Sichere Fernwartung nach BSI – Alle Anforderungen in einer umfassenden Übersicht

Inhaltsverzeichnis

    Fernwartungszugänge sind ein notwendiges Übel im Automatisierungsnetz, wodurch meist mehrere potenzielle Einfallstore für Angreifer und Malware geöffnet werden. Da ist es verständlich, dass man als Betreiber nach geeigneten Standards und Best Practices sucht, die eine Art Leitfaden für eine sichere Fernwartung bieten.

    Genau hierfür hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Dokument mit Anforderungen an eine sichere Umsetzung von Fernwartungslösungen im Industriebereich veröffentlicht. Das BSI ist die zentrale Organisation für Empfehlungen von Lösungen im Bereich der IT-Sicherheit und hat darüber hinaus bereits einige Veröffentlichungen an sichere Fernwartungszugänge in der Vergangenheit publiziert. 

    In diesem Artikel haben wir Ihnen alle Ansatzpunkte des BSI im Kontext der sicheren Fernwartung zusammengefasst und geben Ihnen am Ende unsere Einschätzung zu guten Einstiegspunkten und Prioritäten. 

    Fernwartung im industriellen Umfeld

    Speziell auf die Industriebranche zugeschnitten, bietet das Dokument „Fernwartung im industriellen Umfeld“ eine Auflistung von Anforderungen, die die Umsetzung einer sicheren Fernwartungslösung von der Planung und Integration über konkrete technische Maßnahmen bis hin zu organisatorischen Regelungen in der  Integrations- und Betriebsphase beleuchtet. 

    Architektur

    Einheitliche Lösung

    Die Verwendung einer möglichst einheitlichen Fernwartungslösung, die z.B. durch ein zentrales Management-System administriert wird.

    DMZ

    Können kritischen Fernwartungskomponenten in einer demilitarisierten Zone untergebracht werden?

    Firewalling

    Firewall-Regeln sollten durch Fernwartungszugänge nicht umgangen oder durchbrochen, sondern vielmehr gezielt für eine Eingrenzung des Fernwartungsbereichs genutzt werden.

    Granularität der Verbindung

    Es sollen nur die benötigten Systeme (IP und Port) freigegeben werden. Von der Freigabe gesamter (Sub-)Netze wird abgeraten.

    Verbindungsaufbau

    Der Verbindungsaufbau einer Fernwartungssitzung soll von innen nach außen erfolgen. Weiterhin muss ein(e) interner Mitarbeiter/in diese manuell freigeben.

    Dedizierte Systeme

    Die eingesetzten Fernwartungskomponenten sollen auch nur ausschließlich zur Fernwartung eingesetzt werden und keine weiteren Aufgaben übernehmen.

    Sichere Kommunikation

    Sichere Protokolle

    Es werden ausschließlich etablierte Protokolle, wie IPsec, SSH oder TLS verwendet.

    Sichere Verfahren

    Es werden hinreichend starke kryptografische Verfahren zur Verschlüsselung des Datenverkehrs verwendet. Die Stärke der Verschlüsselungsparameter soll anpassbar sein.

    Authentisierungsmechanismen

    Granularität des Accounts

    Jeder Benutzer des Systems hat einen eigenen Account, von Gruppen-Accounts wird abgesehen.

    Starke Authentisierungsmechanismen

    Allen voran soll hier die 2-Faktor-Authentisierung genannt werden. Weiterhin gilt eine Empfehlung für Smartcards, One-Time-Password Generatoren oder USB-Tokens.

    Passwortsicherheit

    Verwendung sicherer Passwörter (z.B. Verwendung von Sonderzeichen, Passwortlänge, etc.) mit hoher Komplexität.

    Angriffserkennung

    Wünschenswert sind Mechanismen zur Angriffserkennung sowie Vorkehrungen gegen das wiederholte Durchprobieren.

    Organisatorische Anforderungen

    Risikoanalyse

    Eine Risikoanalyse der Lösung ist durchzuführen.

    Minimalitätsprinzip

    Fernwartungszugänge werden nur erteilt, wenn es unbedingt notwendig ist und deren Zielsysteme auf das Nötigste beschränkt.

    Prozesse

    Beim Betreiber der Fernwartungslösung werden Prozesse etabliert, die das Anlegen, Freigeben und Sperren von Zugängen regeln.

    Inventarisierung

    Sämtliche Fernzugriffsmöglichkeiten werden erfasst.

    Zeitfenster

    Verbindungen werden nur bei Bedarf aufgebaut oder sind nur zu definierten Zeiten möglich.

    Funktionsprüfung

    Es erfolgt eine regelmäßige Prüfung der Funktionsfähigkeit der Fernwartung.

    Vorgaben für Fernwartende

    Es werden technische Vorgaben (verwendete IT, Schutzmechanismen der Clients) für den Fernwartenden definiert. Diese werden vertraglich festgehalten.

    Patch-Prozess

    Es gibt einen regelmäßigen Patch- und Update-Prozess für Fernwartungskomponenten, die einen Zugang zu nicht update-fähigen Maschinenanlagen bieten.

    Logging & Alerting

    Im Rahmen von ausführlichen Protokollierungsfunktionen werden sämtliche Zugriffe mit Zeitstempel dokumentiert. Fehlgeschlagene Anmeldeversuche werden bei entsprechendem Personal gemeldet und ebenfalls protokolliert.

    Sonstiges

    Skalierbarkeit und zentrales Management

    Die Lösung sollte skalierbar sein und insbesondere für große Installationen ein zentrales Management bieten.

    Investitionsschutz

    Die Lösung sollte auch für die Zukunft erweiterbar sein und neue Technologien (wie bspw. IPv6) berücksichtigen.

    Hochverfügbarkeit

    Die Komponenten sollten hoch verfügbar (z.B. durch die redundante Verwendung von Technologien) ausgelegt werden können.

    Weitere Veröffentlichungen und Empfehlungen

    Darüber hinaus existieren seitens BSI noch weitere Veröffentlichungen zum Thema Fernwartung, die sich jedoch nicht im Speziellen an Industrienetzwerke richten, sondern allgemeiner aufgestellt sind.

    Grundregeln zur Absicherung von Fernwartungszugängen

    Im Dokument „Grundregeln zur Absicherung von Fernwartungszugängen“ werden 8 Grundregeln für eine Absicherung von Fernwartungszugängen aufgeführt, die sich zum großen Teil mit den bereits genannten Anforderungen überschneiden. Nichtsdestotrotz können durch die Definition dieser Grundregel gute Richtlinien hinsichtlich der Priorisierung der Anforderung abgeleitet werden. 

    Die ersten drei Grundregeln gelten vor allem für Szenarien, in denen ein Anwender sporadisch bei auftretenden Problemen die Hilfe eines externen Experten in Anspruch nehmen möchte:

    Grundregel 1: Die Initiative zum Aufbau einer Support- oder Fernwartungssession muss immer vom Anwender ausgehen.

    Grundregel 2: Die Fernwartungsverbindung sollte verschlüsselt sein.

    Grundregel 3: Der Fernwartende muss sich sicher authentifizieren, bevor er Zugriff auf das System erhält.

    Für größere und komplexere Netzwerke, dessen Komponenten unter anderem auch spezielles Know-How des Herstellers oder eines externen Dienstleisters verlangen, gelten folgende Grundregeln. Hier muss insbesondere auf die Tatsache geachtet werden, dass solche Zugänge meist dauerhaft eingerichtet oder unbegrenzt wiederverwendbar sind: 

    Grundregel 4: Das Fernwartungsobjekt sollte so gut wie möglich vom Rest des Netzes isoliert werden, um gewollte oder ungewollte Zugriffe des Fernwartenden auf andere Rechner und Server zu verhindern.

    Grundregel 5: Die zur Etablierung des Fernwartungszugangs an den zentralen Sicherheits-Gateways vorzunehmenden Modifikationen sollten so gering wie möglich gehalten werden.

    Grundregel 6: Die Durchführung einer Fernwartung muss protokolliert werden.

    Schlussendlich macht es natürlich auch Sinn bestimmte Regelungen in Bezug auf den Fernwartungsdienstleister zu definieren:

    Grundregel 7: Der Fernwartungsdienstleistende darf nie mehr Rechte erhalten, als er für die Erfüllung seiner Aufgaben unbedingt benötigt.

    Grundregel 8: Die Zuverlässigkeit des Fernwartungsdienstleisters sollte durch vertraglich geregelte Kontrollmechanismen vereinbart werden.

    Weitere Links

    Desweiteren existieren im IT-Grundschutz-Kompendium unter dem Baustein OPS.2.4 Fernwartung weitere grundlegende Anforderung an Fernwartungslösungen, die jedoch meist nicht allzu sehr in die (technische) Tiefe gehen. Als Untersützung wurden hierzu auch eigene Umsetzungshinweise veröffentlicht.

    Je nachdem, welche Technologie für die Fernwartung verwendet wird, lohnt sich eventuell auch ein Blick in die folgende Abschnitte des BSI:

    Fernwartung über die Cloud: BSI Sammlung zum Thema Cloud Computing

    Fernwartung über VPN: IT-Grundschutz NET.3.3 VPN (Zu den sicherheitsrelevanten technischen Aspekten von Fernwartungslösungen über VPN gibt es auf sichere-industrie.de auch einen eigenen Artikel.)

    Wo anfangen?

    Da in der Realität nur begrenzt Zeit, Budgets und Ressourcen zur Verfügung stehen, kann man sich zurecht die Frage stellen, welche der genannten Handlungsempfehlungen hier Priorität haben sollten und den meisten positiven Impact besitzen. Aus diesem Grund haben wir an dieser Stelle die wichtigsten Anforderungen extrahiert und durch unsere eigenen Erfahrungen ergänzt:

    Angriffsvektoren minimieren

    Es wäre grundsätzlich schon viel geholfen, wenn die Anzahl der Fernwartungszugänge möglichst klein gehalten wird und man eine grundlegende Achtsamkeit für Fernwartungszugänge im Automatisierungsnetz etabliert. In vielen Geräte werden bereits standardmäßig Zugänge verbaut, von denen man als Betreiber eventuell auch gar nichts weiß. Je weniger Zugänge man überwachen muss, desto geringer werden die Kosten für entsprechende Schutzmaßnahmen und desto mehr wird die Wahrscheinlich für eine Fehlkonfiguration dieser eingeschränkt.

    Minimalitätsprinzip

    Auch wenn es natürlich bequemer ist dem Fernwarter umfassende Admin-Rechte und weitflächigen Zugriff auf (Sub-)netze bereitzustellen, sollte man sich hier die Zeit nehmen und sich überlegen, auf welche Zielsysteme der Fernwarter wirklich einen Zugriff benötigt und welche Rechte für seine Tätigkeit mindestens notwendig sind.

    Netzwerksegmentierung

    Um das genannte Minimalitätsprinzip zu unterstützen, kann es sich anbieten die jeweiligen Zielsysteme durch Netzwerksegmentierung zu isolieren und eine Aufteilung nach Zones und Conduits einzuführen.

    Die eigenen kritischen Systeme kennen

    Eine Risikoanalyse der Automatisierungslösung kann Ihnen Klarheit für Entscheidungen im Zuge einer sicheren Fernwartung bieten. Eventuell erfahren Sie für welche Systeme sich ein direkter Fernzugriff eventuell ganz vermeiden lässt oder Sie können zumindest besser abwägen, wann das Risiko eines (direkten) Fernwartungszugangs die Vorteile einer Fernwartung übersteigt. Aufbauend auf diesem Wissen lassen sich bei Bedarf auch weitere Maßnahmen wie DMZ oder Monitoring implementieren.

    Die Eingangspunkte des Fernwarters kennen und abgrenzen

    Oft ist es schwer sich mit dritten Parteien oder Lieferanten auf erhöhte Sicherheitsrichtlinien zu einigen. Aus diesem Grund bietet sich eine sogenannte „Jump Station“ (idealerweise in einer DMZ platziert) an, auf die der Fernwarter landet, ehe der Zugriff auf das jeweilige Gerät stattfindet. So wird eine direkte Verbindung zwischen dem Fernwartenden und dem Industrienetz verhindert und die Möglichkeit geschaffen, zusätzliche Schutzmaßnahmen und Filter zu implementieren. Einige Anbieter wie ZEDAS oder BeyondTrust arbeiten bereits standardmäßig mit der Technologie eines Jump-Servers.

    Das Speichern von Anmeldedaten auf Seiten des Fernwarters vermeiden

    Selbst wenn diese verschlüsselt und gesichert übertragen werden, sollten kritische Anmeldedaten (beispielsweise von Priviledged Accounts) nie zeitlich unbegrenzt auf der anderen Seite der Fernwartungssitzung gespeichert werden.

    Soviel wie möglich protokollieren

    Alle Fernwartungszugriffe und -aktivitäten, unabhängig davon, ob diese erfolgreich waren oder nicht, sollten erfasst werden. Dies hilft nicht nur bei der forensischen Analyse und bei der Umsetzung von Recovery-Maßnahmen, die Daten können auch durch den Einsatz von IDS und Anomalie-Erkennungssystemen genutzt werden, um proaktiv Angriffe und Störfälle zu vermeiden. Hier müssen jedoch Datenschutzrichtlinien beachtet werden.

    Kontrollmechanismen für Fernwartende

    Anlagenpersonal sollte zu jeder Zeit die Möglichkeit besitzen, bei einem Vorfall die Fernwartungssitzung zu terminieren und zu beenden. Selbstverständlich sollten diese Kontrollmechanismen im Voraus getestet werden, damit im Ernstfall das manuelle Eingreifen auch garantiert werden kann.

    Checkliste: Angriffserkennung in KRITIS Betrieben

    Max Weidele
    CEO & Founder

    Die Anforderung nach „Angriffserkennung für kritische Infrastrukturen“ sorgt für zusätzlichen Stress bei der Vielzahl an notwendigen Schutzmaßnahmen.

    Deshalb haben wir eine Checkliste: Angriffserkennung in KRITIS Betrieben erstellt, die Ihnen einen effizienten Überblick gibt und vor allem eine strukturierte Bearbeitung ermöglicht.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Veröffentlicht am
    Zuletzt aktualisiert am

    2 Kommentare zu “Sichere Fernwartung nach BSI – Alle Anforderungen in einer umfassenden Übersicht

    1. Super zusammengefasst und aufgestellt. Vor allem sowohl aus organisatorischer als auch anwenderorientierten operativen Sicht!

      Ich würde mich über weiteren Austausch freuen.

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Checkliste herunterladen

    Die Anforderung nach „Angriffserkennung für kritische Infrastrukturen“ sorgt für zusätzlichen Stress bei der Vielzahl an notwendigen Schutzmaßnahmen.


    Deshalb haben wir eine Checkliste: Angriffserkennung in KRITIS Betrieben erstellt, die Ihnen einen effizienten Überblick gibt und vor allem eine strukturierte Bearbeitung ermöglicht.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung