IEC 60870-5-104-Sicherheit: So gestalten Sie den Fernzugriff sicherer

Da das standardmäßige IEC 60870-5-104-Protokoll über keine integrierte Verschlüsselung verfügt, erläutern wir in diesem Artikel spezifisch, wie Sie Ihre Verbindungen dennoch sicher halten.

Die EC 60870-5-104-Sicherheit ist eine Herausforderung, wenn Sie Anlagen aus der Ferne verwalten möchten. Das Protokoll wurde in einer Zeit entwickelt, als OT-Netzwerke geschlossen waren und Sicherheit kaum eine Rolle spielte. Heutzutage hängt alles an IP-Netzwerken und dem Internet, und ein Fernzugriff wird fast schon standardmäßig von Ihnen erwartet.

Wie sorgen Sie dann für eine sichere, verschlüsselte Verbindung, ohne Ihre bestehenden IEC 60870-5-104-Installationen grundlegend anpassen zu müssen? In diesem Artikel nehmen wir Sie Schritt für Schritt mit.

Was ist IEC 60870-5-104 und warum ist Sicherheit ein Problem?

Wenn Sie sich mit der IEC 60870-5-104-Sicherheit befassen, ist es wichtig, zunächst zu verstehen, wie das Protokoll funktioniert und wo die Schwachstellen liegen.

IEC 60870-5-104 ist ein Fernwirkprotokoll für die Kommunikation zwischen:

• Feldgeräten (RTUs, Gateways, IEDs)
• und zentralen Systemen (SCADA, Dispatching Centers)

-> Eine ausführliche technische Beschreibung des IEC 60870-5-104-Protokolls finden Sie in unserer IEC 60870-5-104-Dokumentation.

Die Variante „-104“ läuft auf TCP/IP. Das ist praktisch für die Integration in moderne Netzwerke, bringt aber direkt einen wichtigen Nachteil mit sich:

• IEC 60870-5-104 selbst hat keine eingebaute Verschlüsselung.
  Es gibt kein Standard-TLS, keine integrale Authentifizierung oder Integritätskontrolle, wie Sie sie von modernen IT-Protokollen kennen.

Folge:
Sobald Sie die 104-Kommunikation außerhalb eines streng abgeschirmten internen Netzwerks betreiben (z. B. in die Cloud oder über das Internet), müssen Sie selbst zusätzliche Sicherheitsebenen hinzufügen.

Bedrohungen rund um IEC 60870-5-104

Ohne zusätzliche Sicherheit bestehen bei IEC 60870-5-104 unter anderem folgende Risiken:

1. Abhören (Sniffing)
   Der Datenverkehr ist Klartext. Ein Angreifer, der Netzwerkverkehr abfangen kann, kann Messwerte, Befehle und manchmal sogar Konfigurationsdaten auslesen.
2. Man-in-the-Middle-Angriffe
   Der Datenverkehr kann manipuliert und weitergeleitet werden, während beide Seiten denken, mit einer legitimen Partei zu sprechen.
3. Spoofing und unbefugte Befehle
   Ohne starke Authentifizierung ist es möglich, dass sich ein Angreifer als Remote Station oder Kontrollzentrum ausgibt.
4. DoS/DDoS-Angriffe
   IEC 60870-5-104-Geräte sind oft nicht dafür ausgelegt, große Mengen an bösartigem Datenverkehr zu verarbeiten. Die Verfügbarkeit kann dadurch leicht gefährdet werden.
5. Laterale Bewegung im OT-Netzwerk
   Sobald ein Angreifer über eine Schwachstelle eindringt, kann er sich manchmal frei zu anderen kritischen Systemen bewegen.

Daher ist IEC 60870-5-104-Sicherheit nicht nur eine Frage der „Verschlüsselung“, sondern einer kompletten Sicherheitsarchitektur.

Sicherheitsprinzipien für IEC 60870-5-104

Bevor wir zu konkreten Lösungen kommen, ist es wichtig, die Grundprinzipien zu benennen:

1. Defense in depth
   Nicht auf eine einzige Sicherheitsebene (z. B. nur eine Firewall) vertrauen, sondern mehrere Verteidigungslinien kombinieren.
2. Segmentierung von OT und IT
   Kontrollnetzwerke getrennt von Büro- und Internetnetzwerken halten, beispielsweise mit VLANs, Firewalls und einer DMZ.
3. Least privilege & need-to-know
   Nur Zugriff auf die Systeme und Funktionen gewähren, die für die Aufgabe wirklich benötigt werden.
4. Zero-Trust-Ansatz
   Nicht davon ausgehen, dass der Datenverkehr innerhalb des „internen Netzwerks“ automatisch vertrauenswürdig ist; Identität und Rechte aktiv überprüfen.
5. Überwachung und Protokollierung
   Sicherstellen, dass Sie Abweichungen im IEC 60870-5-104-Datenverkehr und in Login-Aktivitäten erkennen und untersuchen können.

Optionen für eine verschlüsselte Verbindung

Da IEC 60870-5-104 selbst keine Verschlüsselung kennt, muss die verschlüsselte Verbindung außerhalb des Protokolls realisiert werden. Die zwei am häufigsten verwendeten Ansätze:

1. VPN-Tunnel um IEC 60870-5-104

Eine häufig angewendete Lösung ist, den IEC 60870-5-104-Datenverkehr durch einen VPN-Tunnel zu leiten, beispielsweise mit IPsec oder OpenVPN/WireGuard.

Funktionsweise in Kürze:

• Auf der Feldseite platzieren Sie einen industriellen Router/Gateway mit VPN-Funktion.
• Auf der zentralen Seite (Rechenzentrum oder Cloud) befindet sich ein VPN-Konzentrator/Gateway.
• Zwischen diesen beiden wird ein verschlüsselter Tunnel (Site-to-Site oder Client-to-Site) aufgebaut.
• Innerhalb dieses Tunnels läuft „normaler“ IEC 60870-5-104-Datenverkehr.

Vorteile:

• Starke Verschlüsselung (abhängig von der gewählten VPN-Technologie).
• Bestehende IEC 60870-5-104-Geräte müssen oft nicht angepasst werden.
• Skalierbar: Mehrere Stationen können über eine zentrale VPN-Terminierung erschlossen werden.

Aandachtspunten:

• Die Verwaltung von Zertifikaten und Schlüsseln ist entscheidend.
• Sorgen Sie für eine klare Segmentierung innerhalb des VPN (also nicht: „alles in einer flachen VPN-Schicht“).
• Legen Sie präzise Firewall-Regeln fest: Welche IP darf mit welcher Station kommunizieren und auf welchen Ports?

2. End-to-End-Verschlüsselung über Gateways (z. B. TLS)

Ein anderer Ansatz ist, am Rand des OT-Netzwerks ein Security Gateway zu platzieren, das:

• auf der Feldseite IEC 60870-5-104 spricht;
• auf der anderen Seite verschlüsselt kommuniziert (beispielsweise über TLS oder ein anderes sicheres Protokoll) in Richtung SCADA oder Cloud.

Vorteile:

• Sie schaffen eine deutliche Trennung zwischen „unverschlüsselt intern 104“ und „verschlüsselt externer Datenverkehr“.
• Die Integration mit modernen IT- oder Cloud-Lösungen wird einfacher, da diese oft standardmäßig TLS verstehen.

Aandachtspunten:

• Das Gateway wird zu einer kritischen Sicherheitskomponente; hohe Zuverlässigkeit und gutes Management sind erforderlich.
• Achten Sie auf die Performance: Verschlüsselung kostet Rechenleistung.

Netzwerkarchitektur: So begrenzen Sie das Risiko

IEC 60870-5-104-Sicherheit ist nicht nur Technik in der Verbindung, sondern auch, wie Sie das Netzwerk aufbauen.

Segmentierung und DMZ

Ein häufig verwendetes Muster:

1. OT-Netzwerk
   Hier befinden sich die IEC 60870-5-104-Geräte (RTUs, Stationen usw.). Dieses Netzwerk ist streng abgeschirmt.
2. DMZ (demilitarisierte Zone)
   Hier platzieren Sie unter anderem:
   • VPN-Terminierung
   • Security Gateways
   • Historian/Collectors, die Daten in die IT-Welt weiterleiten
3. IT-Netzwerk/Büro/Cloud
   Benutzer, Dashboards, Berichte usw.

Zwischen diesen Zonen befinden sich streng konfigurierte Firewalls mit:

• nur notwendige Ports geöffnet (wie TCP-Port 2404 für 104, falls erforderlich);
• Whitelisting von IP-Adressen, wo möglich;
• Inspektion und Protokollierung.

Authentifizierung und Zugangsverwaltung

• Verwenden Sie starke Authentifizierung für Remote Operators und Engineers (vorzugsweise 2FA).
• Sorgen Sie für rollbasierte Zugriffe (Operator, Engineer, Administrator) mit eindeutigen Rechten.
• Dokumentieren Sie, wer Zugriff auf welche Installation hat und auf welchem Weg.

Schritt-für-Schritt-Anleitung: IEC 60870-5-104-Sicherheit in der Praxis

1. Inventarisieren Sie Ihre Umgebung
   • Welche IEC 60870-5-104-Geräte haben Sie?
   • Wo stehen sie (Standorte, Netzwerke)?
   • Wie läuft die Kommunikation jetzt (Pfade, Router, Firewalls)?
2. Bestimmen Sie die gewünschten Use Cases für den Fernzugriff
   • Nur Überwachung?
   • Auch Steuerung (Befehle)?
   • Wartung durch externe Parteien?
3. Wählen Sie Ihre Sicherheitsarchitektur
   • VPN-Tunnel + Segmentierung
   • Security Gateways mit verschlüsselter Uplink
   • Oder eine Kombination
4. Implementieren Sie Verschlüsselung und Segmentierung
   • Richten Sie VPN- oder TLS-Verbindungen ein.
   • Trennen Sie OT-, DMZ- und IT-Netzwerke mit Firewalls.
   • Legen Sie strenge Regeln fest, wer mit wem sprechen darf.
5. Testen Sie mit einer begrenzten Anzahl von Installationen
   • Validieren Sie die Performance (Latenz, Bandbreite).
   • Verifizieren Sie, dass alle benötigten Funktionen (Alarmierung, Befehle, Zeitsynchronisation) weiterhin funktionieren.
6. Führen Sie die Bereitstellung schrittweise durch und stellen Sie das Management sicher
   • Patchmanagement für Gateways und Router.
   • Zertifikatsverwaltung und Rotation von Schlüsseln.
   • Überwachung und Protokollierung einrichten.

Häufige Fehler bei der IEC 60870-5-104-Sicherheit

Einige Fallstricke, die Sie besser vermeiden können:

• IEC 60870-5-104 direkt im Internet veröffentlichen
  Beispielsweise durch einfaches Weiterleiten von Port 2404 an eine RTU. Dies ist extrem riskant.
• Keine Trennung zwischen OT und IT
  Ein großes, flaches Netzwerk macht es einem Angreifer sehr leicht, sich lateral zu bewegen.
• VPN als einzige Sicherheit betrachten
  Ein VPN ohne gute Segmentierung, Protokollierung und Zugriffsverwaltung ist nur eine Teillösung.
• Keine Aufmerksamkeit für das Management
  Abgelaufene Zertifikate, nie aktualisierte Firmware und unbekannte Konfigurationsänderungen sind auf Dauer ein großes Risiko.

Fazit: IEC 60870-5-104-Sicherheit ist machbar, sofern gut durchdacht

Die IEC 60870-5-104-Sicherheit erfordert eine Kombination aus:

• verschlüsselten Verbindungen (beispielsweise über VPN- oder TLS-Gateways);
• Netzwerksegmentierung und Firewalls zwischen OT, DMZ und IT;
• strikter Zugriffsverwaltung und Überwachung.

Die gute Nachricht:
In vielen Fällen können Sie Ihre bestehenden IEC 60870-5-104-Installationen weiterhin verwenden und die Sicherheit darum herum organisieren. So machen Sie den Fernzugriff sicher, ohne Ihre Feldgeräte komplett austauschen zu müssen.

Möchten Sie:

• Ihre eigene Umgebung beurteilen lassen?
  Fordern Sie einen (kostenlosen) IEC 60870-5-104 Security Quickscan an.
• Sehen, wie wir dies bei anderen Kunden lösen?
  Lesen Sie unsere Cases über OT- und IEC 60870-5-104-Projekte.
• Zuerst mehr über uns wissen?
  Lernen Sie unser Team und unseren Hintergrund auf der Seite Über uns kennen.

Wählen Sie, was jetzt am besten zu Ihnen passt; Sie sind an nichts gebunden.