Herr Schoner, es gibt funktionierende Sicherheits-Maßnahmen, etwa Air Gaps und Glasfaserdioden, was spricht für eine Software-Datendiode?

Ein Air Gap ist ein Lufttrenner, der eine Datenverbindung gar nicht erst zulässt. Jedoch auch bei bisher getrennten IT-OT-Netzen muss, Stichwort Industrie 4.0, irgendwann kommuniziert werden. Damit beispielsweise der Mitarbeiter nicht mit einem USB-Stick zur Maschine laufen muss, erlaubt es unsere softwarebasierte Cyber-Diode, solche Air Gaps nachträglich zu vernetzen. Das Sicherheitsniveau ist dabei vergleichbar mit dem einer Glasfaserdiode, weil ein Datenfluss in die Gegenrichtung ausgeschlossen ist.

Im Gegensatz zur Glasfaser lässt sich mit der Cyber-Diode auch die Performance der Verbindung optimieren, da wir die Zustellung der Daten beim Empfänger monitoren können. Die Diode liefert nach vollständigem Empfang der Datenpakete ein einzelnes Bestätigungsbit zurück. Ein gesondert zu etablierender Rückkanal für die Vollständigkeitsprüfung des Datentransfers wie bei der Glasfaserdiode ist nicht notwendig. Das erhöht die Zuverlässigkeit.

Steve Schoner, Strategic Product Marketing Manager, Genua: „Die Cyber-Diode ermöglicht praktisch risikolose Vernetzung.“

Auch eine Firewall hat eine Einweg-Funktion …

Das stimmt und grundsätzlich ist das eine Alternative. Es wird eine Regel aufgespielt, die ‚pass‘ in die eine Richtung erlaubt sowie ‚block‘ für die Gegenrichtung sichert. Jedoch kaum eine Firewall besitzt nur eine Regel. Die dadurch entstehenden Regelsätze können sehr komplex sein, deshalb können sie aus Versehen falsch konfiguriert werden. Firewalls für hochkritische Netzwerksegmente einzusetzen, ist deshalb nicht empfehlenswert. Derlei Risiken sind bei der Cyber-Diode per Definition ausgeschlossen.

Welches Sicherheitslevel geben Sie der Cyber-Diode?

Die Sicherheitsarchitektur setzt auf rigoroses Security-by-Design, deshalb sprechen wir auch von praktisch risikoloser Vernetzung. Wir bilden im Produkt getrennte Bereiche aus, die sogenannten Compartments. Eine solche Architektur ist extrem schwer anzugreifen. Selbst im Falle einer Schwachstelle im Betriebssystem hätte dies keinen Einfluss auf die One-Way-Funktionalität der Diode. Um es bildhaft mit einer uneinnehmbaren Burg zu vergleichen: Sie hat einen unüberwindbaren Graben und die Zugbrücke ist oben.

Auf welcher Kommunikationsebene macht es Sinn, die Cyber-Diode einzusetzen?

Vor allem an der Grenze zwischen OT und IT. Bedingt durch die Sicherheitsebenen ist die Cyber-Diode nicht echtzeitfähig. Die Stärken kommen besonders in sehr strikt zu trennenden Netzwerk-Bereichen zum Tragen. Dort sind Segmentierungs-Firewalls die beste Alternative. Weil aber die OT- mit der IT-Welt immer mehr zusammenwächst, Protokolle wie OPC UA die Kommunikation vom Sensor bis in die Cloud unterstützt und die Bedrohungen zunehmen, wird sich der Schutzbedarf aller Anlagen letztendlich auch immer weiter erhöhen. Hier kann man durch die Cyber-Diode schon jetzt Zukunftssicherheit schaffen. Aktuell ist sie vor allem bei Organisationen im KRITIS Bereich oder Unternehmen mit regulatorischen Anforderungen gefragt.

Die Datendiode bietet sich z. B. für das Anlagenmonitoring, Predictive Maintenance oder Analytics-Aufgaben in der Industrie an.

Ein typisches Szenario zeigt die Abbildung: In der Mitte befindet sich die Cyber-Diode, links davon die sendenden Geräte, in diesem Szenario die OPC UA Server in Maschinen, die Daten aufnehmen und an die Datendiode schicken. Dort werden diese per One-Way nach außen geleitet und, optional per IP Sec VPN, an den empfangende OPC UA Client übertragen. Dieser kann an vielerlei Orten stehen: als On-Premise-System im Gebäude oder als Cloud-Infrastruktur, als virtualisiertes System oder physikalische Hardware.

Die Cyber-Diode ist in mehrere Compartments getrennt. (Virtualisierte Hardware + Betriebssystem + Software. Dadurch wird die Hardware in sich getrennt, als wären es verschiedene Geräte.) Das schwarze Compartment stellt den Versender dar, im Falle von OPC UA den Client. Das rote Compartment entspricht der empfangenden, VPN-ready Seite. Sie leitet den Datentransfer über ein Netzwerkinterface (NIC) nach außen, z. B. um die Datenpakete via VPN gesichert an das Zielsystem zu senden. Zwischen den beiden Compartments befindet sich der One Way Task, der die Einwegfunktion abbildet.

Ergänzend besitzt die Diode ein Update Compartment, das es erlaubt, neue Funktionalitäten oder System-Updates einzuspielen. Über Netzwerke ist dies nicht möglich. Diese restriktive Update-Funktionalität ist eine gewollte Sicherheitsbarriere. Updates lassen sich nur an dem Device selbst aufspielen, um über Netzwerkeinstellungen keine Änderungen an der Grundkonfiguration vornehmen zu können.

Das Software-Herzstück der Cyber-Diode bilden ein minimalistischer, gehärteter L4-Mikrokernel mit nur wenigen tausend Zeilen Code sowie ein ebenfalls gehärtetes Open BSD Betriebssystem. Beide sind extrem schwer anzugreifen. Selbst im Falle einer Schwachstelle im Betriebssystem hätte dies keinen Einfluss auf die One-Way-Funktionalität der Diode. Der Mikrokernel ist mittels Secure Boot zusätzlich vor Manipulation geschützt. Es lässt sich nur die von Genua vorgesehene Software auf der Datendiode starten.