen für Systeme in Energienetzwerken festzulegen. Dazu gehören z. B. Anforderungen an Datenverschlüsselung, kryptografische Standardverfahren, Anti-Viren- und Malware-Funktionen, sichere Kommunikation zwischen Netzwerken, Revisionen, sichere Netzwerkentwürfe und Anwendungsprotokollstandards. All dies sind Komponenten, die im gateprotect NP sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt viele Best-Practices der weltweiten Industrie. Zum Beispiel werden Prozesse und Praktiken für Netzwerksicherheit innerhalb des öffentlichen und privaten Sektors Deutschlands im IT-Grundschutz-Katalog und in den IT-Grundschutz-Standards festgelegt. Die BSI-Standards bestätigten das gateprotect-konzept der mehrstufigen Netzwerküberwachung mit interner Abwehr durch ihr PAP-Sicherheitskonze Diese Best-Practices bilden einen erheblichen Teil der Sicherheitsempfehlungen für den Energiemarkt, welche in diesem Whitepaper unten aufgeführt werden. Gegenwärtige Initiativen auf EU-Ebene gehen noch weiter. Es gibt Bemühungen aus Brüssel, welche die Sicherheitsherausforderungen kritischer Infrastrukturen zusammenfassen. Diese Bemühungen werden von gateprotect unterstützt insbesondere das EP- CIP (European Programme for Critical Infrastructure Protection). Das (übersetzt) europäische Programm zum Schutz kritischer Infrastrukturen besagt, dass EU-zentrierte Standards und Lösungen für Europa benötigt werden. Egal ob die Enthüllungen von Edward Snowden der Wahrheit entsprechen oder nicht. Es ist nicht länger annehmbar, blindlings Anbieterlösungen für kritische Infrastrukturen aus Amerika, Israel, China, Indien oder anderen außereuropäischen Staaten zu akzeptieren und gleichzeitig zu erwarten, dass die Einhaltung europäischer und deutscher Standards und Gesetze jederzeit gewährleistet ist. Heutzutage ist der weltweit einflussreichste Standard wahrscheinlich die ISO/IEC Normenreihe Die ISO/IEC wurde vor Kurzem überarbeitet und gestrafft und ist ein wichtiger Ausgangspunkt für die Empfehlungen von gateprotect.

7 6 ZIEL: EINE EUROPÄISCHE ENERGIENETZSICHERHEIT Herkömmliche Firewalls und Sicherheitsstrategien sind nur eingeschränkt in der Lage, den in Prozessnetzen notwendigen Schutz zu gewährleisten. Die klassische Portfilterung ist zu ungenau, und die in UTM-Lösungen verfügbaren Zusatzlösungen wie Anti-Virus, Anti-Spyware, Intrusion-Detection-System oder Webfilter folgen dem Blacklisting-Konzept. An dieser Stelle setzt die Next-Generation-Firewall von gateprotect an: Über feingranulare Applikationserkennung wird ein Whitelisting-Ansatz realisiert, der über Deep-Packet-Inspection sogar die Filterung und Bewertung innerhalb von Applikation ermöglicht. Der Ansatz der vollständigen Positivvalidierung geht auf die Notwendigkeit in der Energiebranche ein: Jeglicher Verkehr, der die Firewall passieren möchte, muss eindeutig identifiziert und validiert werden. Unbekannte Datenströme, ja sogar unbekannte Komponenten in bekannten Daten, werden zuverlässig blockiert. Der technische Fortschritt der Next-Generation-Firewall gateprotect NP im Detail: Applikationsfilterung vs. klassischer Portfilterung Ursprünglich wurden Ports im Internetverkehr dafür genutzt, um die verschiedenen Arten der Kommunikation zu charakterisieren. So wurde Port 25 für Mail-Verkehr, Port 21 für den Dokumententransfer oder Port 80 zum Surfen verwendet. Prinzipiell halten sich die gutartigen Anwendungen auch heute noch daran. In vielen Fällen ist es jedoch sehr viel einfacher, verschiedene Arten von Verkehr über ein- und denselben Port zu trans- portieren. Als Beispiel sind hier Webmailer zu nennen (Mails im Browser) oder Cloud-Datenspeicher (Dropbox etc.), welche über den HTTP-Port 80 abgewickelt werden. Bösartiger Datenverkehr kann demnach über jeglichen geöffneten Port stattfinden und sich somit als gutartig tarnen. Um Kommunikation wieder eindeutig erkennen zu können, muss der Verkehr selbst identifiziert werden. Es reicht nicht mehr aus, nur den Port zu bestimmen oder freizugeben beziehungsweise zu blockieren. Damit kann mit Hilfe der Firewall für einzelne Rechner oder auch das gesamte Netzwerk sehr feingranular bestimmt werden, welche Art von Netzwerkverkehr zu oder von einer Maschine gestattet ist. Ein weiterer Vorteil besteht darin, grundlegende Traffic-Shaping-Methoden auf diesen eindeutig erkannten Netzverkehr anzuwenden. Das heißt, die Bandbreite von weniger wichtigen Applikationen muss zugunsten von geschäftskritischen Anwendungen beschränkt werden. Streaming-Inhalt, wie You- Tube oder Spotify, wird so eingeschränkt, dass nur ein begrenzter Teil der Bandbreite zur Verfügung steht, die SCADA-Steuerung aber jederzeit die benötigten freien Kapazitäten erhält. Deep-Packet-Inspection (DPI) Einen Schritt weiter geht die sogenannte DPI-Technologie. Hierbei wird eine Applikation nicht nur als solche erkannt. Vielmehr wird mit Hilfe von Decodern auch innerhalb einer Applikation oder eines Protokolls gefiltert. Steuerungsbefehle innerhalb von IEC werden beispielsweise nur von bestimmten Nutzern zu einem bestimmten Ziel über ein spezielles Inter- Prozess-Netz z. B. Steuerung und Management Büro-Netz(e) öffentliches Netz INTERNET ROUTER Packetfilter GATEPROTECT NP Aufbau eines Firewallkonzeptes mit mehreren Zonen ROUTER Packetfilter GATEPROTECT NP

8 7 face verschlüsselt akzeptiert. Hiermit kann eindeutig sichergestellt werden, dass der Netzwerkverkehr genau das darstellt, was er vorgibt zu sein. Ebenso kann die Kommunikation für bestimmte Nutzer oder Geräte eingeschränkt werden. Ein dedizierter User kann beispielsweise Daten auslesen, aber nicht steuern. Dies erweitert die Sicherheit auf Applikationsebene. Vollständige Positivvalidierung (Whitelisting) Im Gegensatz zu Portfilter- oder UTM-Firewalls, erlauben Next-Generation-Firewalls, den Sicherheitsgrundsatz für einzelne Zonen umzukehren: War es bisher nicht möglich beispielsweise HTTP-Verkehr einzuschränken, weil nicht feingranular unterteilt werden konnte, kann jetzt einzeln und explizit definiert werden, was erlaubt ist. Es wird nicht mehr nur innerhalb großzügig erlaubtem Netzwerkverkehr versucht, einen Schadcode zu identifizieren. Vielmehr wird ausschließlich erlaubt, was im Voraus als gutartig definiert wurde. Daraus ergibt sich im ersten Schritt folgendes schematisches Netzwerkkonstrukt: Gemäß BSI-Grundschutz-Katalog M2.73 soll ein mehrstufiges Firewallkonzept zur Anwendung kommen. Die Bezeichnung PAP-Modell steht für Packetfilter Application Level Gateway Packetfilter. Ein Modell, bei dem ein Application Level Gateway user- und netzseitig von einem Packetfilter geschützt wird. Der erste Packetfilter öffentliches Netz wird INTERNET von einem Router ROUTER dargestellt, Packetfilter der Applikationsfilter sowie der zweite Packetfilter dann in der Next-Generation-Firewall. Externe Devices kommunizieren per (IPSec-)VPN mit dem Prozessnetz, der VPN-Tunnel wird erst in der zweiten (Next-Generation-) Firewall terminiert. Die zweite Firewall erhält ein Regelwerk, welches innerhalb des Prozess-Netzwerkes ein Positiv-Regelwerk darstellt und somit ausschließlich das zulässt, was gewünscht ist. Dieses Mehrzonenkonzept ist kostengünstig darzustellen, der zusätzliche Aufwand ist gering. In einem zweiten Schritt wird versucht, auch im Perimeter-Bereich (Internetzugang) eine komplette Trennung zu realisieren. Ein schematisches Konzept kann wie folgt aussehen: Zusätzlich zum ersten Konzept findet in dieser Version der Zugang zum öffentlichen Netz für das Prozessnetz über einen eigenen Router statt. Sowohl das Büronetz, als auch das Prozessnetz werden getrennt behandelt. Steuerungseingriffe können jedoch über eine demilitarisierte Zone (DMZ) realisiert werden, die im äußersten Notfall physikalisch abgetrennt werden kann. Das externe Management (z.b. Service-Techniker) kann je nach Konfiguration entweder über den Prozessnetz-Router im Internet direkt stattfinden oder abgesichert über den Büro-Router und die DMZ. Auch hier kommunizieren z. die B. Steuerung abgesetzten und Management Geräte durch das Internet über Prozess-Netz verschlüsselte VPN-Verbindungen. Das Regelwerk wird sowohl für das Prozessnetz als auch für die DMZ (an beiden Next-Generation-Firewalls) mit einer entsprechend feinen Filterung als Positivvalidierung Büro-Netz(e) ausgeführt. In beiden Konzepten GATEPROTECT können NP aus Gründen der Ausfallsicherheit die strategisch wichtigen Komponenten (Router und Firewall) jeweils als Hochverfügbarkeitscluster ausgeführt werden. ROUTER Packetfilter GATEPROTECT NP Prozess-Netz z. B. Steuerung und Management DMZ Büro-Netz(e) öffentliches Netz INTERNET ROUTER Packetfilter GATEPROTECT NP Aufbau eines Firewallkonzeptes mit kompletter Trennung von Prozess- und IT-Netzwerk

9 PROZESS-NETZ IT-NETZ (BÜRO) NETZWERK KOMMUNIKATION 8 FWE SPS HE BÜRO- UND IT-SYSTEME HE Haupteinheit FWE Fernwartungseinheit SPS Speicherprogrammierbare Steuerung Methodik der Echelons der internen Verteidigung INTERNETVERKEHR Minimierung der Angriffsfläche Bedrohungserkennung und Eliminierung Identifizierung, Blockade und Überwachung Einhaltung, Überwachung und Weiterentwicklung INTERNETVERKEHR VALIDIERT Maßnahmen für eine nachhaltige Verteidigung der IT-Infrastruktur von Energieerzeugern und -versorgern gateprotect verfolgt eine ganzheitliche Methodik für die Sicherheit der Energiemarktbranche: Wir nehmen den gesamten Lebenszyklus eines erfolgreichen Angriffs ins Visier. gateprotect NP zielt darauf ab, eine Stufe im Lebenszyklus oder in der Angriffskette zu stören, um die Prozesse in der Energiebranche erfolgreich zu verteidigen. Das ist gateprotect Methodik des»echelons der internen Abwehr«und kann mit Hilfe der klassischen Risikokalkulation für interne Netzwerksicherheitsabwehr ausgedrückt werden: Werden R, B, S oder F gegen Null (0) gesteuert, ist das Sicherheitsrisiko deutlich minimiert. Die Methodik von gateprotect der»echelons der internen Verteidigung«konzentriert sich auf die Reduzierung der Bedrohungen, auf den Zugang zu Schwachstellen, auf die Begrenzung der Folgen (also B, S und F) im Netzwerk sowie auf die Interaktion mit anderen Systemen innerhalb des eingesetzten Sicherheitsökosystems. Risiko (R) = Bedrohung (B) x Schwachstellen (S) x Folgen/Auswirkungen (F)

10 9 Minimierung der Angriffsfläche Das zentrale Ziel des Echelons ist es, die interne und externe Angriffsfläche zu verkleinern. Es werden nur diejenigen Verbindungspunkte am Perimeter an die Standorte und Dienste freigegeben, welche in Bezug auf gesetzliche und interne Sicherheitspolitik und Risikoprofile einschließlich ISO/IEC 2700x als valide eingestuft sind. Schränken Sie zum Beispiel Anschlusspunkte zwischen Prozessnetzwerken, verteilten Endpunkte und internen ICS-Netzwerken ein. Empfehlungen Wenden Sie das BSI-PAP-Konzept an und etablieren Sie eine zweite Verteidigungslinie neben Ihrer Perimeter-Firewall, um gezielte Angriffe durch die DMZ zu stoppen und auch den netzwerkinternen Verkehr zu inspizieren. Stellen Sie die Sichtbarkeit von Prozessteuerungsund IT-Netzwerken sicher und sorgen Sie für eine zuverlässige Kommunikation. Steuern und überwachen Sie den Zugang zu den kritischsten Punkten des Netzwerkes. Verschlüsseln Sie die Kommunikation mit und innerhalb externer Standorte (z.b. Windkraftanlagen, Solarzellen, Smart Meter). Trennen Sie logisch intra-it/interne IT- und intra- PCN/interne Funktionen des Prozesssteuerungsnetzwerks von Benutzer zu Benutzer pro Anwendung. Zum Beispiel können Marketing und Vorstand auf bestimmte Internet-Clouds oder SaaS-Dienste zugreifen, aber sie können sich nicht direkt zu einer Datenbankcluster-Signatur verbinden. SIP-Telefone sollten keine SSH-Verbindungen herstellen. Erzwingen Sie den Zugang zu IP-Adressbereichen und bestimmten Maschinen. Bedrohungserkennung und Eliminierung Das Ziel dieses Echelons ist es, zielgerichtete Bedrohungen innerhalb bestehender Kommunikationsprozesse zu stoppen, damit sie nicht die Empfänger oder Systeme erreichen. Eines der Hauptmerkmale dieses Echelons, das der gateprotect NP unterstützt, ist die Identifikations- und Decodierfunktion von Anwendungen. Dies erlaubt, dass Kommunikationssyntax und Bedeutung der Daten ermittelt werden. Die einheitliche Bezeichnung dieses Regelwerks findet dann bei Applikationsidentifikation, Firewall- und UTM-Funktionen Anwendung. Empfehlungen Untersuchen Sie den internen Datenverkehr nach den Regeln der Intrusion-Prevention-System-Politik und blockieren Sie verdächtigen Datenverkehr. Prüfen Sie den Kommunikationsprozess auf Malware und Viren. Schränken Sie den Zugang über Ethernet IP oder HTTP zu einem bestimmten Gerät oder mehreren Geräten ein. Identifizierung, Blockade und Überwachung der definierten Sicherheitsrichtlinien Das Ziel dieser Ebene ist es, interne Maßnahmen zu bestimmen, die auf eine Infizierung oder sogar auf mögliche interne Bedrohungen hinweisen können. Empfehlungen Prüfen Sie die IEC 104-Kommunikation von Windkraftanlagen. Schränken Sie Transaktionen ein, die durch Benutzer mit Fernzugriff ausgeführt werden können. Filtern Sie sämtlichen Netzwerkverkehr, blockieren Sie potentiell gefährliche Domains, begrenzen Sie Domain-Gruppen/Kategorien für Dritte. SIP-Telefone sollten keine SSH-Verbindungen aufbauen. Auf SIP-Telefonen sollten keine Anwendungen außer SIP laufen. Überwachen Sie den YouTube-Verkehr Ihrer Angestellten, so dass dieser nicht mehr als x% der kritischen Infrastrukturbandbreite verbraucht.

11 10 Einhaltung der definierten Sicherheitsrichtlinien, ihre Überwachung und Weiterentwicklung Das Ziel dieses Echelons und daraus resultierender Technologien und Empfehlungen ist es, interne Sicherheitsadministratoren, Systeme, Prozesse und erlassene Vorgehensweisen zusammenwirken zu lassen und zu verstärken. Empfehlungen Entschlüsseln Sie IEC-104-Kommunikation, um sicherzustellen, dass nur gewisse Nachrichten und Befehle von bestimmten Standorten kommen können. Prüfen Sie jede Fernzugriffstransaktion auf der Datenebene. Alarmieren Sie das SIEM-Sicherheitsökosystem beim Feststellen verdächtiger Aktivitäten. Schauen Sie sich netzwerk- und nutzerbasierte Berichte über Unregelmäßigkeiten hinsichtlich des Verkehrs und/oder der Verwendung an. SIP-Telefone können nur mit dem SIP-Server kommunizieren. Andere Kommunikation sollte markiert und SIEM gewarnt werden.

12 11 GANZHEITLICHE SICHERHEIT AUS DEUTSCHER HAND Im Wesentlichen formen drei Kernelemente die Basis für Sicherheitslösungen im Energiemarkt, welche sich auch in den Sicherheitsempfehlungen von gateprotect und der Methodik einer mehrstufigen internen Verteidigungslinie wiederspiegeln. Applikationsidentifizierung und -dekodierung gateprotect bietet eine native Applikations- und Protokollerkennung sowie eine Dekodierungsmethodik. Dadurch können nicht nur übliche Protokolle schnell identifiziert und entsprechend üblicher Firewall-Richtlinien angewendet werden, sondern auch spezifische Protokolle, welche im deutschen und europäischen Energiemarkt Anwendung finden (bspw. IEC 104 Protokollidentifikations- oder IEC 104 Protokolldekodierungssteueranzeigen). Engine erlaubt mehrere simultane Operationen auf den Datenverkehr, die den Inhalt jeder einzelnen Datenübertragung detailliert durchleuchten und nicht an Ihrer Komplexität scheitern. Zudem werden nicht nur verschiedene Funktionen in einer Lösung abgebildet, die nachweislich unterschiedliche Anforderungen erfüllen, sondern auch in einem Schritt widergespiegelt. Einhaltung rechtlicher Bestimmungen / Empfehlungen gateprotect ist ein deutsches Unternehmen, welches die gesetzlichen Empfehlungen, sowohl bei allgemeinen als auch bei besonderen Anforderungen, unterstützt. Darüberhinaus verpflichtet sich gateprotect gemäß der Initiative der Bundesregierung, keine versteckten Zugänge (»Backdoors«) in Ihre Produkte einzubauen, welche von Geheimdiensten oder anderen Organisationen ausgenutzt werden könnten.»single Pass Engine«Hierbei handelt es sich nicht um eine herkömmliche zentrale Steuerung, sondern eine»single-pass-engine«, welche mehrere Aspekte des Netzwerkverkehrs gleichzeitig überprüft und dabei den Kontext jeder einzelnen Verbindung beachtet. Die Verknüpfung unterschiedlicher, einzelner Sicherheitslösungen führt oft zu Zielkonflikten. Eine hoch parallelisierte Single-Pass-

13 12 FUNKTIONEN DES GATEPROTECT NP Feature Specifications UNIFIED THREAT MANAGEMENT Web Filter Part of the unique Single Pass Engine Block rules up to user-level Blacklists / Whitelists Category based website-blocking Granular filters based on http protocol decoding Patterns of Symantec Application Control Part of the unique Single Pass Engine Layer 7 Packet filter (DPI) Filter applications and protocols Detection & control of applications and protocols like Skype, Bittorrent as well as Web 2.0 applications like Facebook Protocol decoders for real time access to parameters like content type, cookies Patterns of ipoque Antivirus Part of the unique Single Pass Engine HTTP, HTTPS FTP, POP3, SMTP Manual and automatic updates Patterns of Bitdefender DoS, portscan protection Malicious network packet protection Signatures of Emerging Threats LAN / WAN-SUPPORT Ethernet 10/100/1000 MBit/s 10 Gigabit Ethernet for L Series SFP and SFP+ Fibre optics support for L Series MTU changeable (Ethernet/DSL) PPP-PAP, PPP-CHAP authentication Time controlled Internet connections Manual and automatic DNS assignment DMZ Zone based networking VLAN 4094 VLAN per interface 802.1q ethernet header tagging Combinable with bridging Bridge Mode OSI-Layer 2 firewall function Two interfaces per bridge Combinable with OpenVPN HIGH AVAILABILITY Active-passive HA traffic statistics Interface statistics Domain statistics Rule statistics MANAGEMENT Role based firewall administration Ergonomic Graphic User Interface Immediate visual feedback for each setting Self-explanatory functions mobile device support MONITORING Network (interfaces, routing, traffic, errors) Processes VPN TRAFFIC SHAPING / QOS Traffic Shaping and Priorisation on per Rule base VPN Site-to-Site Client-to-Site (Road Warrior) PPTP OpenVPN IPSec SSL Bridge mode VPN BACKUP & RECOVERY Small backup files Automatic and time based backups USER AUTHENTICATION Active Directory / LDAP support Local User database Web-interface authentication Captive Portal * except gateprotect NP-S50 Intrusion Prevention* Part of the unique Single Pass Engine Rule groups selectable Exceptions definable Scanning of all interfaces LOGS, REPORTS, STATISTICS Logging to multiple syslog-servers Logs in admin-client (with filter) IP / User and Zone statistics TOP lists Application and protocol hit and IPSec Tunnel mode IKEv1, IKEv2 PSK DPD (Dead Peer Detection) NAT-T XAUTH, L2TP IHRE VORTEILE Feingranulare Analyse des Netzwerkverkehrs für maximale Unternehmenssicherheit Voller Schutz-Funktionsumfang Applikationskontrolle, Webfilter, Intrusion-Prevention-System, Malware-Filter, Anti-Virus Responsive ergonomische Benutzeroberfläche für eine präzise Administration spart Kosten Hohe Performance bei gleichzeitiger Nutzung aller Funktionen Qualität»Made in Germany«

14 13 NEXT GENERATION FIREWALL: FÜR EINE MEHRSTUFIGE VERTEIDIGUNG Die rasante Bedrohungslandschaft hat viele der heutigen Informationssicherheitslösungen obsolet werden lassen. Es ist nicht länger möglich, sein Unternehmen und Netzwerk allein durch eine Firewall abzusichern, die lediglich externe Bedrohungen blockiert. Die massive Zunahme von webbasierten Anwendungen ermöglicht zwar einerseits eine Produktivitätssteigerung von Unternehmen. Andererseits handelt es sich dabei oft um Hauptangriffsvektoren. Leicht verfügbare verschlüsselte Protokolle, bieten ideale Hintertüren für verdeckte und bösartige Aktivitäten durch eigene Mitarbeiter, Angreifer oder Botnets. Die weltweite Masse an Kriminellen, staatlich unterstützten Angreifern und Hacktivisten zielen direkt auf die wertvollsten materiellen und immateriellen Güter eines jeden Unternehmens: geistiges Eigentum, Unternehmens- und Abrechnungsdaten, Marke und Reputation, Benutzer-Endpunkte, den Zugang zu Netzwerkressourcen auf das Geschäftsmodell des Unternehmens selbst. gateprotect NP schützt vor allen aktuellen und zukünftigen Bedrohungen mit einer Kombination aus port-unabhängiger Applikationserkennung, Traffic Management, Anti-Virus und Malwarefilter sowie Intrusion- Prevention-System (IPS) und Webfilter. Eine von Grund auf neu entwickelte, hoch parallelisierte Single-Pass- Engine erlaubt mehrere simultane Operationen auf dem Datenverkehr, die den Inhalt jeder einzelnen Datenübertragung detailliert durchleuchten. Diese Single-Pass- Engine nutzt eine Signaturdatenbank für Hunderte Applikationen, Tausende von Bedrohungen und Millionen Web-Adressen (URLs) für einen maximalen Schutz des Unternehmensnetzes, ohne dabei Kompromisse beim Firewall-Durchsatz einzugehen. gateprotect NP bietet mit seinen Protokolldekodern den Modus der vollständigen Positivvalidierung, bei dem jede Übertragung auf Anwendungsart und Inhalt analysiert und nur zugelassen wird, nachdem sie vollständig validiert wurde. Mit diesem Modus schützt gateprotect NP sogar gegen Zero-Day-Angriffe. Qualität»Made in Germany«Unsere Next-Generation-Firewall gateprotect NP wurde vollständig in Deutschland entwickelt und ist Träger des Qualitätssiegels»IT Security made in Germany«. Dieses Siegel erhalten Unternehmen, die folgende Kriterien erfüllen: Entwicklung einer vertrauenswürdigen IT-Sicherheitslösung Keine versteckten Zugänge für Dritte (keine Backdoors) IT-Sicherheitsforschung und -entwicklung in Deutschland Entspricht dem deutschen Datenschutzrecht

15 14 GERÄTEÜBERSICHT GATEPROTECT NP Spezifikationen NP-S50 NP-M200 NP-L500 Netzwerkanschlüsse Ports (GigE + 10G + Mgmt) System Performance* Firewall Durchsatz (MBit/s) VPN Durchsatz (MBit/s) UTM Durchsatz (MBit/s) Gleichzeitige Sessions Neue Sessions pro Sekunde Max. VPN-Nutzer Max. Zonen Maße H x B X T (mm) 44 x 426 x x 430 x 436,5 88 x 430 x 547,6 Gewicht (kg) 4, Strom Eingangsspannung (V) Leistungsaufnahme (W) Umgebung Temperaturbereich / Betrieb ( C) Relative Luftfeuchtigkeit 5 85 % bei 40 C 5 85 % bei 40 C 5 85 % bei 40 C Spezifikationen NP-S100 NP-M400 NP-L800 Netzwerkanschlüsse Ports (GigE + 10G + Mgmt) System Performance* Firewall Durchsatz (MBit/s) VPN Durchsatz (MBit/s) UTM Durchsatz (MBit/s) Gleichzeitige Sessions Neue Sessions pro Sekunde Max. VPN-Nutzer Max. Zonen Maße H x B X T (mm) 44 x 426 x x 430 x 436,5 88 x 430 x 547,6 Gewicht (kg) 4, Strom Eingangsspannung (V) Leistungsaufnahme (W) Umgebung Temperaturbereich / Betrieb ( C) Relative Luftfeuchtigkeit 5 85 % bei 40 C 5 85 % bei 40 C 5 85 % bei 40 C * Die Systemleistung hängt u.a. von der Anzahl der aktiven VPN-Verbindungen und von der Anwendungseben ab. Keine Gewähr für die Aktualität der hier enthaltenen Informationen.

16 gateprotect ist seit mehr als zehn Jahren ein führender, international tätiger Hersteller von IT-Sicherheitslösungen im Bereich der Netzwerksicherheit. Diese Lösungen umfassen Next Generation Firewalls mit allen gängigen UTM-Funktionalitäten, Managed-Securitysowie VPN-Client-Systeme. Um umfassenden Netzwerkschutz und die Sicherheit mobiler Geräte und Endpunkte auch bei gezielten Cyberattacken aus unterschiedlichen Quellen schnell sicher zu stellen, hat gateprotect das egui -Interface-Konzept entwickelt. Die patentierte egui - Technologie (ergonomic Graphic User Interface) ist extrem einfach zu bedienen und erhöht die faktische Sicherheit in Unternehmen durch Reduktion von Bedienerfehlern. Die gateprotect Lösungen erfüllen höchste internationale Standards - so wurde beispielsweise der Firewall-Packet-Filtering-Core im März 2013 nach Common Criteria Evaluation Assurance Level 4+ (EAL 4+) beim Bundesamt für Sicherheit in der Informationstechnik zertifiziert. Für die einfache Bedienbarkeit und umfassende Sicherheit der UTM-Firewall- Lösungen wurde gateprotect als erstes deutsches Unternehmen mit dem Frost & Sullivan Excellence Award ausgezeichnet. Seit 2010 wird gateprotect zudem im renommierten Gartner Magic Quadrant für UTM-Firewall-Appliances geführt. gateprotect ist Mitglied des Kompetenznetzwerkes»TeleTrust e.v.«und der»allianz für Cyber-Sicherheit«des BSI. gateprotect GmbH Valentinskamp Hamburg Hotline Tel. +49 (0) Internet gateprotect ist ein Unternehmen der Rohde & Schwarz-Firmengruppe. Der Elektronikkonzern Rohde & Schwarz ist ein führender Lösungsanbieter in den Arbeitsgebieten Messtechnik, Rundfunk, Funküberwachungs- und -ortungstechnik sowie sichere Kommunikation.