Sichere Fernwartung nach BSI – Alle Anforderungen in einer umfassenden Übersicht

Inhaltsverzeichnis

    Fernwartungszugänge sind ein notwendiges Übel im Automatisierungsnetz, denn sie können mehrere potenzielle Einfallstore für Angreifer und Malware öffnen. Betreiber suchen oft nach geeigneten Standards und Best Practices, um eine sichere Lösung aufzubauen. Das Bundesamt für Sicherheit in der Informationstechnik bietet dafür eine guten Leitfaden. Sichere Fernwartung nach BSI umzusetzen, bringt das nötige Sicherheitsniveau und hilft, geeignete Maßnahmen zu priorisieren.

    Genau hierfür hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Dokument mit Anforderungen an eine sichere Umsetzung von Fernwartungslösungen im Industriebereich veröffentlicht. Das BSI ist die zentrale Organisation für Empfehlungen von Lösungen im Bereich der IT-Sicherheit und hat darüber hinaus bereits einige Veröffentlichungen an sichere Fernwartungszugänge in der Vergangenheit publiziert. 

    In diesem Artikel haben wir Ihnen alle Ansatzpunkte des BSI im Kontext der sicheren Fernwartung zusammengefasst und geben Ihnen am Ende unsere Einschätzung zu guten Einstiegspunkten und Prioritäten. 

    Fernwartung im industriellen Umfeld

    Das BSI-Dokument „Fernwartung im industriellen Umfeld“ ist speziell auf Industrieumgebungen zugeschnitten. Es bietet eine Auflistung von Anforderungen, die die Umsetzung einer sicheren Fernwartungslösung beleuchtet. Dies erstreckt sich von der Planung und Integration über konkrete technische Maßnahmen bis hin zu organisatorischen Regelungen in der Integrations- und Betriebsphase. 

    Architektur

    Einheitliche Lösung

    Die Verwendung einer möglichst einheitlichen Fernwartungslösung, deren Administration z.B. ein zentrales Management-System umsetzt.

    DMZ

    Können kritischen Fernwartungskomponenten in einer demilitarisierten Zone untergebracht werden?

    Firewalling

    Firewall-Regeln sollten durch Fernwartungszugänge nicht umgangen oder durchbrochen, sondern vielmehr gezielt für eine Eingrenzung des Fernwartungsbereichs genutzt werden.

    Granularität der Verbindung

    Es sollen nur die benötigten Systeme (IP und Port) freigegeben werden. Von der Freigabe gesamter (Sub-)Netze wird abgeraten.

    Verbindungsaufbau

    Der Verbindungsaufbau einer Fernwartungssitzung soll von innen nach außen erfolgen. Weiterhin muss ein interner Mitarbeiter diese manuell freigeben.

    Dedizierte Systeme

    Die eingesetzten Fernwartungskomponenten sollen auch nur ausschließlich zur Fernwartung eingesetzt werden und keine weiteren Aufgaben übernehmen.

    Sichere Kommunikation

    Sichere Protokolle

    Es werden ausschließlich etablierte Protokolle, wie IPsec, SSH oder TLS verwendet.

    Sichere Verfahren

    Die Verschlüsselung des Datenverkehrs erfolgt über den Einsatz hinreichend starker kryptografischer Verfahren. Die Stärke der Verschlüsselungsparameter soll anpassbar sein.

    Authentisierungsmechanismen

    Granularität des Accounts

    Jeder Benutzer des Systems hat einen eigenen Account, von Gruppen-Accounts wird abgesehen.

    Starke Authentisierungsmechanismen

    Eine 2-Faktor-Authentisierung ist ein starker Authentisierungsmechanismus. Weiterhin gilt eine Empfehlung für Smartcards, One-Time-Password Generatoren oder USB-Tokens.

    Passwortsicherheit

    Verwendung sicherer Passwörter (z.B. Verwendung von Sonderzeichen, Passwortlänge, etc.) mit hoher Komplexität.

    Angriffserkennung

    Wünschenswert sind Mechanismen zur Angriffserkennung sowie Vorkehrungen gegen das wiederholte Durchprobieren.

    Organisatorische Anforderungen

    Risikoanalyse

    Eine Risikoanalyse der Lösung ist durchzuführen.

    Minimalitätsprinzip

    Fernwartungszugänge werden nur erteilt, wenn es unbedingt notwendig ist und deren Zielsysteme auf das Nötigste beschränkt.

    Prozesse

    Betreiber etablieren Prozesse, die das Anlegen, Freigeben und Sperren von Zugängen für die Fernwartungslösung regeln.

    Inventarisierung

    Sämtliche Fernzugriffsmöglichkeiten werden erfasst.

    Zeitfenster

    Verbindungen werden nur bei Bedarf aufgebaut oder sind nur zu definierten Zeiten möglich.

    Funktionsprüfung

    Es erfolgt eine regelmäßige Prüfung der Funktionsfähigkeit der Fernwartung.

    Vorgaben für Fernwartende

    Es werden technische Vorgaben (verwendete IT, Schutzmechanismen der Clients) für den Fernwartenden definiert. Diese werden vertraglich festgehalten.

    Patch-Prozess

    Es gibt einen regelmäßigen Patch- und Update-Prozess für Fernwartungskomponenten, die einen Zugang zu nicht update-fähigen Maschinenanlagen bieten.

    Logging & Alerting

    Im Rahmen von ausführlichen Protokollierungsfunktionen werden sämtliche Zugriffe mit Zeitstempel dokumentiert. Fehlgeschlagene Anmeldeversuche werden bei entsprechendem Personal gemeldet und ebenfalls protokolliert.

    Sonstiges

    Skalierbarkeit und zentrales Management

    Die Lösung sollte skalierbar sein und insbesondere für große Installationen ein zentrales Management bieten.

    Investitionsschutz

    Die Lösung sollte auch für die Zukunft erweiterbar sein und neue Technologien (wie bspw. IPv6) berücksichtigen.

    Hochverfügbarkeit

    Die Komponenten sollten hoch verfügbar (z.B. durch die redundante Verwendung von Technologien) ausgelegt werden können.

    Grundregeln zur Absicherung von Fernwartungszugängen

    Das BSI-Dokument „Grundregeln zur Absicherung von Fernwartungszugängen“ behandelt zwar nicht speziell Industrienetzwerke. Die dort aufgeführten 8 Grundregeln überschneiden sich jedoch zum großen Teil mit den bereits genannten Anforderungen. Sie können als Richtlinie dienen, aus der eine Priorisierung für die Umsetzung abgeleitet werden kann. 

    Die ersten drei Grundregeln gelten vor allem für Szenarien, in denen ein Anwender sporadisch bei auftretenden Problemen die Hilfe eines externen Experten in Anspruch nehmen möchte:

    • Grundregel 1: Die Initiative zum Aufbau einer Support- oder Fernwartungssession muss immer vom Anwender ausgehen.
    • Grundregel 2: Die Fernwartungsverbindung sollte verschlüsselt sein.
    • Grundregel 3: Der Fernwartende muss sich sicher authentifizieren, bevor er Zugriff auf das System erhält.

    Die dann folgenden Grundregeln gelten für größere und komplexere Netzwerke, dessen Komponenten unter anderem auch spezielles Know-How des Herstellers oder eines externen Dienstleisters verlangen. Hier muss insbesondere auf die Tatsache geachtet werden, dass solche Zugänge meist dauerhaft eingerichtet oder unbegrenzt wiederverwendbar sind: 

    • Grundregel 4: Das Fernwartungsobjekt sollte so gut wie möglich vom Rest des Netzes isoliert werden, um gewollte oder ungewollte Zugriffe des Fernwartenden auf andere Rechner und Server zu verhindern.
    • Grundregel 5: Die zur Etablierung des Fernwartungszugangs an den zentralen Sicherheits-Gateways vorzunehmenden Modifikationen sollten so gering wie möglich gehalten werden.
    • Grundregel 6: Die Durchführung einer Fernwartung muss protokolliert werden.

    Schlussendlich macht es natürlich auch Sinn, bestimmte Regelungen in Bezug auf den Fernwartungsdienstleister zu definieren:

    • Grundregel 7: Der Fernwartungsdienstleistende darf nie mehr Rechte erhalten, als er für die Erfüllung seiner Aufgaben unbedingt benötigt.
    • Grundregel 8: Die Zuverlässigkeit des Fernwartungsdienstleisters sollte durch vertraglich geregelte Kontrollmechanismen vereinbart werden.

    Weitere Links

    Im IT-Grundschutz-Kompendium des BSI gibt es im Baustein OPS.1.2.5 Fernwartung weitere grundlegende Anforderung an Fernwartungslösungen. Diese gehen jedoch meist nicht allzu sehr in die (technische) Tiefe. Als Untersützung wurden hierzu auch eigene Umsetzungshinweise veröffentlicht.

    Je nachdem, welche Technologie für die Fernwartung im Einsatz ist, lohnt sich eventuell auch ein Blick in die folgende Abschnitte des BSI:

    • Fernwartung über die Cloud: BSI Sammlung zum Thema Cloud Computing
    • Fernwartung über VPN: IT-Grundschutz NET.3.3 VPN

    Zu den sicherheitsrelevanten technischen Aspekten von Fernwartungslösungen über VPN gibt es auf sichere-industrie.de auch einen eigenen Artikel.

    In die Umsetzung starten

    Es stehen nur begrenzt Zeit, Budget und Ressourcen zur Verfügung. Betreiber stellen sich zurecht die Frage, welche der genannten Handlungsempfehlungen Priorität haben sollten und den meisten positiven Impact liefern. Dafür haben wir an dieser Stelle die wichtigsten Anforderungen extrahiert und durch unsere eigenen Erfahrungen ergänzt:

    Angriffsvektoren minimieren

    Es wäre grundsätzlich schon viel geholfen, wenn die Anzahl der Fernwartungszugänge möglichst klein gehalten wird und man eine grundlegende Achtsamkeit für Fernwartungszugänge im Automatisierungsnetz etabliert. In vielen Geräte werden bereits standardmäßig Zugänge verbaut, von denen man als Betreiber eventuell auch gar nichts weiß. Je weniger Zugänge man überwachen muss, desto geringer werden die Kosten für entsprechende Schutzmaßnahmen und desto mehr wird die Wahrscheinlichkeit von Fehlkonfigurationen eingeschränkt.

    Minimalitätsprinzip

    Auch wenn es natürlich bequemer ist dem Fernwarter umfassende Admin-Rechte und weitflächigen Zugriff auf (Sub-)netze bereitzustellen, sollte man sich hier die Zeit nehmen und sich überlegen, auf welche Zielsysteme der Fernwarter wirklich einen Zugriff benötigt und welche Rechte für seine Tätigkeit mindestens notwendig sind.

    Netzwerksegmentierung

    Um das genannte Minimalitätsprinzip zu unterstützen, kann es sich anbieten die jeweiligen Zielsysteme durch Netzwerksegmentierung zu isolieren und eine Aufteilung nach Zones und Conduits einzuführen.

    Die eigenen kritischen Systeme kennen

    Eine Risikoanalyse der Automatisierungslösung kann Ihnen Klarheit für Entscheidungen im Zuge einer sicheren Fernwartung bieten. Eventuell erfahren Sie, für welche Systeme sich ein direkter Fernzugriff eventuell ganz vermeiden lässt oder Sie können zumindest besser abwägen, wann das Risiko eines (direkten) Fernwartungszugangs die Vorteile einer Fernwartung übersteigt. Aufbauend auf diesem Wissen lassen sich bei Bedarf auch weitere Maßnahmen wie DMZ oder Monitoring implementieren.

    Die Eingangspunkte des Fernwarters kennen und abgrenzen

    Oft ist es schwer, sich mit dritten Parteien oder Lieferanten auf erhöhte Sicherheitsrichtlinien zu einigen. Aus diesem Grund bietet sich eine sogenannte „Jump Station“ (idealerweise in einer DMZ platziert) an, auf die der Fernwarter landet, ehe der Zugriff auf das jeweilige Gerät stattfindet. So wird eine direkte Verbindung zwischen dem Fernwartenden und dem Industrienetz verhindert und die Möglichkeit geschaffen, zusätzliche Schutzmaßnahmen und Filter zu implementieren.

    Das Speichern von Anmeldedaten auf Seiten des Fernwarters vermeiden

    Selbst wenn kritischer Anmeldedaten verschlüsselt und gesichert übertragen werden, beispielsweise von Priviledged Accounts, sollten sie nie zeitlich unbegrenzt auf der anderen Seite der Fernwartungssitzung gespeichert werden.

    Soviel wie möglich protokollieren

    Alle Fernwartungszugriffe und -aktivitäten, unabhängig davon, ob diese erfolgreich waren oder nicht, sind zu erfassen. Dies hilft nicht nur bei der forensischen Analyse und bei der Umsetzung von Recovery-Maßnahmen. IDS (Intrusion Detection Systems) und Anomalie-Erkennungssysteme können diese Daten nutzen, um proaktiv Angriffe und Störfälle zu vermeiden. Dabei sind Datenschutzrichtlinien zu beachten.

    Kontrollmechanismen für Fernwartende

    Anlagenpersonal sollte zu jeder Zeit die Möglichkeit besitzen, bei einem Vorfall die Fernwartungssitzung zu terminieren und zu beenden. Selbstverständlich sind diese Kontrollmechanismen im Voraus zu testen, damit das manuelle Eingreifen im Ernstfall auch funktioniert.

    Fazit

    Fernwartungszugänge können Einfallstore in Ihr Unternehmensnetzwerk sein. Die Fernwartungslösungen, die Hersteller schon mit den Maschinen ausliefern, entsprechen nicht immer den Security-Standards in Ihrem Netzwerk. Sichere Fernwartung nach BSI zu etablieren, ist ein wichtiger Baustein, um Ihre Anlagenverfügbarkeit zu gewährleisten. Bei der Konzeption einer ganzheitlichen Lösung dienen die einschlägigen Dokumente, die das BSI veröffentlicht, als gute Orientierungshilfe.

    Priorisieren Sie daraus die Maßnahmen, die den meisten Mehrwert für Ihren Betrieb haben und die das Sicherheitsniveau in Ihrem Netzwerk schnell erhöhen.

    Checkliste: Angriffserkennung in KRITIS Betrieben

    Max Weidele
    CEO & Founder

    Die Anforderung nach „Angriffserkennung für kritische Infrastrukturen“ sorgt für zusätzlichen Stress bei der Vielzahl an notwendigen Schutzmaßnahmen.

    Deshalb haben wir eine Checkliste: Angriffserkennung in KRITIS Betrieben erstellt, die Ihnen einen effizienten Überblick gibt und vor allem eine strukturierte Bearbeitung ermöglicht.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Veröffentlicht am
    Zuletzt aktualisiert am

    2 Kommentare zu “Sichere Fernwartung nach BSI – Alle Anforderungen in einer umfassenden Übersicht

    1. Super zusammengefasst und aufgestellt. Vor allem sowohl aus organisatorischer als auch anwenderorientierten operativen Sicht!

      Ich würde mich über weiteren Austausch freuen.

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Checkliste herunterladen

    Die Anforderung nach „Angriffserkennung für kritische Infrastrukturen“ sorgt für zusätzlichen Stress bei der Vielzahl an notwendigen Schutzmaßnahmen.


    Deshalb haben wir eine Checkliste: Angriffserkennung in KRITIS Betrieben erstellt, die Ihnen einen effizienten Überblick gibt und vor allem eine strukturierte Bearbeitung ermöglicht.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung