Der Unterschied zwischen Secure Modbus und Modbus TCP

Die kurze Antwort

Einfaches Modbus/TCP bietet weder Authentifizierung noch Verschlüsselung. Jedes Gerät, das den TCP-Port 502 erreichen kann, kann Register lesen, Coils schreiben und Befehle absetzen, und jedes Byte wird im Klartext übertragen. Secure Modbus ist keine vage Härtungsidee. Es ist eine konkrete, veröffentlichte Spezifikation, das Dokument Modbus/TCP Security der Modbus Organization, das dasselbe Modbus-Anwendungsprotokoll in TLS kapselt und eine rollenbasierte Autorisierung über X.509-Zertifikate ergänzt, sodass die Identität eines Geräts, und was es tun darf, auf der Transportschicht überprüft werden.

Alles Weitere in diesem Artikel folgt aus dieser einen Unterscheidung: Das eine Protokoll vertraut dem Netzwerk vollständig, das andere vertraut einem überprüften Zertifikat.

Grundlagen verstehen: Modbus TCP und Secure Modbus

Modbus gehört zu den am weitesten verbreiteten industriellen Protokollen in industriellen Steuerungssystemen (ICS). Es wurde 1979 für serielle Verbindungen veröffentlicht, lange bevor Netzwerkbedrohungen existierten, und diese Geschichte erklärt seine größte Schwäche: Das Protokoll wurde nie unter Sicherheitsgesichtspunkten entworfen.

Was ist Modbus TCP?

Modbus TCP ist die Variante, die das Modbus-Anwendungsprotokoll über TCP/IP betreibt, fast immer auf Port 502. Sie ermöglicht es speicherprogrammierbaren Steuerungen (PLCs), Mensch-Maschine-Schnittstellen (HMIs) und SCADA-Mastern, über ein Standard-Ethernet-Netzwerk zu kommunizieren, was die schnelle Verbreitung erklärt.

• Vorteile von Modbus TCP:
  • Nutzt vorhandene Ethernet-Netzwerke, ohne spezielle Verkabelung oder Hardware.
  • Ist mit einer riesigen installierten Basis von Geräten nahezu aller Hersteller interoperabel.
  • Ermöglicht schnelles, ressourcenschonendes Polling, das sich für Echtzeit-Regelkreise eignet.

Der Preis dieser Einfachheit ist das vollständige Fehlen von Sicherheit. Ein Standard-Modbus/TCP-Frame enthält kein Authentifizierungsfeld, kein Sitzungskonzept und keine Integritätsprüfung über die TCP-eigene Prüfsumme hinaus. Nichts unterscheidet eine legitime Engineering-Workstation von einem Angreifer im selben VLAN. Die ICS-Hinweise der CISA haben darauf wiederholt aufmerksam gemacht: Viele ICS-Protokolle, darunter Modbus, verfügen konstruktionsbedingt weder über Authentifizierung noch über Verschlüsselung, sodass ein Funktionscode, der einen Prozess stoppt, genauso behandelt wird wie einer, der eine Temperatur liest. Ein Angreifer, der ein Paket an Port 502 leiten kann, kann jedes Register lesen und jeden Coil schreiben.

Warum Secure Modbus notwendig ist

Je stärker OT-Netzwerke verflacht und mit der IT verbunden werden, desto größer wird die Angriffsfläche. Das Mitlesen von Modbus-Verkehr offenbart die Prozesslogik; sein Spoofing erlaubt es einem Angreifer, Ausgänge zu erzwingen oder reale Werte vor den Bedienern zu verbergen. Genau diese Lücke soll Secure Modbus schließen.

Die Spezifikation Modbus/TCP Security belässt das Datenmodell und die Funktionscodes von Modbus unverändert, verlagert die Kommunikation jedoch auf einen geschützten Kanal und ergänzt:

• Verschlüsselung (TLS): Die vollständige Modbus-PDU wird in einem TLS-1.2-oder-höher-Tunnel übertragen, sodass Registerwerte und Befehle nicht mehr auf der Leitung lesbar sind.
• Authentifizierung (X.509): Beide Endpunkte legen Zertifikate vor. Ein Client kann ohne ein vom Server vertrautes Zertifikat keine Sitzung öffnen, was den anonymen Zugriff auf Port 802 (dem registrierten Secure-Modbus-Port) beendet.
• Rollenbasierte Autorisierung: Die Spezifikation definiert eine Role-Erweiterung, die im X.509-Zertifikat geführt wird. Das Zertifikat belegt nicht nur, wer ein Gerät ist, es erklärt auch, was es tun darf, sodass einer schreibgeschützten Überwachungsstation das Absetzen von Schreibbefehlen kryptografisch verwehrt werden kann.

Diese Eigenschaften entsprechen unmittelbar den von Rahmenwerken erwarteten Kontrollen. Die NIST SP 800-82, der Guide to Operational Technology Security, fordert den Schutz von Vertraulichkeit und Integrität der OT-Kommunikation sowie die Authentifizierung von Geräten vor der Zugriffsgewährung. Für Verteidigungslieferanten erfüllen dieselben Kontrollen die Anforderungen zum Schutz der Übertragung der NIST 800-171 (SC-8), die in das Rahmenwerk CMMC einfließen.

Welches Protokoll wofür

Secure Modbus ist das richtige Ziel, aber kein Schalter, den man überall über Nacht umlegt.

Einfaches Modbus/TCP bleibt geeignet, wenn die Verbindung vollständig innerhalb einer eng segmentierten und überwachten Zelle liegt, ohne Pfad zu weniger vertrauenswürdigen Netzwerken; wenn die Geräte Legacy-Systeme sind, die TLS physisch nicht ausführen können; oder wenn Sie mitten in der Migration stehen und kompensierende Kontrollen (Segmentierung, ein Sicherheits-Gateway, vollständige Sitzungsaufzeichnung) das Risiko in der Zwischenzeit tragen.

Secure Modbus ist angezeigt für jede Verbindung, die eine Vertrauensgrenze überschreitet, jede von der IT oder von Fernzugriffen erreichbare Verbindung, jedes kompatible Gerätepaar und überall dort, wo ein Compliance-Regime einen authentifizierten, vertraulichen Transport verlangt.

Die Realität der Verbreitung ist hart: Die meisten installierten PLCs und HMIs implementieren die Security-Spezifikation noch nicht, sodass eine durchgängige Secure-Modbus-Bereitstellung heute selten ist. Deshalb greifen die meisten Teams zu einem Gateway oder einer Zugriffsschicht, die TLS terminiert und die Identität stellvertretend für Geräte durchsetzt, die dies nicht selbst leisten können.

So migrieren Sie

1. Inventarisieren Sie jede Modbus-Verbindung. Erfassen Sie, welche Master mit welchen Slaves sprechen, über welche Ports und über welche Netzwerkgrenzen hinweg. Sie können keine Verbindungen schützen, die Sie nicht erfasst haben.
2. Ordnen Sie nach Exposition, nicht nach Bequemlichkeit. Priorisieren Sie Verbindungen, die von der IT zur OT führen, die per Fernzugriff erreichbar sind oder die sicherheitsrelevante oder CUI-nahe Daten transportieren.
3. Prüfen Sie die Gerätefähigkeit. Bestätigen Sie für jede risikoreiche Verbindung, ob beide Endpunkte die Spezifikation Modbus/TCP Security unterstützen. Wo dies der Fall ist, aktivieren Sie direkt zertifikatsbasiertes TLS.
4. Setzen Sie ein Sicherheits-Gateway vor Legacy-Geräte. Für die Mehrheit, die kein Secure Modbus spricht, platzieren Sie einen Durchsetzungspunkt, der TLS terminiert, den Client authentifiziert, die rollenbasierte Autorisierung anwendet und das Modbus nur auf der vertrauenswürdigen Seite im Klartext weiterleitet.
5. Standardmäßiges Verweigern auf Port 502. Behandeln Sie einen offenen Port 502 als Ausnahme, nicht als Regel. Gewähren Sie Zugriff nach überprüfter Identität, beschränken Sie jede Berechtigung auf die Funktionscodes, die eine Rolle tatsächlich benötigt, und protokollieren Sie jede Sitzung.
6. Testen Sie gegen die Prozesstoleranzen. Messen Sie die durch TLS-Handshakes und Verschlüsselung hinzukommende Latenz und bestätigen Sie, dass sie vor der Umstellung innerhalb des Zeitbudgets Ihres Regelkreises bleibt.
7. Dokumentieren Sie gemäß Ihrem Rahmenwerk. Halten Sie jede Änderung mit Bezug auf die NIST SP 800-82 und, für Verteidigungsarbeiten, auf die NIST 800-171 SC-8 sowie Ihre CMMC-Bewertung fest.

Praktische Aspekte der OT-Sicherheit

Sicherheit und Leistung in Balance halten

TLS bringt einen Handshake und kryptografische Arbeit pro Nachricht mit sich. Auf moderner Hardware ist das vernachlässigbar, auf eingeschränkten PLCs oder sehr engen Regelkreisen kann es jedoch ins Gewicht fallen. Messen Sie die reale Latenz an repräsentativem Verkehr, statt sie anzunehmen, und platzieren Sie Gateways möglichst nah an den Geräten, die sie schützen, um die Roundtrips kurz zu halten.

Lebenszyklus der Zertifikate

Die Authentifizierung ist nur so gut wie die Zertifikate, die sie tragen. Secure Modbus ist auf eine funktionierende Public-Key-Infrastruktur angewiesen: Ausstellung von Zertifikaten, Erneuerung vor Ablauf und Widerruf, wenn ein Gerät außer Betrieb genommen oder kompromittiert wird. Ein abgelaufenes Zertifikat auf einer Steuerung kann die Produktion ebenso sicher stoppen wie ein Angriff, weshalb die Zertifikatsverwaltung operativ sein muss und kein nachträglicher Gedanke.

Integration in bestehende Systeme

Die meisten OT-Bestände sind gemischt: einige fähige Geräte, viele Legacy-Geräte. Eine realistische Bereitstellung betreibt Secure Modbus dort nativ, wo die Geräte es zulassen, und nutzt überall sonst ein identitätsbewusstes Gateway, sodass Sie das Sicherheitsniveau anheben, ohne Geräte zu entfernen, die noch Jahre Betriebszeit vor sich haben.

Fazit: Sicherheit industrieller Protokolle verbessern

Der Unterschied zwischen Modbus/TCP und Secure Modbus ist keine Frage des Grades. Das eine Protokoll authentifiziert nichts und verschlüsselt nichts; das andere, definiert durch die Spezifikation Modbus/TCP Security, bindet jede Sitzung an eine X.509-Identität, erzwingt eine Rolle und verschlüsselt den gesamten Austausch mit TLS. Inventarisieren Sie Ihre Verbindungen, ordnen Sie sie nach Exposition, aktivieren Sie Secure Modbus nativ dort, wo die Geräte es zulassen, und setzen Sie vor die übrigen einen Durchsetzungspunkt, der standardmäßiges Verweigern, identitätsbezogenen Zugriff und TLS in ein Protokoll bringt, das nichts davon besitzt. Dokumentieren Sie das Ergebnis mit Bezug auf die NIST SP 800-82 und die NIST 800-171 SC-8, und Sie schließen die drei Grundlücken des Protokolls: keine Authentifizierung, keine Verschlüsselung, keine Integrität.