Durch die Digitalisierung der Energiebranche werden moderne Prozessteuerungs-Netzwerke zunehmend mit den IT-Netzen für Geschäftsprozesse verbunden, um die Vorteile von Industrie 4.0-Szenarien nutzbar zu machen. Diese Netzwerkkonvergenz birgt jedoch auch Gefahren: Schad-Software kann über das Büro- in das Produktionsnetzwerk eindringen. In vielen Fällen sind die dort eingesetzten, industriellen Leit- und Steuerungskomponenten noch nicht fähig, sich auf gleichem Niveau gegen Cyberangriffe zu verteidigen wie etwa ein gut gesicherter Server oder Arbeitsplatz-PC. Um die neuen intelligenten Energienetze („Smart Grid“) erfolgreich zu schützen, ist daher eine effektive gegenseitige Abschirmung der Netzwerke erforderlich.
Rohde & Schwarz SIT, einer der führenden europäischen Anbieter für professionelle IT-Sicherheitslösungen, hat speziell für solche Anforderungen seine Next Generation Firewall (NGFW) R&S®SIT-Gate entwickelt. Mithilfe des „Deep Packet Inspection“-Verfahrens (DPI) prüft das SITGate permanent alle ein- und ausgehenden Datenverbindungen auf Protokollverletzungen, Malware und weitere unerwünschte Inhalte. Jeglicher Verkehr, der die Firewall passieren möchte, wird in Echtzeit eindeutig identifiziert und validiert – wenn gewünscht, bis auf einzelne Anwendungen, Geräte oder Benutzer genau. Im Bedarfsfall kann das SITGate zu jedem Zeitpunkt in die Verbindung eingreifen: Unbekannte Datenströme, aber auch unbekannte Befehle oder Parameter in zulässigen Protokollen, werden zuverlässig und in Echtzeit erkannt und blockiert.
Mit der Next Generation Firewall SITGate schützen Stadtwerke und Energie-Erzeuger ihre IT-Landschaft damit selbst vor komplizierten Angriffs-Szenarien – beispielsweise vor zeitversetzten Angriffen – indem sie unerwünschte Netzwerkzugriffe erkennt und diese konsequent abwehrt. Dazu wird die Lösung in der Praxis als zweite Verteidigungslinie, der sogenannten Second Line of Defense, eingerichtet. Als zusätzliche Firewall überwacht und filtert das SITGate den Datenverkehr hierbei am internen Perimeter zwischen Büro- und Steuerungsnetz. Die zuverlässige Absicherung erfolgt über zwei Mechanismen: Zum einen sorgt ein fest definierter Satz an Regeln für „erlaubte“ Datenübertragungen – das sogenannte Whitelisting – für maximalen Schutz vor sogenannten Zero-Day-Attacken. Diese Angriffe erfolgen, solange die entsprechenden Schwachstellen in Protokollen und Anwendungen noch nicht bekannt sind und von marktgängigen Tools nicht identifiziert und abgewehrt werden können. Zum anderen ist dank der DPI die inhaltliche Überprüfung von Datenströmen möglich. Beispielsweise kann über einen Smart-Grid-Protokolldekoder festgelegt werden, dass verteilte Stromerzeuger nur Messwerte und Statusinformationen, aber keine Steuerbefehle oder Schadcode an andere Netzelemente oder Leitstellen senden können.
Die hoch parallelisierte Analyse des Datenverkehrs durch eine „Single Pass Engine“ sorgt für einen enormen Performance-Zugewinn auf vergleichbaren Plattformen, denn sie führt mehrere Operationen simultan aus, die oft noch aufwendig sequentiell bearbeitet werden: beispielsweise User Tracking, Anwendungserkennung, Protokollvalidierung oder Malwareschutz. Durch die parallele Verarbeitung entfällt Performance-Overhead, da jedes Datenpaket nur einmal bearbeitet werden muss.