In den letzten Jahren haben Cyberangriffe auf Abwasseranlagen in den USA gezeigt, wie anfällig die Betriebstechnologie sein kann. Anfang 2024 konnten Angreifer in mehreren texanischen Städten aus der Ferne auf ihre SCADA-Systeme zugreifen und sogar einen Wassertank zum Überlaufen bringen, bevor das Personal die Kontrolle wiedererlangte. Ein ähnlicher Vorfall in Tipton, Indiana, zwang die Betreiber, auf manuellen Betrieb umzuschalten, nachdem in den Anlagensystemen unregelmäßige Aktivitäten festgestellt worden waren. Diese Vorfälle machten die Risiken deutlich, die mit dem Anschluss der Aufbereitungsinfrastruktur an Unternehmens- oder Internetnetzwerke verbunden sind, und verdeutlichten, warum dieses Versorgungsunternehmen keine Kompromisse bei der Abschirmung seiner OT-Systeme eingehen konnte.
Wo Sicherheit und Sichtbarkeit zusammenstoßen
Verstehen von Historian-Daten
Ein AVEVA Historian ist eine spezialisierte Industriedatenbank, die für die Erfassung und Speicherung großer Mengen von Zeitseriendaten aus OT-Systemen wie Sensoren, Steuerungen und SCADA-Plattformen entwickelt wurde. Auf der Anlagenebene zeichnet ein lokaler Historian Prozessdaten (die von industriellen Steuerungssystemen und Sensoren erzeugten Rohdaten) für die Betreiber auf und stellt sicher, dass sie die Anlagen und Behandlungsaktivitäten in Echtzeit überwachen können.
Ein Tier-1-Unternehmenshistorian erfüllt eine andere Aufgabe: Er fasst Historian-Feeds aus mehreren Einrichtungen zusammen und bietet Unternehmensteams eine konsolidierte Ansicht für Berichte, Analysen und Planung. Die Herausforderung entsteht, wenn Daten von diesen lokalen Historians auf die Unternehmensebene übertragen werden müssen, ohne einen Weg zurück in kritische OT-Systeme zu öffnen.
Die Herausforderung des Secure Datenaustauschs
In einer seiner Anlagen musste das Versorgungsunternehmen Daten von einem lokalen AVEVA Historian an einen Tier 1 Historian in seinem Unternehmensnetzwerk weiterleiten. Diese Daten waren für die Überwachung und Berichterstattung auf Unternehmensebene wichtig, aber die Internetverbindung des Unternehmensnetzwerks machte eine direkte Integration unsicher.
Die Isolierung von OT-Systemen war von entscheidender Bedeutung, da jeder Weg zurück in die Kontrollumgebung einen Angriffsvektor darstellen könnte. Gleichzeitig schränkte die Isolierung von Historians die Möglichkeiten des Unternehmens ein, Erkenntnisse standortübergreifend zu nutzen und die Effizienz zu verbessern. Die Herausforderung bestand darin, beide Ziele zu erreichen: eine strikte Trennung aufrechtzuerhalten und gleichzeitig einen Einblick in Echtzeit zu ermöglichen.
Firewalls und andere softwarebasierte Tools reichten nicht aus. Sie konnten keine Einweg-Kommunikation garantieren, erforderten ständige Wartung und setzten kritische Werte weiterhin Risiken aus. Daher benötigte das Unternehmen eine Lösung, die eine physische Isolierung durchsetzt und gleichzeitig die Übertragung wichtiger Daten nach außen ermöglicht.
Einen Secure Weg für Echtzeitdaten schaffen
Das Versorgungsunternehmen wandte sich an OPSWAT und setzte MetaDefender Optical Diode (Fend) zusammen mit der eRIS-Softwareplattform ein. eRIS ist ein Datenverwaltungs- und Berichtstool, das im Wassersektor häufig zur sicheren Übersetzung und Bereitstellung von Historian-Daten verwendet wird und daher für diesen Einsatz besonders geeignet ist.
MetaDefender Optical Diode (Fend) ist ein hardwaregestütztes Cybersicherheitsgerät, das durch optische Isolierung eine Einwegkommunikation garantiert. Sie blockiert physisch jeglichen eingehenden Datenverkehr, um Fernzugriff oder das Eindringen von Malware zu verhindern. Die integrierten Schutzmechanismen gegen Denial-of-Service, Manipulationen und Stromschwankungen sorgen dafür, dass die Historian-Daten auch unter Stress zuverlässig weiterfließen.
Der Einsatz verlief folgendermaßen:
- eRIS-Installation: Die eRIS-Software wurde als Windows-Dienst auf dem bestehenden OT-AVEVA-Server installiert und übersetzt die Historian-Daten in ein unidirektionales Format.
- Optische Isolierung: Die Daten wurden dann sicher durch die MetaDefender Optical Diode (Fend) übertragen, die eine Einwegübertragung mit optischer Isolierung auf Hardwareebene erzwang.
- Protokoll-Unterstützung: Das Gerät unterstützt von Haus aus sowohl IT-Standardprotokolle wie FTP, SFTP, TCP und UDP als auch Industrieprotokolle wie Modbus und BACnet und eignet sich daher gut für Historian-Datenübertragungen.
- Unternehmenskonvertierung: Auf der Unternehmensseite konvertierte der eRIS Hub die Informationen zurück in das AVEVA-Format und bereitete sie für die Aufnahme in den Tier 1 Historian vor.
Von manuellen Verzögerungen zu sofortiger Einsicht
Mit der neuen Architektur musste das Versorgungsunternehmen nicht mehr zwischen Transparenz und Sicherheit wählen. Die Mitarbeiter der Kläranlage konnten beobachten, wie die Daten fast augenblicklich im Enterprise Historian auftauchten, wobei sie wussten, dass nichts in die Kontrollumgebung zurückfließen konnte. Was früher sorgfältige Workarounds erforderte (manuelle Erfassung, verzögerte Berichterstattung), geschah nun automatisch und gab sowohl den Betriebs- als auch den Unternehmensteams Vertrauen in die Informationen, die sie tagtäglich verwendeten.
Wichtigste Vorteile
Zeitersparnis bei der täglichen Arbeit: Anstatt darauf zu warten, dass Daten manuell erfasst und weitergegeben werden, konnten sich die Mitarbeiter auf einen stetigen Strom von Informationen verlassen, die zur Analyse bereitstanden.
Sorgenfreiheit für Sicherheitsteams: Die durch die Hardware erzwungene Einweg-Übertragung bedeutete, dass die OT-Systeme selbst bei einer Beeinträchtigung des Unternehmensnetzwerks unangetastet blieben.
Bessere Sichtbarkeit im gesamten Unternehmen: Unternehmensteams erhielten die benötigte Transparenz, ohne die Mitarbeiter der Einrichtung zu stören oder zu belasten.
Einfache Replikation in anderen Einrichtungen: Mit einer einfachen, wartungsarmen Bereitstellung kann das Versorgungsunternehmen dasselbe Modell bei Bedarf in anderen Einrichtungen replizieren.
Zum ersten Mal konnte sich das Unternehmen ein vollständiges Bild von seinen Abläufen in Echtzeit machen und wusste, dass seine kritischsten Systeme immer noch durch eine echte Luftlücke geschützt waren.
Aufbau einer Secure Wasserversorgung in der Zukunft
Mit den sicheren Historian-Datenübertragungen ist das Versorgungsunternehmen nun in der Lage, das gleiche Modell auf andere Teile seines Betriebs auszuweiten. Zusätzliche Kläranlagen, Pumpstationen und Überwachungssysteme können in das Unternehmensnetzwerk integriert werden, ohne dass OT-Umgebungen externen Bedrohungen ausgesetzt werden.
Die Bereitstellung bildet auch die Grundlage für die Einführung neuer Analyse- und Compliance-Verfahren. Unternehmensteams können auf zuverlässigen Echtzeit-Datenströmen aufbauen, um die Berichterstattung zu verbessern, die vorausschauende Wartung zu unterstützen und schneller auf betriebliche Veränderungen zu reagieren. Gleichzeitig bleiben die OT-Systeme durch eine hardwaregestützte Isolierung abgeschirmt, um wichtige Dienste vor Cyberangriffen zu schützen, die Wasser- und Abwasseranlagen in den Vereinigten Staaten gestört haben.
Durch die Kombination von Echtzeit-Transparenz mit kompromissloser Sicherheit hat das Versorgungsunternehmen einen Ansatz geschaffen, der nicht nur den heutigen Anforderungen entspricht, sondern auch für künftige Anforderungen beim Schutz kritischer Infrastrukturen gerüstet ist.
Erfahren Sie mehr darüber, wie MetaDefender Optical Diode (Fend) Ihre Einrichtung schützen kann, während wichtige Systeme sicher isoliert bleiben.
