Der erste Schritt bei der Realisierung einer Fernwartungsarchitektur für Produktions- und Automationsanlagen sollte die Anforderungsanalyse und Auswahl einer passenden Fernwartungslösung sein. Viele Schwierigkeiten im späteren Betrieb können Sie bereits durch eine individuelle Vorbereitung elegant umgehen. Wir geben Ihnen in diesem Artikel einen Handlungsleitfaden, der Sie bis zum Kauf der Lösung begleitet und Sie dabei unterstützt, bereits frühzeitig eine solide Basis für IT-Sicherheit in Ihrer Automation zu schaffen.
Fernwartung in Automation – Assets und Risikoabschätzung
Zunächst geht es um die grundlegende Frage, ob die Einrichtung eines Fernwartungszugangs auf einzelne Systeme und Steuerungen im Anlagennetz überhaupt in Erwägung gezogen werden sollte. Schließlich geht es um den externen Zugriff auf Systeme und Anlagenkomponenten, die Ihre Kernprozesse kontrollieren. Ein unerlaubter Zugriff kann negative Konsequenzen bis hin zu einem Totalausfall des gesamten Prozesses haben.
Um diese Frage zu beantworten, sollten Sie damit anfangen, die Zielsysteme festzuhalten, auf welche später durch externe Lieferanten oder auch interne Mitarbeiter zugegriffen werden soll. Idealerweise sind Ihnen die einzelnen Systeme, beispielsweise HMI oder SPS, und deren Eigenschaften bereits durch Ihr Asset-Inventar bekannt.
Auf der Basis des ermittelten Asset-Inventars führen Sie eine Risikoabschätzung durch, welche den Kosten- und Zeiteffizienzgewinn gegen die potenzielle Beeinträchtigung der Zielsysteme abwägt. Hilfestellung bieten hierbei gängige Normen, wie zum Beispiel die ISO 27005 oder die IEC 62443-3-2.
Wichtig ist die Analyse und Dokumentation der denkbaren Bedrohungen, ihrer Eintrittswahrscheinlichkeit und den damit verbundenen Auswirkungen auf Ihren Prozess. Sollte ein identifiziertes Risiko das akzeptable Niveau überschreiten, muss man sich Gedanken über Mitigationsmaßnahmen oder die grundsätzliche Sinnhaftigkeit einer Fernwartung für dieses Zielsystem machen.
Analyse der Lieferantenanforderungen
Neben der Auflistung der einzelnen Zielsysteme sollten Sie evaluieren, welche Lieferanten vom Einsatz der Fernwartungslösung betroffen sein werden. Hier können vor allem zwei Fälle eintreten: Sie möchten eine neue Fernwartungslösung zusammen mit einem Lieferanten einführen, oder eine bestehende Fernwartungslösung ändern.
Hierzu hilft es, sich eine Auflistung zu einzelnen wichtigen Punkten anzufertigen, wie beispielsweise.:
- Lieferant
- gegebenenfalls bereits vorhandene Fernwartungslösungen
- technischer Ansprechpartner
- Anforderungen, warum der Lieferant diese Lösung nutzt
Möglicherweise ist eine solche Auflistung im Rahmen einer Netzwerkanalyse oder Ist-Aufnahme bereits schon einmal geschehen. Falls bereits Lösungen existieren, notieren Sie sich, welche der Lösungen möglicherweise schwierig abzulösen sein werden. Nicht alle Lieferanten sind von vornherein um die Sicherheit in Ihrer Anlage bemüht und es bedarf unter Umständen einer gewissen Diskussionsbereitschaft.
Compliance und Organisation (ISMS)
Gibt es in Ihrem Betrieb bereits ein Sicherheitskonzept oder Sicherheitsmanagement? Dann sollten daraus Anforderungen abgeleitet werden, welche von der Fernwartungslösung erfüllt werden müssen. Wichtig ist hierbei vor allem die konkrete Verteilung der Verantwortung über den sicheren Betrieb der Lösung.
Tipp: Unternehmens-IT und Anlagen-IT sollten hier an einem Strang ziehen. Da sich der Zugang vom Internet über das Unternehmensnetz bis in das Anlagennetz erstreckt, empfiehlt es sich, wenn sich beide Abteilungen zu den Aufgaben und Verantwortungen absprechen und diese Verpflichtungen dokumentieren.
Entscheidend ist auch die Vertrauenswürdigkeit und Zuverlässigkeit des Wartungsanbieters. Hierfür können Sie Kriterien festhalten, die Sie bei der späteren Auswahl unterstützen. Der Wartungsanbieter sollte unter anderem folgende Punkte abdecken:
- Informationen zum Schutz der Systeme des Wartungsanbieters
- geeignete Vertraulichkeitsvereinbarung
- Zertifikat nach ISO 27001 oder BSI IT-Grundschutz
Insbesondere für Unternehmen, die unter das IT-Sicherheitsgesetz und damit unter kritische Infrastrukturen (KRITIS) fallen, ist eine passende Zertifizierung des Lieferanten eine Möglichkeit, den „Stand der Technik“ festzuhalten.
Anforderungsanalyse der Fernwartungslösung
Auf Basis der durchgeführten Risikoabschätzung, Analyse der Lieferantenanforderungen und Compliance-Prüfung können Sie nun eine konkrete Anforderungsanalyse betreiben. Anhand dieser Anforderungsanalyse können dann die einzelnen Anbieter von Fernwartungslösungen verglichen werden.
Eine Auswahl von Anforderungen könnte wie folgt aussehen:
- Unterstützung aktueller Verschlüsselungstechnologien, zum Beispiel nach BSI TR-02102-1
- Einsatz sicherer Protokolle wie IPsec, SSH oder TLS in aktuellen Versionen
- Update-Fähigkeit der Fernwartungskomponente
- Verwaltung durch zentrales Management, dadurch zum Beispiel Sammel-Updates oder Sammel-Konfiguration mehrerer Endpunkte
- Anbindung an gängige Benutzerverzeichnisse (Active Directory, LDAP, etc)
- Platzierung als On-Site-Lösung bei Ihnen, oder als Cloud-Lösung beim Anbieter
- Bei Cloud-Lösung: Mandantenfähigkeit
- Investitionsschutz, zum Beispiel IPv6-Fähigkeit
- Budgetkalkulation
- etc.
Im Schnitt umfasst eine solche Anforderungsliste nun ca. 50-100 Kriterien und besteht sowohl aus organisatorischen als auch aus technischen Anforderungen. Sie werden in der Praxis kaum einen Anbieter finden, der alle Ihre Kriterien erfüllt. Aus diesem Grund sollten Sie eine Gewichtung festlegen und Prioritäten einzelner Anforderungen definieren. Hier kann sich ein einfaches Punktsystem von 1 – 3 anbieten.
Die gesammelten Anforderungen sollten nun ausreichend klar sein, um sie innerhalb eines Anforderungskatalogs zu fixieren. Mit diesem Katalog können Sie zur Tat schreiten und den Auswahlprozess beginnen.
Durchführung Anbieter- / Lösungsvergleich
In diesem finalen Schritt vor der Beschaffung der Lösung führen Sie auf Basis der ermittelten Anforderungen eine Vorabrecherche der Anbieter und Lösungen am Markt durch. Hier empfiehlt sich die Suche im Internet oder in spezifischen Fachmagazinen.
Haben Sie geeignete Kandidaten ausgewählt, kontaktieren Sie diese, um Detailfragen zu klären.
Arbeiten Sie dabei vor allem mit Ihrem Anforderungskatalog und lassen Sie sich diesen von dem jeweiligen Anbieter beantworten. Rechnen Sie jedoch damit, dass solche Angaben meistens beschönigt beantwortet werden. Aus diesem Grund sollten Sie die Antworten im Rahmen einer Teststellung des Kandidaten verifizieren und ihn zu einer Demonstration einladen.
Verläuft die Teststellung erfolgreich und konnten Sie sich für einen Lösungsanbieter entscheiden, dann sind Sie bereits einen großen Schritt weiter.
In 4 Phasen zur sicheren und skalierbaren Industrie Fernwartungslösung
Um Ihnen als Anlagenbetreiber eine Richtung an die Hand zu geben, haben wir 4 Phasen ermittelt, die für den Erfolg Ihrer Fernwartungsvorgänge ausschlaggebend sind. Abhängig davon, in welcher Phase Sie sich derzeitig befinden, sind unterschiedliche Themen von Relevanz. Dieser Artikel beschreibt Phase 1, die „Anforderungsanalyse“. Eine Übersicht aller Phasen finden Sie hier:
- Anforderungsanalyse: Stehen Sie ganz am Anfang des Themas Fernwartung, geht es vor allem um eine konkrete Anforderungsanalyse und um die Auswahl einer Lösung.
- Konzeption: Ist das getan, muss diese mit einem Fernwartungskonzept sicher in die Bestandsinfrastruktur integriert werden.
- Prozesse: Damit kann im Anschluss durch die Etablierung notwendiger Prozesse und Organisationsstrukturen ein geordneter und reibungsloser Betrieb der Lösung geschaffen werden.
- Herausforderungen: Final betrachten wir, welche Punkte es während des Betriebs zu beachten gibt und welche Herausforderungen auftreten können.
Der Industrial Security Guide zum schnellen Einstieg
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!