Fernwartungszugänge sind ein notwendiges Übel im Automatisierungsnetz, wodurch meist mehrere potenzielle Einfallstore für Angreifer und Malware geöffnet werden. Da ist es verständlich, dass man als Betreiber nach geeigneten Standards und Best Practices sucht, die eine Art Leitfaden für eine sichere Fernwartung bieten.

Genau hierfür hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Dokument mit Anforderungen an eine sichere Umsetzung von Fernwartungslösungen im Industriebereich veröffentlicht. Das BSI ist die zentrale Organisation für Empfehlungen von Lösungen im Bereich der IT-Sicherheit und hat darüber hinaus bereits einige Veröffentlichungen an sichere Fernwartungszugänge in der Vergangenheit publiziert. 

In diesem Artikel haben wir Ihnen alle Ansatzpunkte des BSI im Kontext der sicheren Fernwartung zusammengefasst und geben Ihnen am Ende unsere Einschätzung zu guten Einstiegspunkten und Prioritäten. 

Fernwartung im industriellen Umfeld

Speziell auf die Industriebranche zugeschnitten, bietet das Dokument „Fernwartung im industriellen Umfeld“ eine Auflistung von Anforderungen, die die Umsetzung einer sicheren Fernwartungslösung von der Planung und Integration über konkrete technische Maßnahmen bis hin zu organisatorischen Regelungen in der  Integrations- und Betriebsphase beleuchtet. 

Architektur

Die Verwendung einer möglichst einheitlichen Fernwartungslösung, die z.B. durch ein zentrales Management-System administriert wird.

Können kritischen Fernwartungskomponenten in einer demilitarisierten Zone untergebracht werden?

Firewall-Regeln sollten durch Fernwartungszugänge nicht umgangen oder durchbrochen, sondern vielmehr gezielt für eine Eingrenzung des Fernwartungsbereichs genutzt werden.

Es sollen nur die benötigten Systeme (IP und Port) freigegeben werden. Von der Freigabe gesamter (Sub-)Netze wird abgeraten.

Der Verbindungsaufbau einer Fernwartungssitzung soll von innen nach außen erfolgen. Weiterhin muss ein(e) interner Mitarbeiter/in diese manuell freigeben.

Die eingesetzten Fernwartungskomponenten sollen auch nur ausschließlich zur Fernwartung eingesetzt werden und keine weiteren Aufgaben übernehmen.

Sichere Kommunikation

Es werden ausschließlich etablierte Protokolle, wie IPsec, SSH oder TLS verwendet.

Es werden hinreichend starke kryptografische Verfahren zur Verschlüsselung des Datenverkehrs verwendet. Die Stärke der Verschlüsselungsparameter soll anpassbar sein.

Authentisierungsmechanismen

Jeder Benutzer des Systems hat einen eigenen Account, von Gruppen-Accounts wird abgesehen.

Allen voran soll hier die 2-Faktor-Authentisierung genannt werden. Weiterhin gilt eine Empfehlung für Smartcards, One-Time-Password Generatoren oder USB-Tokens.

Verwendung sicherer Passwörter (z.B. Verwendung von Sonderzeichen, Passwortlänge, etc.) mit hoher Komplexität.

Wünschenswert sind Mechanismen zur Angriffserkennung sowie Vorkehrungen gegen das wiederholte Durchprobieren.

Organisatorische Anforderungen

Eine Risikoanalyse der Lösung ist durchzuführen.

Fernwartungszugänge werden nur erteilt, wenn es unbedingt notwendig ist und deren Zielsysteme auf das Nötigste beschränkt.

Beim Betreiber der Fernwartungslösung werden Prozesse etabliert, die das Anlegen, Freigeben und Sperren von Zugängen regeln.

Sämtliche Fernzugriffsmöglichkeiten werden erfasst.

Verbindungen werden nur bei Bedarf aufgebaut oder sind nur zu definierten Zeiten möglich.

Es erfolgt eine regelmäßige Prüfung der Funktionsfähigkeit der Fernwartung.

Es werden technische Vorgaben (verwendete IT, Schutzmechanismen der Clients) für den Fernwartenden definiert. Diese werden vertraglich festgehalten.

Es gibt einen regelmäßigen Patch- und Update-Prozess für Fernwartungskomponenten, die einen Zugang zu nicht update-fähigen Maschinenanlagen bieten.

Im Rahmen von ausführlichen Protokollierungsfunktionen werden sämtliche Zugriffe mit Zeitstempel dokumentiert. Fehlgeschlagene Anmeldeversuche werden bei entsprechendem Personal gemeldet und ebenfalls protokolliert.

Sonstiges

Die Lösung sollte skalierbar sein und insbesondere für große Installationen ein zentrales Management bieten.

Die Lösung sollte auch für die Zukunft erweiterbar sein und neue Technologien (wie bspw. IPv6) berücksichtigen.

Die Komponenten sollten hoch verfügbar (z.B. durch die redundante Verwendung von Technologien) ausgelegt werden können.

Weitere Veröffentlichungen und Empfehlungen

Darüber hinaus existieren seitens BSI noch weitere Veröffentlichungen zum Thema Fernwartung, die sich jedoch nicht im Speziellen an Industrienetzwerke richten, sondern allgemeiner aufgestellt sind.

Grundregeln zur Absicherung von Fernwartungszugängen

Im Dokument „Grundregeln zur Absicherung von Fernwartungszugängen“ werden 8 Grundregeln für eine Absicherung von Fernwartungszugängen aufgeführt, die sich zum großen Teil mit den bereits genannten Anforderungen überschneiden. Nichtsdestotrotz können durch die Definition dieser Grundregel gute Richtlinien hinsichtlich der Priorisierung der Anforderung abgeleitet werden. 

Die ersten drei Grundregeln gelten vor allem für Szenarien, in denen ein Anwender sporadisch bei auftretenden Problemen die Hilfe eines externen Experten in Anspruch nehmen möchte:

Grundregel 1: Die Initiative zum Aufbau einer Support- oder Fernwartungssession muss immer vom Anwender ausgehen.

Grundregel 2: Die Fernwartungsverbindung sollte verschlüsselt sein.

Grundregel 3: Der Fernwartende muss sich sicher authentifizieren, bevor er Zugriff auf das System erhält.

Für größere und komplexere Netzwerke, dessen Komponenten unter anderem auch spezielles Know-How des Herstellers oder eines externen Dienstleisters verlangen, gelten folgende Grundregeln. Hier muss insbesondere auf die Tatsache geachtet werden, dass solche Zugänge meist dauerhaft eingerichtet oder unbegrenzt wiederverwendbar sind: 

Grundregel 4: Das Fernwartungsobjekt sollte so gut wie möglich vom Rest des Netzes isoliert werden, um gewollte oder ungewollte Zugriffe des Fernwartenden auf andere Rechner und Server zu verhindern.

Grundregel 5: Die zur Etablierung des Fernwartungszugangs an den zentralen Sicherheits-Gateways vorzunehmenden Modifikationen sollten so gering wie möglich gehalten werden.

Grundregel 6: Die Durchführung einer Fernwartung muss protokolliert werden.

Schlussendlich macht es natürlich auch Sinn bestimmte Regelungen in Bezug auf den Fernwartungsdienstleister zu definieren:

Grundregel 7: Der Fernwartungsdienstleistende darf nie mehr Rechte erhalten, als er für die Erfüllung seiner Aufgaben unbedingt benötigt.

Grundregel 8: Die Zuverlässigkeit des Fernwartungsdienstleisters sollte durch vertraglich geregelte Kontrollmechanismen vereinbart werden.

Weitere Links

Desweiteren existieren im IT-Grundschutz-Kompendium unter dem Baustein OPS.2.4 Fernwartung weitere grundlegende Anforderung an Fernwartungslösungen, die jedoch meist nicht allzu sehr in die (technische) Tiefe gehen. Als Untersützung wurden hierzu auch eigene Umsetzungshinweise veröffentlicht.

Je nachdem, welche Technologie für die Fernwartung verwendet wird, lohnt sich eventuell auch ein Blick in die folgende Abschnitte des BSI:

Fernwartung über die Cloud: BSI Sammlung zum Thema Cloud Computing

Fernwartung über VPN: IT-Grundschutz NET.3.3 VPN (Zu den sicherheitsrelevanten technischen Aspekten von Fernwartungslösungen über VPN gibt es auf sichere-industrie.de auch einen eigenen Artikel.)

Wo anfangen?

Da in der Realität nur begrenzt Zeit, Budgets und Ressourcen zur Verfügung stehen, kann man sich zurecht die Frage stellen, welche der genannten Handlungsempfehlungen hier Priorität haben sollten und den meisten positiven Impact besitzen. Aus diesem Grund haben wir an dieser Stelle die wichtigsten Anforderungen extrahiert und durch unsere eigenen Erfahrungen ergänzt:

Es wäre grundsätzlich schon viel geholfen, wenn die Anzahl der Fernwartungszugänge möglichst klein gehalten wird und man eine grundlegende Achtsamkeit für Fernwartungszugänge im Automatisierungsnetz etabliert. In vielen Geräte werden bereits standardmäßig Zugänge verbaut, von denen man als Betreiber eventuell auch gar nichts weiß. Je weniger Zugänge man überwachen muss, desto geringer werden die Kosten für entsprechende Schutzmaßnahmen und desto mehr wird die Wahrscheinlich für eine Fehlkonfiguration dieser eingeschränkt.

Auch wenn es natürlich bequemer ist dem Fernwarter umfassende Admin-Rechte und weitflächigen Zugriff auf (Sub-)netze bereitzustellen, sollte man sich hier die Zeit nehmen und sich überlegen, auf welche Zielsysteme der Fernwarter wirklich einen Zugriff benötigt und welche Rechte für seine Tätigkeit mindestens notwendig sind.

Um das genannte Minimalitätsprinzip zu unterstützen, kann es sich anbieten die jeweiligen Zielsysteme durch Netzwerksegmentierung zu isolieren und eine Aufteilung nach Zones und Conduits einzuführen.

Eine Risikoanalyse der Automatisierungslösung kann Ihnen Klarheit für Entscheidungen im Zuge einer sicheren Fernwartung bieten. Eventuell erfahren Sie für welche Systeme sich ein direkter Fernzugriff eventuell ganz vermeiden lässt oder Sie können zumindest besser abwägen, wann das Risiko eines (direkten) Fernwartungszugangs die Vorteile einer Fernwartung übersteigt. Aufbauend auf diesem Wissen lassen sich bei Bedarf auch weitere Maßnahmen wie DMZ oder Monitoring implementieren.

Oft ist es schwer sich mit dritten Parteien oder Lieferanten auf erhöhte Sicherheitsrichtlinien zu einigen. Aus diesem Grund bietet sich eine sogenannte „Jump Station“ (idealerweise in einer DMZ platziert) an, auf die der Fernwarter landet, ehe der Zugriff auf das jeweilige Gerät stattfindet. So wird eine direkte Verbindung zwischen dem Fernwartenden und dem Industrienetz verhindert und die Möglichkeit geschaffen, zusätzliche Schutzmaßnahmen und Filter zu implementieren. Einige Anbieter wie ZEDAS oder BeyondTrust arbeiten bereits standardmäßig mit der Technologie eines Jump-Servers.

Selbst wenn diese verschlüsselt und gesichert übertragen werden, sollten kritische Anmeldedaten (beispielsweise von Priviledged Accounts) nie zeitlich unbegrenzt auf der anderen Seite der Fernwartungssitzung gespeichert werden.

Alle Fernwartungszugriffe und -aktivitäten, unabhängig davon, ob diese erfolgreich waren oder nicht, sollten erfasst werden. Dies hilft nicht nur bei der forensischen Analyse und bei der Umsetzung von Recovery-Maßnahmen, die Daten können auch durch den Einsatz von IDS und Anomalie-Erkennungssystemen genutzt werden, um proaktiv Angriffe und Störfälle zu vermeiden. Hier müssen jedoch Datenschutzrichtlinien beachtet werden.

Anlagenpersonal sollte zu jeder Zeit die Möglichkeit besitzen, bei einem Vorfall die Fernwartungssitzung zu terminieren und zu beenden. Selbstverständlich sollten diese Kontrollmechanismen im Voraus getestet werden, damit im Ernstfall das manuelle Eingreifen auch garantiert werden kann.

Wie so oft in der Security, fängt auch das Thema der sicheren Fernwartung bereits beim Einkauf an. Hier lohnt sich ein Blick in unsere Fernwartung-Checkliste, die Ihnen bei der Wahl der für Sie richtigen (und sicheren) Fernwartungslösung hilft.