Fernwartungszugänge sind ein notwendiges Übel im Automatisierungsnetz, denn sie können mehrere potenzielle Einfallstore für Angreifer und Malware öffnen. Betreiber suchen oft nach geeigneten Standards und Best Practices, um eine sichere Lösung aufzubauen. Das Bundesamt für Sicherheit in der Informationstechnik bietet dafür eine guten Leitfaden. Sichere Fernwartung nach BSI umzusetzen, bringt das nötige Sicherheitsniveau und hilft, geeignete Maßnahmen zu priorisieren.
Genau hierfür hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Dokument mit Anforderungen an eine sichere Umsetzung von Fernwartungslösungen im Industriebereich veröffentlicht. Das BSI ist die zentrale Organisation für Empfehlungen von Lösungen im Bereich der IT-Sicherheit und hat darüber hinaus bereits einige Veröffentlichungen an sichere Fernwartungszugänge in der Vergangenheit publiziert.
In diesem Artikel haben wir Ihnen alle Ansatzpunkte des BSI im Kontext der sicheren Fernwartung zusammengefasst und geben Ihnen am Ende unsere Einschätzung zu guten Einstiegspunkten und Prioritäten.
Fernwartung im industriellen Umfeld
Das BSI-Dokument „Fernwartung im industriellen Umfeld“ ist speziell auf Industrieumgebungen zugeschnitten. Es bietet eine Auflistung von Anforderungen, die die Umsetzung einer sicheren Fernwartungslösung beleuchtet. Dies erstreckt sich von der Planung und Integration über konkrete technische Maßnahmen bis hin zu organisatorischen Regelungen in der Integrations- und Betriebsphase.
Architektur
Einheitliche Lösung
Die Verwendung einer möglichst einheitlichen Fernwartungslösung, deren Administration z.B. ein zentrales Management-System umsetzt.
DMZ
Können kritischen Fernwartungskomponenten in einer demilitarisierten Zone untergebracht werden?
Firewalling
Firewall-Regeln sollten durch Fernwartungszugänge nicht umgangen oder durchbrochen, sondern vielmehr gezielt für eine Eingrenzung des Fernwartungsbereichs genutzt werden.
Granularität der Verbindung
Es sollen nur die benötigten Systeme (IP und Port) freigegeben werden. Von der Freigabe gesamter (Sub-)Netze wird abgeraten.
Verbindungsaufbau
Der Verbindungsaufbau einer Fernwartungssitzung soll von innen nach außen erfolgen. Weiterhin muss ein interner Mitarbeiter diese manuell freigeben.
Dedizierte Systeme
Die eingesetzten Fernwartungskomponenten sollen auch nur ausschließlich zur Fernwartung eingesetzt werden und keine weiteren Aufgaben übernehmen.
Sichere Kommunikation
Sichere Protokolle
Es werden ausschließlich etablierte Protokolle, wie IPsec, SSH oder TLS verwendet.
Sichere Verfahren
Die Verschlüsselung des Datenverkehrs erfolgt über den Einsatz hinreichend starker kryptografischer Verfahren. Die Stärke der Verschlüsselungsparameter soll anpassbar sein.
Authentisierungsmechanismen
Granularität des Accounts
Jeder Benutzer des Systems hat einen eigenen Account, von Gruppen-Accounts wird abgesehen.
Starke Authentisierungsmechanismen
Eine 2-Faktor-Authentisierung ist ein starker Authentisierungsmechanismus. Weiterhin gilt eine Empfehlung für Smartcards, One-Time-Password Generatoren oder USB-Tokens.
Passwortsicherheit
Verwendung sicherer Passwörter (z.B. Verwendung von Sonderzeichen, Passwortlänge, etc.) mit hoher Komplexität.
Angriffserkennung
Wünschenswert sind Mechanismen zur Angriffserkennung sowie Vorkehrungen gegen das wiederholte Durchprobieren.
Organisatorische Anforderungen
Minimalitätsprinzip
Fernwartungszugänge werden nur erteilt, wenn es unbedingt notwendig ist und deren Zielsysteme auf das Nötigste beschränkt.
Prozesse
Betreiber etablieren Prozesse, die das Anlegen, Freigeben und Sperren von Zugängen für die Fernwartungslösung regeln.
Inventarisierung
Sämtliche Fernzugriffsmöglichkeiten werden erfasst.
Zeitfenster
Verbindungen werden nur bei Bedarf aufgebaut oder sind nur zu definierten Zeiten möglich.
Funktionsprüfung
Es erfolgt eine regelmäßige Prüfung der Funktionsfähigkeit der Fernwartung.
Vorgaben für Fernwartende
Es werden technische Vorgaben (verwendete IT, Schutzmechanismen der Clients) für den Fernwartenden definiert. Diese werden vertraglich festgehalten.
Patch-Prozess
Es gibt einen regelmäßigen Patch- und Update-Prozess für Fernwartungskomponenten, die einen Zugang zu nicht update-fähigen Maschinenanlagen bieten.
Logging & Alerting
Im Rahmen von ausführlichen Protokollierungsfunktionen werden sämtliche Zugriffe mit Zeitstempel dokumentiert. Fehlgeschlagene Anmeldeversuche werden bei entsprechendem Personal gemeldet und ebenfalls protokolliert.
Sonstiges
Skalierbarkeit und zentrales Management
Die Lösung sollte skalierbar sein und insbesondere für große Installationen ein zentrales Management bieten.
Investitionsschutz
Die Lösung sollte auch für die Zukunft erweiterbar sein und neue Technologien (wie bspw. IPv6) berücksichtigen.
Hochverfügbarkeit
Die Komponenten sollten hoch verfügbar (z.B. durch die redundante Verwendung von Technologien) ausgelegt werden können.
Grundregeln zur Absicherung von Fernwartungszugängen
Das BSI-Dokument „Grundregeln zur Absicherung von Fernwartungszugängen“ behandelt zwar nicht speziell Industrienetzwerke. Die dort aufgeführten 8 Grundregeln überschneiden sich jedoch zum großen Teil mit den bereits genannten Anforderungen. Sie können als Richtlinie dienen, aus der eine Priorisierung für die Umsetzung abgeleitet werden kann.
Die ersten drei Grundregeln gelten vor allem für Szenarien, in denen ein Anwender sporadisch bei auftretenden Problemen die Hilfe eines externen Experten in Anspruch nehmen möchte:
- Grundregel 1: Die Initiative zum Aufbau einer Support- oder Fernwartungssession muss immer vom Anwender ausgehen.
- Grundregel 2: Die Fernwartungsverbindung sollte verschlüsselt sein.
- Grundregel 3: Der Fernwartende muss sich sicher authentifizieren, bevor er Zugriff auf das System erhält.
Die dann folgenden Grundregeln gelten für größere und komplexere Netzwerke, dessen Komponenten unter anderem auch spezielles Know-How des Herstellers oder eines externen Dienstleisters verlangen. Hier muss insbesondere auf die Tatsache geachtet werden, dass solche Zugänge meist dauerhaft eingerichtet oder unbegrenzt wiederverwendbar sind:
- Grundregel 4: Das Fernwartungsobjekt sollte so gut wie möglich vom Rest des Netzes isoliert werden, um gewollte oder ungewollte Zugriffe des Fernwartenden auf andere Rechner und Server zu verhindern.
- Grundregel 5: Die zur Etablierung des Fernwartungszugangs an den zentralen Sicherheits-Gateways vorzunehmenden Modifikationen sollten so gering wie möglich gehalten werden.
- Grundregel 6: Die Durchführung einer Fernwartung muss protokolliert werden.
Schlussendlich macht es natürlich auch Sinn, bestimmte Regelungen in Bezug auf den Fernwartungsdienstleister zu definieren:
- Grundregel 7: Der Fernwartungsdienstleistende darf nie mehr Rechte erhalten, als er für die Erfüllung seiner Aufgaben unbedingt benötigt.
- Grundregel 8: Die Zuverlässigkeit des Fernwartungsdienstleisters sollte durch vertraglich geregelte Kontrollmechanismen vereinbart werden.
Weitere Links
Im IT-Grundschutz-Kompendium des BSI gibt es im Baustein OPS.1.2.5 Fernwartung weitere grundlegende Anforderung an Fernwartungslösungen. Diese gehen jedoch meist nicht allzu sehr in die (technische) Tiefe. Als Untersützung wurden hierzu auch eigene Umsetzungshinweise veröffentlicht.
Je nachdem, welche Technologie für die Fernwartung im Einsatz ist, lohnt sich eventuell auch ein Blick in die folgende Abschnitte des BSI:
- Fernwartung über die Cloud: BSI Sammlung zum Thema Cloud Computing
- Fernwartung über VPN: IT-Grundschutz NET.3.3 VPN
Zu den sicherheitsrelevanten technischen Aspekten von Fernwartungslösungen über VPN gibt es auf sichere-industrie.de auch einen eigenen Artikel.
In die Umsetzung starten
Es stehen nur begrenzt Zeit, Budget und Ressourcen zur Verfügung. Betreiber stellen sich zurecht die Frage, welche der genannten Handlungsempfehlungen Priorität haben sollten und den meisten positiven Impact liefern. Dafür haben wir an dieser Stelle die wichtigsten Anforderungen extrahiert und durch unsere eigenen Erfahrungen ergänzt:
Angriffsvektoren minimieren
Es wäre grundsätzlich schon viel geholfen, wenn die Anzahl der Fernwartungszugänge möglichst klein gehalten wird und man eine grundlegende Achtsamkeit für Fernwartungszugänge im Automatisierungsnetz etabliert. In vielen Geräte werden bereits standardmäßig Zugänge verbaut, von denen man als Betreiber eventuell auch gar nichts weiß. Je weniger Zugänge man überwachen muss, desto geringer werden die Kosten für entsprechende Schutzmaßnahmen und desto mehr wird die Wahrscheinlichkeit von Fehlkonfigurationen eingeschränkt.
Minimalitätsprinzip
Auch wenn es natürlich bequemer ist dem Fernwarter umfassende Admin-Rechte und weitflächigen Zugriff auf (Sub-)netze bereitzustellen, sollte man sich hier die Zeit nehmen und sich überlegen, auf welche Zielsysteme der Fernwarter wirklich einen Zugriff benötigt und welche Rechte für seine Tätigkeit mindestens notwendig sind.
Netzwerksegmentierung
Um das genannte Minimalitätsprinzip zu unterstützen, kann es sich anbieten die jeweiligen Zielsysteme durch Netzwerksegmentierung zu isolieren und eine Aufteilung nach Zones und Conduits einzuführen.
Die eigenen kritischen Systeme kennen
Eine Risikoanalyse der Automatisierungslösung kann Ihnen Klarheit für Entscheidungen im Zuge einer sicheren Fernwartung bieten. Eventuell erfahren Sie, für welche Systeme sich ein direkter Fernzugriff eventuell ganz vermeiden lässt oder Sie können zumindest besser abwägen, wann das Risiko eines (direkten) Fernwartungszugangs die Vorteile einer Fernwartung übersteigt. Aufbauend auf diesem Wissen lassen sich bei Bedarf auch weitere Maßnahmen wie DMZ oder Monitoring implementieren.
Die Eingangspunkte des Fernwarters kennen und abgrenzen
Oft ist es schwer, sich mit dritten Parteien oder Lieferanten auf erhöhte Sicherheitsrichtlinien zu einigen. Aus diesem Grund bietet sich eine sogenannte „Jump Station“ (idealerweise in einer DMZ platziert) an, auf die der Fernwarter landet, ehe der Zugriff auf das jeweilige Gerät stattfindet. So wird eine direkte Verbindung zwischen dem Fernwartenden und dem Industrienetz verhindert und die Möglichkeit geschaffen, zusätzliche Schutzmaßnahmen und Filter zu implementieren.
Das Speichern von Anmeldedaten auf Seiten des Fernwarters vermeiden
Selbst wenn kritischer Anmeldedaten verschlüsselt und gesichert übertragen werden, beispielsweise von Priviledged Accounts, sollten sie nie zeitlich unbegrenzt auf der anderen Seite der Fernwartungssitzung gespeichert werden.
Soviel wie möglich protokollieren
Alle Fernwartungszugriffe und -aktivitäten, unabhängig davon, ob diese erfolgreich waren oder nicht, sind zu erfassen. Dies hilft nicht nur bei der forensischen Analyse und bei der Umsetzung von Recovery-Maßnahmen. IDS (Intrusion Detection Systems) und Anomalie-Erkennungssysteme können diese Daten nutzen, um proaktiv Angriffe und Störfälle zu vermeiden. Dabei sind Datenschutzrichtlinien zu beachten.
Kontrollmechanismen für Fernwartende
Anlagenpersonal sollte zu jeder Zeit die Möglichkeit besitzen, bei einem Vorfall die Fernwartungssitzung zu terminieren und zu beenden. Selbstverständlich sind diese Kontrollmechanismen im Voraus zu testen, damit das manuelle Eingreifen im Ernstfall auch funktioniert.
Fazit
Fernwartungszugänge können Einfallstore in Ihr Unternehmensnetzwerk sein. Die Fernwartungslösungen, die Hersteller schon mit den Maschinen ausliefern, entsprechen nicht immer den Security-Standards in Ihrem Netzwerk. Sichere Fernwartung nach BSI zu etablieren, ist ein wichtiger Baustein, um Ihre Anlagenverfügbarkeit zu gewährleisten. Bei der Konzeption einer ganzheitlichen Lösung dienen die einschlägigen Dokumente, die das BSI veröffentlicht, als gute Orientierungshilfe.
Priorisieren Sie daraus die Maßnahmen, die den meisten Mehrwert für Ihren Betrieb haben und die das Sicherheitsniveau in Ihrem Netzwerk schnell erhöhen.
Checkliste: Angriffserkennung in KRITIS Betrieben
Die Anforderung nach „Angriffserkennung für kritische Infrastrukturen“ sorgt für zusätzlichen Stress bei der Vielzahl an notwendigen Schutzmaßnahmen.
Deshalb haben wir eine Checkliste: Angriffserkennung in KRITIS Betrieben erstellt, die Ihnen einen effizienten Überblick gibt und vor allem eine strukturierte Bearbeitung ermöglicht.
Super zusammengefasst und aufgestellt. Vor allem sowohl aus organisatorischer als auch anwenderorientierten operativen Sicht!
Ich würde mich über weiteren Austausch freuen.
Vielen Dank für Dein Feedback und ich hoffe sehr, dass dir die Inhalte bei Deinen Themen weiterhelfen.
Beste Grüße
Max