Weit verbreitet und dennoch bedenklich: Wie sicher ist Fernwartung über VPN wirklich?

Inhaltsverzeichnis

    Die Nutzung von VPN (Virtual Private Network) ist mittlerweile eine der am meisten eingesetzten Technologien zur Einbindung von Fernwartern in das Betreibernetz. Das Ziel ist, wie bei anderen gängigen Fernwartungslösungen, dem Wartungspersonal Zugriff auf ein oder mehrere entfernte Zielsysteme zu ermöglichen. Oftmals existiert bereits eine VPN-Infrastruktur für den normalen Enterprise-Betrieb, z.B. für Homeoffices oder Mitarbeiter, die mobil arbeiten. Auf den ersten Blick liegt es nahe, eine Fernwartungsverbindung auf Ihre Anlage direkt darüber mit abzubilden. Es lohnt sich aber, genauer hinzuschauen, denn oftmals ist dieser unkomplizierte Weg nicht der, der Ihnen optimale IT-Sicherheit bietet.

    VPN-Arten unterscheiden

    Zunächst sollte aber geklärt werden, welche Arten von VPN-basiertem Zugriff existieren. Hierbei ist es in erster Linie unabhängig, ob der Fernwarter Ihre bereits bestehende VPN-Lösung nutzt oder eigene Systeme/Boxen in Ihr Netzwerk integriert.

    1. Netzkopplung (Site-to-Site) – Layer 3

    Bei einer Site-to-Site Netzkopplung werden zwei Netze (Fernwartungsanbieter, Kunde) mittels Routing-Mechanismen miteinander verbunden. Das heißt, alle Geräte im Netz des Fernwarters können mit allen Geräten des Kunden sprechen und andersherum. Einschränkungen können durch ausschließende Routing-Einträge und durch Firewall-Regeln realisiert werden.
    Der Fernwarter kann damit die gewünschten Zielsysteme direkt per IP-Adresse und dem benötigten Port ansprechen, ohne weitere Anpassungen tätigen zu müssen. Die Verbindung wird hierbei durch dafür geeignete VPN-Router hergestellt.

    Bei der Layer 3 Netzkopplung existieren eigenständige Layer 2 Broadcast Domains pro Netz (gestrichelte orangefarbene Ellipsen)

    2. Netzkopplung (Site-to-Site) – Layer 2

    Ähnlich zu der Netzkopplung auf Layer 3 (IP-Adressen), verläuft die Kopplung hier eine Ebene tiefer. Zusätzlich zum Datenverkehr auf IP-Ebene werden Layer 2 (Ethernet)-Informationen vom einen Netz ins andere geschickt. Hierzu gehören u.a. Broadcasts, Spanning-Tree u.v.m. Der Fernwarter erreicht die Geräte nun auch per MAC-Adresse. Eine Firewall muss hier sowohl auf Layer-3 als auch auf Layer-2 Einschränkungen vornehmen.

    Vorsicht:
    Die Kopplung von Netzen auf Layer-2 ist oftmals nicht erforderlich, wird aber dennoch oft eingesetzt. Wenn keine Regulierung in Form einer Firewall bzw. anderen Beschränkungen stattfindet, dann kann Ihnen eine unbedachte Layer 2-Kopplung massive Probleme bereiten. Angefangen von einer großen Menge an Broadcasts, die durch Ihr Netz geistern, bis hin zur kompletten Auslastung Ihres Netzwerks. Gleichzeitig wird sämtliches Debugging von Layer 2-Verbindungen erschwert.
    Hier ist es wirklich wichtig, dass Ihr Fernwartungsanbieter und vor allem Sie selbst sicher darüber sind, was dort genau passiert.

    Die Layer 2 Broadcast-Domain erstreckt sich über die Netze des Wartungsanbieters und des Kunden (gestrichelte orangefarbene Ellipse)

    3. Zugriff per VPN-Client

    Neben der Kopplung ganzer Netze können ebenso gut VPN-Clients zum Einsatz kommen. Der Fernwarter verbindet sich hierzu von seinem eigenen PC/Notebook per VPN-Client mit Ihrer VPN-Infrastruktur. Alternativ zu Ihrer VPN-Infrastruktur kann der Fernwartungsanbieter einen eigenen VPN-Endpunkt bei Ihnen im LAN einbringen und sich damit verbinden. Mittels IP-Adresse und Port kann anschließend direkt auf die jeweilige Maschine zugegriffen werden.

    Zugriff auf das VPN per Client

    Durcheinander bei der Netzwerk-Kopplung

    Es kann vorkommen, dass ein Fernwarter gleichzeitig einen VPN-Tunnel in verschiedene Kundennetze aufbaut. Zum Beispiel eine Verbindung zur Produktionsanlage eines Kunden in Südost-Asien und eine andere zu einer Roboter-Steuerung eines anderen Kunden in Europa.
    Eine nicht ordentlich durchdachte bzw. implementierte Lösung kann dazu führen, dass Kunde A über das Netz des Fernwartungsanbieters mit dem Netzwerk von Kunde B sprechen kann. Ob dies der Fall ist, können Sie leider nur sehr schwer bis gar nicht feststellen. Eventuell entdecken Sie etwas darüber in Ihren Netzwerkprotokollen oder in Ihrem Monitoring. Lassen Sie sich gegebenenfalls von Ihrem Fernwartungsanbieter vertraglich zusichern, dass zu einem Zeitpunkt immer nur eine Fernwartungsverbindung zu einem Kunden aufgebaut wird oder dass er die Kopplung von Kundennetzen untereinander technisch ausschließt.
    Die negativen Auswirkungen einer solchen Kopplung reichen von doppelt vergebenen IP-Adressen in den gekoppelten Netzen bis hin zum Verlust von Steuersignalen und potenziellen Störungen Ihrer Automatisierungslösung.

    Eine unvorsichtige Layer 2 Kopplung mehrerer Zielnetze kann zu IP-Adresskonflikten zwischen Kunde A und B führen

    Gehen Sie auf Nummer sicher

    Beim Einsatz von VPN-Lösungen zu Fernwartungszwecken ist die Implementierung einer geeigneten Firewall-Lösung essentiell. Denn von Haus aus wird mittels VPN das gesamte Netz/Subnetz geöffnet. Durch die Verwendung einer Firewall können Sie die Netzwerkkommunikation auf das Nötigste reduzieren, indem sie den nicht benötigten Datenverkehr blockiert. Wir nennen das Top-Down-Ansatz, da dadurch erst nachträglich der Zugriff reduziert wird.
    Ohne den Einsatz einer Firewall und der damit verbundenen Kontrolle der Datenkommunikation ist eine Fernwartung über VPN, z.B. für die zentrale Produktion, nicht zu empfehlen.

    Der Industrial Security Guide zum schnellen Einstieg

    Max Weidele
    CEO & Founder

    Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.

    Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.

    Hier gehts zum Download!

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Veröffentlicht am
    Zuletzt aktualisiert am

    Ein Kommentar zu “Weit verbreitet und dennoch bedenklich: Wie sicher ist Fernwartung über VPN wirklich?

    1. Direkte VPN Verbindungen zwischen Lieferant und Kunde sollten definitiv als nicht state-of-the-art bzw. adäquat angesehen werden. Das ist viel zu risikobehaftet, vor allem, wenn der Lieferant das VPN zu jeder Zeit aktivieren kann, was in der Realität bei solchen Szenarien leider weit verbreitet ist. Viel besser, und damit auch viel sicherer, ist die Verwendung getrennter VPN Tunnel: Einmal von der Produktionszone zu einer zentralen VPN Zone, dediziert für IACS/OT Fernwartung. Und einmal vom Lieferanten auch zu dieser Zone. In dieser Zone wird der durch die VPN Tunnel geschützte Verkehr dann quasi zusammengeschaltet und mittels Verkehrskontrolle restriktiv eingeschränkt. Letztendlich hat der Kunde die notwendige volle Kontrolle über den VPN Tunnel auf seiner Seite, und das ist ausschlaggebend im Sinne von Sicherheit von Fernwartung bzw. den damit verbundenen Risiken.

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Checkliste herunterladen

    Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.


    Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung