Wichtige Prozesse für den effizienten Betrieb einer Fernwartungslösung

Sichere Fernwartung beinhaltet auch Prozesse und Organisation für mehrere Parteien. Worauf Sie achten sollten, um eine solide Lösung zu etablieren.
Inhaltsverzeichnis

    Organisation und Prozesse gehören selten zu den Lieblingsthemen, wenn es um Technik geht. Trotzdem stellen sie wichtige Aspekte bei fast allen technischen Verfahren in einer industrieller Anlage dar. So gehört diesem Aspekt auch beim Thema sichere Fernwartung ein großes Maß an Beachtung geschenkt – denn er kann ein großes Potential für Einsparungen bringen.

    Wichtig ist, dass die Prozesse den Betrieb nicht behindern, sondern ihn unterstützen und für Klarheit sorgen. Mit guten Prozessen und sauberer Organisation sparen Sie sich langfristig Ressourcen. In diese Thematik zu investieren lohnt sich also auf jeden Fall!

    Dabei können sich die Organisation und die Prozesse im Rahmen von Fernwartung als sehr umfangreicher Aufgabenbereich erweisen. Bei der Frage „Was ist wichtig?“ kann man schnell einmal den Überblick verlieren. In diesem Artikel konzentrieren wir uns auf eine Auswahl an organisatorischen Regelungen und Prozessen, die nach unserer Erfahrung die beste Kombination an Einsparungen und Sicherheit bieten. Lassen Sie uns mit der Erörterung der minimal erforderlichen Punkte starten!

    Organisation – Den richtigen Rahmen setzen!

    In den folgenden Absätzen beleuchten wir eine Auswahl der wichtigsten organisatorischen Punkte im Zusammenhang mit dem Thema Fernwartung.

    Klärung der Verantwortung

    Bei Fernwartungszugängen handelt es sich grundsätzlich um Kommunikation zwischen externen Dienstleistern und Ihrem internen und schützenswerten Netz. Daher muss geklärt werden, wer für die Verwaltung und für die IT-Sicherheit der Fernwartungszugänge verantwortlich ist. Im Optimalfall existiert ein interdisziplinäres Team an Mitarbeitern aus der IT und aus der Automatisierung, die sich mit der Verwaltung des Netzes beschäftigen und einer eigens dafür vorgesehenen Stelle (z.B. CISO) obliegt die Sicherheitsverantwortung. Die Kommunikation zwischen IT und Automatisierung ist auch hier der Schlüssel für den Erfolg einer Fernwartungslösung.

    Eingliederung ins Sicherheitsmanagement

    Die Fernwartungslösung sollte einen festen Platz im Rahmen Ihres unternehmensweiten Sicherheitsmanagements haben. In diesem sollten mindestens folgende Themen aufgegriffen werden:

    • Authentifizierung (Passwortrichtlinien, Zwei-Faktor-Authentifizierung, Smartcard)
    • Risikobewertung (Welches Risiko entsteht durch die Fernwartungszugänge?)
    • Dokumentation (Welche Dienstleister greifen wie auf Ihr Netz zu?)

    Insbesondere Betreiber kritischer Infrastrukturen (KRITIS), die unter das IT-Sicherheitsgesetz fallen, müssen sich hiermit intensiv auseinandersetzen. Dabei ist es vor allem wichtig, dass die eingesetzten Methoden dem „Stand der Technik“ entsprechen und der Fernwartungszugang der Dienstleister den Ansprüchen eines Audits genügt.

    Einbettung in den Einkaufsprozess

    Je früher Sie sich mit den Anforderungen an die Fernwartungslösung beschäftigen, desto einfacher geht der spätere Betrieb von der Hand. Machen Sie deshalb diese Kriterien bereits zu einem festen Bestandteil innerhalb Ihres Einkaufsprozesses. So wird bereits im Rahmen der Anlagenplanung und Beschaffung der Grundstock für die spätere Funktionalität gesetzt.

    Fernwartungsverträge und Richtlinien für Dienstleister

    Ein essenzieller Punkt, der leider oftmals vernachlässigt wird, ist die vertragliche Regelung der Zusammenarbeit mit dem Dienstleister. Bei den Wartungsverträgen, die geschlossen werden, fehlen oftmals Kriterien zur industriellen Sicherheit. Hersteller und Lieferanten sind im Umgang mit hohen Sicherheitsanforderungen manchmal noch etwas ungeübt und lehnen zum Teil auch Aufträge ab, wenn diese zu unklar oder kompliziert formuliert sind. Hier macht es Sinn, das Anforderungspaket schlank und klar zu gestalten.

    Da Ihr Dienstleister Zugang zu Ihren wichtigen Daten erhält, müssen entsprechende Vertraulichkeitsvereinbarungen getroffen werden. In diesen wird festgehalten, welche Informationen schützenswert sind und wie mit ihnen umgegangen wird. Letzteres gilt vor allem auch für die Beendigung des Vertragsverhältnisses. Auch die Eigentumsrechte an den anfallenden Daten (z.B. Programmierung) und welche Daten an Dritte, z.B. Partner, weitergegeben werden dürfen, wird über Vertraulichkeitsvereinbarungen geregelt. Die Klärung der Eigentumsrechte kommt insbesondere bei den Projektierungsdaten zum Tragen, wenn diese extern bei Ihrem Dienstleister liegen.

    Gegebenenfalls werden auch etwaige Vertragsstrafen festgehalten, die im Falle eines Vertragsbruchs an den geschädigten Vertragspartner gezahlt werden müssen. Die entsprechenden Verträge sind natürlich bereits vor der Durchführung erster Wartungen zu unterzeichnen.

    Anforderungen an Wartungspersonal / -rechner

    Das Personal des Wartungsanbieters sollte entsprechend der Anforderungen und Gefahren, die bei der Kommunikation mit Ihrem Zielsystemen über fremde Netze bestehen, geschult sein. Dazu gehört unter anderem, dass das Wartungspersonal weiß, unter welchen Umständen ein Verbindungsaufbau nicht gestattet ist. Zu den unerlaubten Orten und Situationen gehören beispielsweise öffentliche WLANs wie in Cafés, Hotels oder öffentlichen Verkehrsmitteln, sowie komplett fremd-administrierte Systeme wie etwa in Internet-Cafés.

    Das Wartungspersonal sollte außerdem in regelmäßigen Abständen über die Gefahren des Einbringens von Schadsoftware in die Anlagennetze, sowie Social-Engineering informiert werden. Außerdem sollte der Wartungsrechner stets auf einem aktuellen Software-Stand gehalten werden und keine für die Fernwartung unnötigen weiteren Dienste und Programme installiert haben. Ein regelmäßiger Virenscan des Rechners ist empfehlenswert.

    Inventarisierung der Fernwartungslösung

    Um den Überblick über die eingesetzten Fernwartungslösungen zu behalten, lohnt es sich, eine entsprechende Inventarisierung durchzuführen. Vor allem bei mehreren Fernwartungslösungen steigt ansonsten die Wahrscheinlichkeit, den Überblick zu verlieren erheblich. Folgende Informationen sind dabei von besonderem Interesse:

    • Hersteller und Modell der Lösung
    • Art des Zugangs (z.B. SSH, IPsec, …)
    • Zielsystem(e)
    • interne und externe Verantwortliche
    • entprechende Richtlinien und Prozesse

    Bei verschiedenen Fernwartungslösungen oder mehreren Zugängen lohnt sich deren Gruppierung. Dort können Sie im einfachsten Fall direkt pro Fernwartungszugang eine Gruppe bilden.

    Prozesse und Verfahren für eine klare Kommunikation

    Je nach Einsatzgebiet und Branche gibt es unterschiedliche Anforderungen und Schritte, die für eine Fernwartungslösung von Interesse sind. Unserer Erfahrung nach sollten mindestens die folgenden Prozesse und Verfahren definiert sein:

    Verwaltung der Zugänge

    Sie sollten dokumentieren, wer unter welchen Umständen eine Verbindung aufbauen darf. Für das Anlegen eines Zugangs, sowie für die Zuordnung der dafür notwendigen Benutzerkonten bedarf es eines definierten Prozesses. Die Konten sollten die für die Fernwartung notwendigen Berechtigungen erhalten, jedoch nicht mehr. Dafür bietet sich eine entsprechende Rolle in Ihrem Berechtigungsmanagement an. Jede für die Fernwartung zugelassene Person erhält ihr eigenes Konto. Dadurch wird eine feingranulare Nachverfolgbarkeit der Aktionen gewährleistet. An dieser Stelle sei auch auf die dabei anfallenden personenbezogenen Daten hingewiesen, die nach der DSGVO (Datenschutz-Grundverordnung) entsprechend behandelt werden müssen.

    Weiterhin sollte festgehalten werden, wie lange die Konten ihre Gültigkeit behalten. Was passiert beim Austritt eines internen oder externen Mitarbeiters? Auch können Regelungen getroffen werden, dass das Konto bei längerer Abwesenheit (Urlaub, Krankheit) temporär deaktiviert wird. Hier sollten entsprechende Verfahren zum Sperren und Löschen eines Zugangs implementiert werden.

    Dialog mit Wartungsanbieter

    Da Sie beim Thema Fernwartung direkt mit Ihrem Wartungsanbieter zusammenarbeiten, ist es sinnvoll, eine solide Kommunikationsbasis zu schaffen. Legen Sie dazu neben dem Vertriebskontakt noch beidseitige technische Kontaktpersonen fest, die idealerweise auch mit Sicherheitsaspekten betraut sind.

    Im Falle, dass ein Mitarbeiter den Wartungsanbieter verlässt, sollte eine Rückkopplung zu Ihnen bestehen, um gegebenenfalls das entsprechende Konto zu deaktivieren und zu löschen. Außerdem sollten Sie Ihren Wartungsanbieter in den Einkaufsprozess einer neuen Fernwartungslösung einbeziehen und Anforderungen an den Zugang austauschen.

    Initiierung der Verbindung

    Der offensichtlichste Prozess behandelt den Aufbau und die Durchführung einer Fernwartungsverbindung. Wie in Phase 2 bereits angesprochen, sollte diese immer von Ihrem Netz aus nach außen aufgebaut werden, nie umgekehrt. Damit das sauber funktioniert, sollte eine entsprechende Dokumentation der Verbindungsaktivierung erstellt werden und ein Einvernehmen mit dem Wartungsdienstleister über den Ablauf bestehen.

    Für regelmäßig wiederkehrende Wartungsarbeiten empfiehlt es sich, ein terminiertes und zeitlich definiertes Wartungsfenster einzurichten. In diesem befolgt Ihr interner Mitarbeiter (Operator) den festgelegten Prozess zur Eröffnung der Verbindung. Dieser ist wiederum abhängig von der Beschaffenheit der Fernwartungslösung. Eventuell geschieht dies über eine zentrale Plattform per softwareseitiger Auslösung oder per Benutzung eines physischen Schlüsselschalters.

    Erstellung von Notfallprozeduren

    Wenn der Fernwartungszugang im Bedarfsfall problemfrei funktioniert, ist alles bestens. Doch was, wenn die Verbindung nicht zustande kommt? Und was, wenn eine derartige Situation während eines außerplanmäßigen und dringenden Wartungsfensters eintritt?

    Hier hilft die entsprechende Vorsorge in Form eines Notfallplans. Am besten wird dieser auch in Ihr Notfallmanagement integriert und ist somit an geeigneter Stelle auffindbar.

    Im Notfallplan sollten einige Dinge festgehalten werden, wie beispielsweise die im Notfall verantwortliche Person und deren Aufgaben und Befugnisse. Hilfreich ist auch das Hinterlegen einer Notfallrufnummer, über die verantwortliches Personal umgehend informiert werden kann.

    Ein Wiederanlaufplan hilft dabei, im Notfall und unter Stress die entsprechenden Informationen vorzuhalten, die für den Neustart des Systems oder den Einsatz eines Ersatzsystems erforderlich sind. Hierbei ist insbesondere wichtig, dass der Wiederanlaufplan auch korrekt funktioniert und aktuell gültig ist. Ein regelmäßiger Test, z.B. in Form einer Übung und das Erneuern der Informationen ist also empfehlenswert.

    Fazit

    Auch Organisation und Prozesse für eine sichere Fernwartung beinhalten Detailarbeit. Bei einigen der hier vorgestellten Punkten handelt es sich zwar erst in zweiter Linie um sicherheitsrelevante Aspekte, lassen Sie sich aber nicht täuschen! Gelebte und gepflegte organisatorische Maßnahmen sind fester Bestandteil eines umfassend sicheren Systems.

    Nur im Zusammenwirken von technischer und organisatorischer Sicherheit erhalten Sie ein langfristig hohes Schutzniveau, das bei korrektem Umgang sogar weniger Kosten verursacht, als permanenter Reibungsverlust durch schlechte Prozesse. Da man in der Praxis trotz bester Vorbereitung nicht allen Beeinträchtigungen aus dem Weg gehen kann, geht es in unserem letzten Beitrag unserer Artikelserie um potenzielle Probleme und Tipps, um diese zu lösen.

    Hat Ihnen dieser Artikel gefallen, vermissen Sie etwas oder haben Sie Fragen? Wir freuen uns über Ihr Feedback! Denken Sie auch daran, den Artikel mit Personen zu teilen, die von den enthaltenen Informationen profitieren können.

    In 4 Phasen zur sicheren und skalierbaren Industrie Fernwartungslösung

    Um Ihnen als Anlagenbetreiber eine Richtung an die Hand zu geben, haben wir 4 Phasen ermittelt, die für den Erfolg Ihrer Fernwartungsvorgänge ausschlaggebend sind. Abhängig davon, in welcher Phase Sie sich derzeitig befinden, sind unterschiedliche Themen von Relevanz. Dieser Artikel beschreibt Phase 3, die Gestaltung der „Prozesse“. Eine Übersicht aller Phasen finden Sie hier:

    1. Anforderungsanalyse: Stehen Sie ganz am Anfang des Themas Fernwartung, geht es vor allem um eine konkrete Anforderungsanalyse und um die Auswahl einer Lösung.
    2. Konzeption: Ist das getan, muss diese mit einem Fernwartungskonzept sicher in die Bestandsinfrastruktur integriert werden.
    3. Prozesse: Damit kann im Anschluss durch die Etablierung notwendiger Prozesse und Organisationsstrukturen ein geordneter und reibungsloser Betrieb der Lösung geschaffen werden.
    4. Herausforderungen: Final betrachten wir, welche Punkte es während des Betriebs zu beachten gibt und welche Herausforderungen auftreten können.


    Der Industrial Security Guide zum schnellen Einstieg

    Max Weidele
    CEO & Founder

    Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.

    Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.

    Hier gehts zum Download!

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Veröffentlicht am
    Zuletzt aktualisiert am
    by Marcus Geiger

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Feldgeschichten

    Keine Zeit? Machen Sie es, wie über 1.000 andere Anwender:innen und erhalten Sie wöchentlich relevante Beispiele der OT-Security!

    Ganz oldschool direkt via E-Mail in Ihr Postfach

    Footer Image
    Checkliste herunterladen

    Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.


    Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung