Datendioden, die einst eine Nischentechnologie im Militär- und Nuklearsicherheitsbereich waren, sind mittlerweile zu einem unverzichtbaren Bestandteil der Cybersicherheit in Industrie und Unternehmen geworden. Da sich die durch Cybervorfälle verursachten Verluste seit 2017 auf fast 2 Milliarden US-Dollar vervierfacht haben, werden Datendioden zunehmend als Sicherheitsstandard eingesetzt, sei es als verbindliche Vorgabe oder als Empfehlung im Rahmen gesetzlicher Vorschriften. Ihre wachsende Bedeutung rührt daher, dass softwarebasierte Sicherheitslösungen wie Firewalls die Sicherheit nicht mehr gewährleisten können.
Der wachsende Bedarf an Datendioden
Da Datendiode den Datenverkehr auf Hardwareebene in eine Richtung lenken – häufig unter Einsatz von Glasfaserkabeln –, blockieren sie physisch den Rückkanal, den Ransomware und APTs (Advanced Persistent Threats) für ihre Funktionsweise benötigen. Während Firewalls für die meisten Geschäftsanwendungen nach wie vor Standard sind, empfehlen oder schreiben globale Vorschriften für kritische Infrastruktursektoren mit hohem Risiko, wie beispielsweise die Nuklear-, Energie- und Wasserwirtschaft, nun ausdrücklich den Einsatz von Datendioden vor, um eine physische Isolierung zwischen OT- (Operational Technology) und IT- (Information Technology) Netzwerken zu gewährleisten.
Das Sicherheitsprofil von Data Diode bietet drei wesentliche Sicherheitsvorteile, die über die Funktionen von Firewalls hinausgehen:
Im Gegensatz zu Firewalls, die durch Fehlkonfigurationen oder Zero-Day-Schwachstellen umgangen werden können, können netzwerkbasierte Bedrohungen die durch Hardware erzwungene Einweg-Sicherheit einer Diode nicht umgehen
Keine Hintertüren, wodurch Angreifer daran gehindert werden, Befehle an kompromittierte Systeme zurückzusenden
Protokollunterbrechung, die es Datendioden ermöglicht, Daten über ein nicht routbares Protokoll zu übertragen
Die wichtigsten Unterschiede zwischen Datendioden und Firewalls
| Merkmal | Firewall | Einweg-Gateway (Datendiode) |
|---|---|---|
| Mechanismus | Software(logisch) | Hardware(physisch) |
| Richtung | Bidirektional (gefiltert) | Ausschließlich in eine Richtung |
| Schwachstelle | Anfällig für Fehlkonfigurationen und Zero-Day-Exploits | Immun gegen softwarebasierte Fernangriffe |
| Anwendungsfall | Allgemeine IT-Sicherheit | Hochsicherer Schutz für OT/ICS |
Weltweite gesetzliche Vorschriften und Richtlinien
Aufgrund des nicht umgehbaren Sicherheitsprofils von Datendioden empfehlen globale Regulierungsbehörden deren Einsatz zur Segmentierung kritischer Infrastrukturnetzwerke und schreiben ihn in einigen Fällen sogar zwingend vor.
Mehrere Normen, wie beispielsweise NRC, NERC CIP (Energie), IEC 62443 (Industrie) und TSA-Richtlinien (Eisenbahn/Pipelines), schreiben einen hardwareseitig erzwungenen unidirektionalen Datenfluss für kritische Infrastrukturen vor oder empfehlen diesen nachdrücklich. Es gibt jedoch zahlreiche Beispiele für den Einsatz von Dioden in Branchen, in denen deren Verwendung derzeit nicht vorgeschrieben ist, wie zum Beispiel:
- Finanzdienstleister, insbesondere Banken, nutzen sie mittlerweile zur Absicherung von Netzwerken für Transaktionen mit hohem Wert sowie für die aufsichtsrechtliche Berichterstattung, um sicherzustellen, dass sensible Daten die Bank verlassen, ohne Hackern einen Angriffsweg zu eröffnen. Sie werden zudem zur Absicherung von Archiven und Notfallwiederherstellungszentren eingesetzt.
- Einrichtungen im medizinischen und pharmazeutischen Bereich setzen Datendioden ein, um geistiges Eigentum zu schützen und klinische Technologienetzwerke – wie Patientenmonitore und bildgebende Diagnostik – von den IT-Netzwerken des Unternehmens zu trennen.
- Organisationen der Schifffahrtsbranche setzen Datendioden ein, um Daten aus Maschinenräumen und Steuerungssystemen zu isolieren und zu überwachen sowie den Datentransfer zwischen Schiff und Land zu schützen.
Rechtliche Rahmenbedingungen, die den Einsatz von Datendioden vorschreiben oder empfehlen
Im Folgenden finden Sie eine Zusammenfassung der wichtigsten internationalen Vorschriften und Richtlinien, die den Einsatz von unidirektionalen Gateways vorschreiben oder nachdrücklich empfehlen.
Internationale Standards
IEC 62443
Teil 3-3 (SR 5.2) befasst sich mit der „Verfügbarkeit von Ressourcen“ und empfiehlt den Einsatz von unidirektionalen Gateways in Hochsicherheitszonen (Stufen 3 und 4), um die Ausbreitung von Malware zu verhindern und die Datenintegrität zu gewährleisten.
ISO 27019
Speziell für die Energiebranche wird in den Leitlinien die Notwendigkeit einer sicheren Netzwerksegmentierung hervorgehoben, wobei Datendioden als „bewährte Vorgehensweise“ für die Trennung von Prozessleitsystemen von externen Netzwerken genannt werden.
In Nordamerika
NERC CIP
Die Vorschriften der NERC (North American Electric Reliability Corporation) zum Schutz des Stromnetzes gehören zu den strengsten. Während die Standards CIP-002 bis CIP-013 den Einsatz von Firewalls zulassen, kann die Verwendung eines unidirektionalen Gateways einen Energieversorger von mehreren Compliance-Anforderungen „befreien“ (wie beispielsweise 21 von 26 Regeln in einigen NERC-Kontexten), da das Gateway den eingehenden elektronischen Zugriff physisch verhindert und so das Risiko im „Electronic Security Perimeter“ (ESP) effektiv verringert.
NIST SP 800-82 (Revision 3)
Der Leitfaden des National Institute of Standards and Technology zur Sicherheit Industrial nennt unidirektionale Gateways ausdrücklich als eine der wichtigsten Abwehrmaßnahmen. Er empfiehlt deren Einsatz für die Übertragung von Daten aus einem OT-Bereich mit hoher Sicherheitsstufe in einen IT-Bereich mit geringerer Sicherheitsstufe, beispielsweise für die Übermittlung von Sensordaten an eine Cloud-Datenbank, ohne dabei einem Angreifer einen Rückweg zu ermöglichen.
NRC RG 5.71
Dieser Rahmen der NRC (Nuclear Regulatory Commission) schreibt eine strenge Isolierung digitaler Systeme in Kernkraftwerken vor. Er legt den unidirektionalen Datenfluss als bevorzugte Methode für die Überwachung kerntechnischer Sicherheitssysteme aus externen Netzwerken fest.
In Europa
ANSSI (Frankreich) – PSSI-IV
Die französische Nationale Agentur für die Sicherheit von Informationssystemen (ANSSI) ist weltweit führend bei der Durchsetzung des Einsatzes von Datendioden. Für OIVs (Betreiber von kritischer Bedeutung) schreibt die ANSSI häufig den Einsatz zertifizierter Datendioden mit CSPN-Zertifizierung für jede Verbindung zwischen den kritischsten industriellen Netzwerken der „Klasse 3“ und dem Internet oder weniger sicheren Netzwerken der „Klasse 1“ vor.
NIS2-Richtlinie (EU-weit)
Die NIS2-Richtlinie (Netz- und Informationssicherheit) schreibt zwar keine bestimmte Hardware vor, verlangt jedoch von den „Betreibern“, Risikomanagementmaßnahmen nach dem neuesten Stand der Technik umzusetzen. In Branchen wie der Energie- und Wasserversorgung setzen nationale Regulierungsbehörden wie das BSI in Deutschland und das CCN in Spanien die NIS2-Richtlinie in technische Anforderungen um, die eine hardwaregestützte Segmentierung gegenüber softwarebasierten Firewalls bevorzugen.
In Asien und im Nahen Osten
Saudi-Arabien (NCA)
Die Nationale Behörde für Cybersicherheit Saudi-Arabiens hat spezifische „Data-Diode-Standards“ für kritische Sektoren herausgegeben, in denen dargelegt wird, wie diese zum Schutz der Öl-, Gas- und Versorgungsanlagen des Königreichs eingesetzt werden müssen.
Südkorea (KISA)
Ähnlich wie in Singapur legen die Richtlinien Südkoreas für Smart Grids und nukleare Sicherheit großen Wert auf unidirektionale Gateways für die Datenausleitung, um eine laterale Bewegung aus dem öffentlichen Internet zu verhindern.
Branchenführende Datendioden und einheitlicheOT Security
MetaDefender ermöglichen eine hardwaregestützte Einweg-Datenübertragung zwischen IT- und OT-Netzwerken und gewährleisten so eine sichere Datenreplikation und Betriebstransparenz, ohne die Netzwerkisolierung zu beeinträchtigen.
Wenn Sie mehr darüber erfahren möchten, wie OPSWAT dazu beitragen kann,OPSWAT die Einhaltung regionaler und globaler regulatorischer Rahmenbedingungen zu unterstützen, wenden Sie sich noch heute an einen Experten.
