Sichere Fernwartung

„Es sei explizit darauf hingewiesen, dass Bestandslösungen auf Basis von analogen oder ISDN-Modems sowie die direkte Internetanbindung von Komponenten wie Speicher-programmierbaren Steuerungen (SPS) nicht dem aktuellen Stand der Technik genügen."

 

Schrieb das Bundesamtes für Sicherheit in der Informationstechnik (BSI) zum Thema "Fernwartung im industriellen Umfeld". Der folgende 5-Punkte Plan basiert auf der Empfehlung des BSI zur Cyber-Sicherheit.

 

Industrielle Fernwartung muss ein hohes Sicherheitsniveau erfüllen. Cyberkriminalität, Cyberspionage und Cybersabotage sind in den letzten Jahren zu ernsthaften Bedrohungen geworden. Durch effektives Security-Management können Sicherheitslücken minimiert werden, da zum Beispiel nicht jedes IP-Device für seine eigene Sicherheit sorgen kann. Diese 5-Punkte Plan zeigt Ansatzpunkte für das Security-Management in Ihrer Organisation auf.

1. ARCHITEKTUR

Anforderungen, die bereits bei der Planung und Integration einer Fernwartungslösung beachtet werden:

  • Um die Anzahl von Angriffsvektoren zu verringern sollten möglichst einheitliche Lösungen verwendet werden
  • Sodass der Schutz der Firewall gewährleistet ist, wäre es von Vorteil, wenn die Fernwartungskomponente in eine vorgelagerte Zone (DMZ) befindet
  • Statt offene Ports für den Verbindungsaufbau zu nützen sollte ausschließlich der Fernzugriff vom Unternehmen heraus  initiiert werden ,um möglich Angriffsknoten zu minimieren
  • Fernwartungskomponente deren Anwendungszweck ausnahmslos für ihren vorhergesehenen Funktionalitäten ausgestattet sind vorteilshaft
2. SICHERE KOMMUNIKATION

Sicherheit in der Kommunikation wird in erster Linie durch etablierte Standards gewähleistet.

  • Zum Aufbau von sichere Tunnel zwischen zwei Endpunkten bzw. Netzen herzustellen sind zuverlässige Protokolle, wie IPsec, SSH oder SSL/TLS, von Nöten
  • Starke kryptographische Verfahren zur Verschlüsselung werden benötigt
3.AUTHENTISIERUNGSMECHANISMEN

Authentisierung der Nutzer für ein hinreichendes Sicherheitsniveau.

  • Accounts mit mehreren Benutzern sollten vermieden werden
  • Starke Authentisierungsmechanismen, wie das Zwei-Faktoren-Verfahren (z.B Passwort und z.B Zertifikat) sind der einfachen Authentisierung mittels Passwort vorzuziehen
  • Password-Policy, welche ein Mindestniveau der Passwortqualität sicherstellt sollte verwendet werden
  • Mechanismen zur Detektion von Angriffen auf Passwort-basierte Authentisierungsverfahren sind von Nöten ( Vorkehrung gegen das wiederholte Probieren von Passwörtern, welches den vermutlichen „Angreifer“ temporär sperren nach einer definierten Anzahl an Fehlversuchen
4. ORGANISATORISCHE ANFORDERUNGEN

Sicherheit auch in der Integrations- und Betriebsphase.

  • formale Risikoanalyse der konzipierten Lösung
  • nur die unbedingt erforderliche Anzahl von Fernzugriffmöglichkeiten einbauen und den Zugriff durch den jeweiligen Verantwortlichen dokumentieren
  • Prozessetablierung der beispielsweise die Verbindung oder Notfallprozeduren und den regelmäßigen Wechsel von Authentisierungsdaten regelt
  • Fernzugriffsmöglichkeiten werden im Rahmen eines Sicherheitsmanagements erfasst
  • Wartungsfenster werden nur bei Bedarf freigegeben
  • regelmäßige der Funktionsfähigkeit der Fernwartung
  • regelmäßige Aktualisierungen und Patches
  • Logging & Alerting: Protokollierungsfunktionen nutzen, um z.B. Verbindungsdaten und auch fehlgeschlagene Anmeldeversuche nach zu  halten; Logdaten automatisiert ausgewertet werden und ggf. ein Alarmierung erfolgt; periodisch, manuelle Sichtung
5.SONSTIGES

Abhängig vom konkreten Anwendungsfall können weitere Anforderungen sinnvoll sein:

  • Skalierbarkeit: zentrales Management -> Kostensenkung, Wartung und Pflege
  • Investitionsschutz: Berücksichtigung von möglichen zukünftigen Anforderungen (Nachhaltigkeit) z. B IPv6
  • Hochverfügbarkeit: Sofern Anforderungen bestehen -> Funktionen zur Umsetzung von HV-Konzepten -> z. B. der redundanten Verwendung von mehrerer Mobilfunknetze für die Kommunikation mittels Dual SIM sinnvoll

Alles im grünen Bereich? Wenn nicht, beraten wir Sie gerne:

Jens Hilgner | Product Manager

 

 

Rufen Sie mich an unter 0911/ 957 606 00 oder schreiben Sie mir an jh@lucom.de.

 

Tobias Volgnandt | Software Developer

 

 

Rufen Sie mich an unter 0911 / 957 606 00 oder schreiben Sie mir an tv@lucom.de.

Industriespionage? Das LUCOM-Konzept für Ihre Sicherheit

Hardware, Software, Service, Workshop und Security-Checklist.


(4,3 MB)