Fernwartungskonzept: So integrieren Sie Ihre Fernwartungslösung, ohne Ihre Anlage zu gefährden

Inhaltsverzeichnis

    In diesem Artikel konzentrieren wir uns auf die technische Integration einer Fernwartungslösung in Ihren Betrieb. In dieser Phase haben Sie bereits eine Anforderungsanalyse durchgeführt, die entsprechende Fernwartungslösung ausgewählt und stehen in Kontakt mit Ihren Lieferanten.

    Diese Ergebnisse werden nun in einem technischen Fernwartungskonzept zusammengefasst. Ein solches Konzept beschreibt im Detail, wie Sie Fernwartungslösungen so in Ihre Bestandsinfrastruktur integrieren können, dass die IT-Sicherheit dabei nicht zu kurz kommt. Ein solides Fernwartungskonzept stellt nicht nur den reibungslosen technischen Betrieb einer Fernwartungslösung in Ihrem Netzwerk sicher, sondern hilft Ihnen auch dabei, verschiedene Zugänge in einer einheitlichen Lösung gesammelt zu verwalten. Welche Aspekte sind dabei zu beachten?

    Grundprinzipien eines Fernwartungskonzepts

    Bevor wir mit der eigentlichen Gliederung eines Fernwartungskonzepts starten, geben wir Ihnen zwei Grundprinzipien mit auf den Weg, die aus dem Blickwinkel der Sicherheit entscheidend sind.

    Umsetzung des Minimalitätsprinzips

    Im Rahmen einer Fernwartung bedeutet das Minimalitätsprinzip, dass über eine aktive Verbindung lediglich diejenigen Systeme zu erreichen sind, auf die auch tatsächlich zugegriffen werden muss. Von allgemeinen Zugängen, z.B. großflächigen Netz-zu-Netz-Kopplungen, ist abzusehen.

    Der Fernwarter wird dabei immer nur auf sein Zielsystem oder das jeweilige Ziel-Netzsegment beschränkt. Ein Zugriff auf weitere Systeme sollte unterbunden werden. In der Praxis kann das z.B. durch Firewall-Regeln oder andere Schutzfunktionen umgesetzt werden.

    Weiterhin gilt, dass nicht benötigte Dienste sowohl auf den Zielsystemen als auch auf der Fernwartungslösung selbst deaktiviert werden.

    Verbindungsaufbau von innen heraus

    Der Verbindungsaufbau zu einem Zielsystem muss immer aus Ihrem Netz heraus erfolgen. Ein Fernwarter sollte sich niemals direkt von extern „durchverbinden“ können. Nach außen geöffnete Ports mit entsprechenden Weiterleitungen sind ebenfalls zwingend zu vermeiden. Eine Möglichkeit, die dieses Prinzip von Haus aus umsetzt, stellt das Rendezvous-Konzept dar. Dieses wird mittlerweile von verschiedenen Herstellern realisiert.

    Das Rendezvous-Konzept

    Das Rendezvous-Konzept besteht immer aus einem zentralen Fernwartungsserver, z.B. in der DMZ, sowie einzelnen Fernwartungssystemen im Anlagennetz selbst. Die Fernwarter bauen dabei von außen und die Fernwartungssysteme von innen eine Verbindung zu diesem Fernwartungsserver auf. An diesem Server treffen sich die externe und interne Verbindung. Von dort aus wird dann die Verbindung vom Fernwarter zum Zielsystem vermittelt. Der Verbindungsaufbau von innen zu dem Fernwartungsserver kann von einem Mitarbeiter aktiv gesteuert werden.

    Als Betreiber behalten Sie damit die Kontrolle und geben Verbindungen aktiv frei. Außerdem vermeiden Sie dadurch nach außen geöffnete Ports, die es einem Angreifer wesentlich erleichtern, Ihr internes Netzwerk auszuspähen oder gar zu infiltrieren.

    Gliederung eines Fernwartungskonzepts

    Ein Fernwartungskonzept behandelt verschiedene Themen. Dazu gehören vor allem die Festlegung der Kommunikationsverbindung, die Einbindung in die Bestandsinfrastruktur und die Standardisierung der Zugänge.

    Festlegen der Kommunikationsverbindung

    Zunächst gilt es zu klären, über welchen Kanal die darunterliegende Kommunikation mit dem Zielsystem stattfindet. Dieser äußere Kanal basiert in der Regel auf Technologien, die einen Tunnel oder ein privates Netzwerk zwischen dem Wartungsanbieter und Ihrem Netz aufbauen. Durch folgende Technologien lässt sich eine sichere Realisierung erreichen:

    • SSH
    • VPN (IPsec, SSL-VPN, OpenVPN)

    Bei der Verwendung von VPNs sollte darauf geachtet werden, dass keine Kopplung ganzer Netzsegmente vom Wartungsanbieter und Ihnen stattfindet. IP-Adresskonflikte und weitere grundlegende Netzwerkstörungen, sowie potenzieller Vertraulichkeitsverlust können die unerwünschte Folge sein!

    Empfehlenswert ist eine präzise Verbindung auf IP- und Port-Basis zum Zielsystem. Über diesen äußeren Kanal wird dann das interne Protokoll, wie zum Beispiel Siemens S7, RDP oder VNC, direkt auf das Zielsystem weitergeleitet.

    Einbindung in die Bestandsinfrastruktur

    Innerhalb eines Strukturplans wird die Fernwartungslösung in die Architektur Ihres Anlagennetzes integriert. Hierbei gibt es verschiedene Ansätze, drei davon stellen wir Ihnen nun vor. Die Entscheidung, welche Architektur gewählt wird, hängt von individuellen Faktoren ab und sollte in Übereinstimmung mit Ihren Sicherheitsrichtlinien geschehen.

    Platzierung der Fernwartungssysteme im Netz

    Einer der zentralsten Punkte ist die Klärung, wie das System „Fernwartungslösung“ auf technischer Ebene in die Netzarchitektur integriert wird. Hier gilt es netzwerktechnische Gegebenheiten zu beachten. Je nach Fernwartungslösung gibt es unterschiedliche Verfahren, die auch gut kombinieren werden können.

    Fernwartungskomponente pro Zielsystem

    In Einzelfällen macht es Sinn, die Fernwartungskomponente unmittelbar vor dem Zielsystem zu platzieren. Auf diesem Weg wird dieses vom internen Netz „getrennt“ und ein Fernwarter der sich auf die Komponente verbinden möchte, landet direkt am Ziel. Da in diesem Fall pro Zielsystem eine Fernwartungskomponente beschafft werden muss, gehen auch etwas höhere Kosten damit einher. Der Vorteil ist allerdings die sehr präzise und feingranulare Anbindung, deren eingeschränkter Wirkungsbereich ein hohes Maß an Sicherheit bietet. Zu beachten sind hier ggfs. Latenz und Verfügbarkeit von Zielsystemen, die von einer Fernwartungskomponente vollumfänglich abgeschottet werden.

    Fernwartungskomponente pro Sicherheitszone

    Benötigt der Lieferant gleichzeitigen Zugriff auf mehr als nur ein Zielsystem, z.B. Steuerungen und Workstations, kann eine Komponente auch pro Sicherheitszone oder Anlagennetz integriert werden. Die Sicherheitszone entspricht einem Teil des Netzes, das nach dem Prinzip der Zones & Conduits nach deren Sicherheitsbedarf abgegrenzt wurde. Der Wartungszugriff beschränkt sich dabei lediglich auf die Systeme innerhalb dieser Sicherheitszone.

    Integration von Jumphosts

    Es kann sinnvoll sein, eine weitere Entkopplung der Zielsysteme einzuführen. Hierzu können Jumpserver verwendet werden. Diese beinhalten z.B. die Projektierungsdaten und haben Zugriff auf einzelne Zielsysteme. Damit ist ein direkter Zugriff mittels eines eigenen Geräts der Dienstleister nicht mehr notwendig. Vorteilhaft ist dabei, dass die Verbreitung von Schadsoftware, z.B. vom mobilen Wartungsgerät auf das Zielsystem, eingeschränkt wird.

    Hier muss entschieden werden, wo ein solcher Jumpserver platziert wird. Eine Möglichkeit ist, einen solchen Server pro Sicherheitszone zu betreiben. Die Integration kann jedoch auch auf höherer Ebene stattfinden. Da ein Jumpserver unter Umständen Zugriff auf darunterliegende Zielnetze benötigt, müssen Sie allerdings wiederum Ports innerhalb Ihres Netzwerks öffnen. Vorsicht ist also angebracht!

    Standardisierung von Zugängen

    Mitunter ist man als Betreiber mit der Aufgabe konfrontiert, mehrere verschiedene Fernwartungszugänge zu verwalten. Das liegt meist daran, dass viele Maschinen- und Anlagenbauer bereits im Auslieferungszustand ihre eigene Fernwartungslösung mit der Maschine mitliefern. Diese Fernwartungslösungen können natürlich von unterschiedlichen Herstellern stammen und unterschiedlich aufgebaut sein.

    Um eine Standardisierung des Zugriffs zu erreichen, gibt es zwei Möglichkeiten:

    • Migration aller Zugänge auf eine zentral verwaltete Lösung
    • Integration der Alternativlösung in die zentrale Verwaltung

    Leider stößt der erste Punkt in der Realität, je nach Wartungsanbieter, oft auf weniger Gegenliebe. Hier kommt der zweite Punkt ins Spiel. Es kann auch die Alternativlösung des Lieferanten in Ihre Fernwartungslösung integriert werden.

    Dafür wird die Alternativlösung hinter Ihrer standardisierten Fernwartungslösung oder einer eigenen Firewall platziert. Auf diesem Weg können Sie die Verbindungsfreigabe immer noch selbst von zentraler Stelle aus steuern. Wir empfehlen Ihnen, eine solche Alternativlösung von vornherein einzuplanen. Sie kann dann zum Einsatz kommen, wenn jegliche Verhandlungen darüber mit einem Lieferanten scheitern.

    Diese Standardisierung bringt einen weiteren großen Vorteil mit sich: Auch wenn eine Wartung bei Ihnen vor Ort initiiert wird, kann dieser Zugang genutzt werden. Dies trifft sowohl für Ihre internen Mitarbeiter als auch für das Wartungspersonal zu. Die Verbindung zum Programmiergerät erfolgt somit immer über den klar definierten und zentral verwalteten Zugang.

    Integration technischer Funktionen

    Neben der Integration in das Netz selbst müssen weitere technische Funktionen realisiert werden. Hierunter fallen vor allem die Authentisierung an der Lösung und die Protokollierung und Überwachung der Zugriffe.

    Feingranulare Authentisierung

    Um eine bestmögliche Nachverfolgbarkeit der Änderungen und deren Auswirkungen zu gewährleisten, sollte sich jeder Mitarbeiter des Fernwartungsanbieters mit einem eigenen Account anmelden. Von der Nutzung von Gruppen-Accounts raten wir ab, weil dadurch eine schlechtere Nachverfolgbarkeit entsteht und implizit Passwort-Sharing betrieben wird. Der Wartungszugriff sollte nach dem Minimalitätsprinzip mit den minimal dafür erforderlichen Rechten durchgeführt werden. Hierbei ist die Nutzung zentraler Authentisierungssysteme durch gängige Nutzerverzeichnisse (z.B. Active Directory) zu empfehlen. Auf diesen kann durch die Verwendung rollenbasierter Berechtigungskonzepte eine sichere und zentrale Verwaltung ermöglicht werden. Handelt es sich um besonders kritische Systeme, kann die Nutzung von Mehrfaktor-Authentifizierung, z.B. per Smartcard, erforderlich sein.

    Logging, Monitoring und Reporting

    Sind bereits entsprechende Mechanismen zum zentralen Logging und Monitoring implementiert, sollte die Fernwartungslösung ebenfalls darin integriert werden. Hierunter fallen auch Techniken zur Angriffserkennung, wie zum Beispiel durch Deep-Packet-Inspection / Intrusion-Detection-Systeme. Deren ordentliche Verwaltung ist zwar aufwendig, aber der Vorteil ist dafür eine hohe Sichtbarkeit und Nachverfolgbarkeit innerhalb der Fernwartungsverbindungen.

    Auch die Fernwartungsverbindungen sollten protokolliert werden, um An- und Abmeldungen, durchgeführte Tätigkeiten, sowie deren Funktionalität zu überwachen und weitere Transparenz zu gewinnen.

    Fazit

    Bei der Integration einer Fernwartungslösung in Ihre Bestandsinfrastruktur sind verschiedene, vor allem technische Themen zu berücksichtigen. Diese technische Eingliederung in Ihre Produktions- oder Anlagennetze ist jedoch entscheidend für den soliden und sicheren Betrieb. Ein strukturiertes Fernwartungskonzept stellt dabei einen der zentralsten Erfolgsfaktoren dar. Wie sind die Fernwartungszugänge in Ihre Infrastruktur integriert? Betreiben Sie unter Umständen mehrere Fernwartungszugänge unterschiedlicher Art? Nun sind Sie an der Reihe! Überlegen Sie sich nach den obigen Kriterien, ob es möglicherweise Verbesserungsbedarf bei der Integration gibt oder der Mehraufwand unterschiedlicher Lösungen durch ein standardisiertes Konzept verringert werden kann.

    In unserem nächsten Beitrag geht es um die Organisation und die damit verbundenen Prozesse, damit die Lösung sinnvoll in die Abläufe Ihres Unternehmens integriert und ein langfristig reibungsloser und sichere Betrieb gefördert wird.

    Hat Ihnen dieser Artikel gefallen, vermissen Sie etwas oder haben Sie Fragen? Wir freuen uns über Ihr Feedback! Denken Sie auch daran, den Artikel mit Personen zu teilen, die von den enthaltenen Informationen profitieren können.

    In 4 Phasen zur sicheren und skalierbaren Industrie Fernwartungslösung

    Um Ihnen als Anlagenbetreiber eine Richtung an die Hand zu geben, haben wir 4 Phasen ermittelt, die für den Erfolg Ihrer Fernwartungsvorgänge ausschlaggebend sind. Abhängig davon, in welcher Phase Sie sich derzeitig befinden, sind unterschiedliche Themen von Relevanz. Dieser Artikel beschreibt Phase 2, die „Konzeption“. Eine Übersicht aller Phasen finden Sie hier:

    1. Anforderungsanalyse: Stehen Sie ganz am Anfang des Themas Fernwartung, geht es vor allem um eine konkrete Anforderungsanalyse und um die Auswahl einer Lösung.
    2. Konzeption: Ist das getan, muss diese mit einem Fernwartungskonzept sicher in die Bestandsinfrastruktur integriert werden.
    3. Prozesse: Damit kann im Anschluss durch die Etablierung notwendiger Prozesse und Organisationsstrukturen ein geordneter und reibungsloser Betrieb der Lösung geschaffen werden.
    4. Herausforderungen: Final betrachten wir, welche Punkte es während des Betriebs zu beachten gibt und welche Herausforderungen auftreten können.

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    Der große Industrial Security Einsteiger-Guide

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Whitepaper herunterladen!

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Industrial Security auf den Punkt gebracht

    Erhalten Sie die wichtigsten Erkenntnisse und Best-Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr Email-Postfach.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung