NESSI - Methoden und Werkzeuge der Netzwerksicherheit in der Automatisierungstechnik

Das Projekt NESSI hatte sich der Aufgabe gestellt, den steigenden Anforderungen an Sicherheitsmaßnahmen besonders im Bereich der Automatisierung ein wirksames Mittel entgegen zustellen. Dazu wurden eine Methodik und die erste Version eines Softwaretools entwickelt, um kleinere und mittlere Industrial Ethernet Netzwerke zu analysieren und hinsichtlich der Netzwerksicherheit zu administrieren. Dabei wurde die Möglichkeit geschaffen, die Systemtopologie und die Kommunikationsbeziehungen zu modellieren. Dem Werkzeug liegt eine Methodik zugrunde, die dem Anwender in drei Schritten durch die Analyse und Absicherung des Fertigungsnetzes führt:

Ist-Analyse: dient zur Ermittlung der Netzwerktopologie und zur Analyse der bestehenden Kommunikationsbeziehungen
Generierung des Soll-Zustandes: leitet aus dem Ist-Zustand entsprechende Regeln für Infrastrukturkomponenten ab (z.B. Firewalls)
Überwachung des Soll-Zustandes: überwacht anhand der Regeln die Kommunikation im Netz und prüft auf eventuelle Angriffe und Fehlverhalten

Für die Ist-Analyse wurde ein Datenmodell geschaffen, mit dem die Möglichkeit gegeben ist ein Netzwerk mit seiner logischen und physikalischen Sicht abzubilden und zu modellieren. Damit ist es möglich alle notwendigen Daten zu erfassen sowie daraus in direkter Weise die geräteorientierten Regeln für Sicherheitsmaßnehmen zu generieren. Für die Generierung des Soll-Zustandes wurde ein Regelmodell entwickelt, mit dem die Regeln für die Kommunikation beschreiben werden können. Diese Modelle wurden in der Software umgesetzt und dienen als Grundlage der Erstellung und Darstellung eines Netzwerkabbildes und der Bestimmung der gewünschten bzw. unerwünschten Kommunikationsbeziehungen. Durch seinen modularen Aufbau und die Berücksichtigung unterschiedlicher Protokolle und Sicherheitsgeräte bietet das Tool höchste Flexibilität hinsichtlich der Dokumentation und der Administrierung von Netzwerken. Es ist beispielsweise möglich beliebige zusätzliche Datenquellen als Ausgangspunkt für die Ist-Analyse und die Modellierung zu kreieren. Das Werkzeug ermöglicht es den wachsenden Bedarf an Netzwerksicherheit einfach und erfolgreich zu decken.