Unsere zweite Phase konzentriert sich auf die technische Integration einer Fernwartungslösung in Ihren Betrieb. In dieser Phase haben Sie bereits eine Anforderungsanalyse durchgeführt, die entsprechende Fernwartungslösung ausgewählt und stehen im Kontakt mit Ihren Lieferanten.

Diese Ergebnisse werden nun in einem technischen Fernwartungskonzept zusammengefasst. Ein solches Konzept beschreibt im Detail, wie Sie Fernwartungslösungen so in Ihre Bestandsinfrastruktur integrieren können, dass die IT-Sicherheit dabei nicht zu kurz kommt. Ein solides Fernwartungskonzept stellt nicht nur den reibungslosen technischen Betrieb einer Fernwartungslösung in Ihrem Netzwerk sicher, sondern hilft Ihnen auch dabei, verschiedene Zugänge in einer einheitlichen Lösung gesammelt zu verwalten. Welche Aspekte es dabei zu beachten gilt, erfahren Sie in den kommenden Zeilen.

Grundprinzipien eines Fernwartungskonzepts

Bevor wir mit der eigentlichen Gliederung eines Fernwartungskonzepts starten, möchten wir Ihnen zwei Grundprinzipien mit auf den Weg geben, die aus dem Blickwinkel der Sicherheit entscheidend sind.

Umsetzung des Minimalitätsprinzips

Im Rahmen einer Fernwartung bedeutet das Minimalitätsprinzip, dass über eine aktive Verbindung lediglich die Systeme zu erreichen sind, auf die auch tatsächlich zugegriffen werden muss. Von allgemeinen Zugängen, z.B. großflächige Netz-zu-Netz-Kopplungen, ist abzusehen.

Der Fernwarter wird dabei immer nur auf sein Zielsystem oder das jeweilige Ziel-Netzsegment beschränkt. Ein Zugriff auf weitere Systeme sollte unterbunden werden. In der Praxis kann das z.B. durch Firewall-Regeln oder andere Schutzfunktionen umgesetzt werden.

Weiterhin gilt, dass nicht benötigte Dienste sowohl auf den Zielsystemen als auch auf der Fernwartungslösung selbst deaktiviert werden.

Verbindungsaufbau von Innen heraus

Der Verbindungsaufbau zu einem Zielsystem muss immer aus Ihrem Netz heraus erfolgen. Ein Fernwarter sollte sich niemals direkt von Extern „durchverbinden“ können. Nach außen geöffnete Ports mit entsprechenden Weiterleitungen sind ebenfalls zwingend zu vermeiden. Eine Möglichkeit, die dieses Prinzip von Haus aus umsetzt, stellt das Rendezvouz-Konzept dar. Dieses wird mittlerweile von verschiedenen Herstellern umgesetzt.

Das Rendezvous-Konzept besteht immer aus einem zentralen Fernwartungsserver, z.B. in der DMZ, sowie einzelnen Fernwartungssystemen im Anlagennetz selbst. Die Fernwarter bauen dabei von außen und die Fernwartungssysteme von innen eine Verbindung zu diesem Fernwartungsserver auf. An diesem Server treffen sich die externe und interne Verbindung. Von dort aus wird dann die Verbindung vom Fernwarter zum Zielsystem vermittelt. Der Verbindungsaufbau von innen zu dem Fernwartungsserver kann von einem Mitarbeiter aktiv gesteuert werden.

Als Betreiber erhalten Sie damit die Kontrolle und geben Verbindungen aktiv frei. Außerdem vermeiden Sie dadurch nach Außen geöffnete Ports, welche es einem Angreifer sonst wesentlich erleichtern, Ihr internes Netzwerk auszuspähen oder gar zu infiltrieren.

Gliederung eines Fernwartungskonzepts

Ein Fernwartungskonzept behandelt verschiedene Themen. Dazu gehören vor allem die Festlegung der Kommunikationsverbindung, die Einbindung in die Bestandsinfrastruktur und die Standardisierung der Zugänge.

Festlegen der Kommunikationsverbindung

Zunächst gilt es zu klären, über welchen Kanal die darunterliegende Kommunikation mit dem Zielsystem stattfindet. Dieser äußere Kanal basiert in der Regel auf Technologien, die einen Tunnel oder ein privates Netzwerk zwischen dem Wartungsanbieter und Ihrem Netz aufbauen. Durch folgende Technologien lässt sich eine sichere Realisierung erreichen:

  • SSH
  • VPN (IPsec, SSL-VPN, OpenVPN)

Bei der Verwendung von VPNs sollte darauf geachtet werden, dass keine Kopplung ganzer Netzsegmente vom Wartungsanbieter und Ihnen stattfindet. IP-Adresskonflikte und weitere grundlegende Netzwerkstörungen, sowie potenzieller Vertraulichkeitsverlust können hierbei die Folge sein!

Empfehlenswert ist eine präzise Verbindung auf IP- und Port-Basis zum Zielsystem. Über diesen äußeren Kanal wird dann das interne Protokoll, wie zum Beispiel Siemens S7, RDP oder VNC, direkt auf das Zielsystem weitergeleitet.

Einbindung in die Bestandsinfrastruktur

Innerhalb eines Strukturplans wird die Fernwartungslösung in die Architektur Ihres Anlagennetzes integriert. Hierbei gibt es verschiedene Ansätze, drei davon stellen wir Ihnen nun vor. Die Entscheidung, welche Architektur gewählt wird, hängt von individuellen Faktoren ab und sollte in Übereinstimmung mit Ihren Sicherheitsrichtlinien geschehen.

Platzierung der Fernwartungssysteme im Netz

Einer der zentralsten Punkte ist, wie das System „Fernwartungslösung“ auf technischer Ebene in die Netzarchitektur integriert wird. Hier gilt es netzwerktechnische Gegebenheiten zu beachten. Je nach Fernwartungslösung gibt es unterschiedliche Verfahren, die auch gut kombinieren werden können.

In Einzelfällen macht es Sinn, die Fernwartungskomponente unmittelbar vor dem Zielsystem zu platzieren. Auf diesem Weg wird dieses vom internen Netz „getrennt“ und ein Fernwarter der sich auf die Komponente verbinden möchte, landet direkt am Ziel. Da in diesem Fall pro Zielsystem eine Fernwartungskomponente beschafft werden muss, gehen auch etwas höhere Kosten damit einher. Der Vorteil ist allerdings die sehr präzise und feingranulare Anbindung, deren eingeschränkter Wirkungsbereich ein hohes Maß an Sicherheit bietet. Zu beachten sind hier ggfs. Latenz und Verfügbarkeit von Zielsystemen, die von einer Fernwartungskomponente vollumfänglich abgeschottet werden.

Benötigt der Lieferant gleichzeitigen Zugriff auf mehr als nur ein Zielsystem, z.B. Steuerungen und Workstations, kann eine Komponente auch pro Sicherheitszone oder Anlagennetz integriert werden. Die Sicherheitszone entspricht einem Teil des Netzes, das nach dem Prinzip der Zones & Conduits nach deren Sicherheitsbedarf abgegrenzt wurde. Der Wartungszugriff beschänkt sich dabei lediglich auf die Systeme innerhalb dieser Sicherheitszone.

Integration von Jumphosts

Unter Umständen macht es Sinn, eine weitere Entkopplung der Zielsysteme einzuführen. Hierzu können Jumpserver verwendet werden. Diese beinhalten z.B. die Projektierungsdaten und haben Zugriff auf einzelne Zielsysteme. Damit ist ein direkter Zugriff mittels eines eigenen Geräts der Dienstleister nicht mehr notwendig. Vorteilhaft ist dabei, dass die Verbreitung von Schadsoftware, z.B. vom mobilen Wartungsgerät auf das Zielsystem, eingeschränkt wird.

Hier muss entschieden werden, wo ein solcher Jumpserver platziert wird. Eine Möglichkeit ist, einen solchen Server pro Sicherheitszone zu betreiben. Die Integration kann jedoch auch auf höherer Ebene stattfinden. Da ein Jumpserver unter Umständen Zugriff auf darunterliegende Zielnetze benötigt, müssen Sie allerdings wiederum Ports innerhalb Ihres Netzwerks öffnen. Vorsicht ist also angebracht!

Standardisierung von Zugängen

Mitunter ist man als Betreiber mit der Aufgabe konfrontiert, mehrere verschiedene Fernwartungszugänge zu verwalten. Das liegt meist an dem einfachen Grund, dass viele Maschinen- und Anlagenbauer bereits im Auslieferungszustand ihre eigene Fernwartungslösung mit der Maschine mitliefern. Diese Fernwartungslösungen können natürlich von unterschiedlichen Herstellern stammen und unterschiedlich aufgebaut sein.

Um eine Standardisierung des Zugriffs zu erreichen gibt es zwei Möglichkeiten:

  • Migration aller Zugänge auf eine zentral verwaltete Lösung
  • Integration der Alternativlösung in die zentrale Verwaltung

Leider stößt der erste Punkt in der Realität je nach Wartungsanbieter oft auf weniger Gegenliebe. Hier kommt der zweite Punkt ins Spiel. Es kann auch die Alternativlösung des Lieferanten in Ihre Fernwartungslösung integriert werden.

Hierzu wird die Alternativlösung hinter Ihrer standardisierten Fernwartungslösung oder einer eigenen Firewall platziert. Auf diesem Weg können Sie die Verbindungsfreigabe immer noch selbst von zentraler Stelle aus steuern! Wir empfehlen Ihnen, eine solche Alternativlösung von vornherein einzuplanen. Sie kann dann zum Einsatz kommen, wenn jegliche Verhandlungen mit einem Lieferanten scheitern.

Diese Standardisierung bringt einen weiteren erheblichen Vorteil mit sich: Auch wenn eine Wartung bei Ihnen vor Ort initiiert wird, kann dieser Zugang genutzt werden. Dies trifft sowohl für Ihre internen Mitarbeiter, als auch für Wartungspersonal zu. Die Verbindung zum Programmiergerät erfolgt somit immer über den klar definierten und zentral verwalteten Zugang.

Integration technischer Funktionen

Neben der Integration in das Netz selbst müssen weitere technische Funktionen realisiert werden. Hierunter fallen vor allem die Authentisierung an der Lösung und die Protokollierung und Überwachung der Zugriffe.

Feingranulare Authentisierung

Um bestmögliche Nachverfolgbarkeit der Änderungen und deren Auswirkungen zu gewährleisten, sollte sich jeder Mitarbeiter des Fernwartungsanbieters mit einem eigenen Account anmelden. Von der Nutzung von Gruppen-Accounts raten wir ab, da dadurch eine schlechtere Nachverfolgbarkeit entsteht und implizit Passwort-Sharing betrieben wird. Der Wartungszugriff sollte, nach dem Minimalitätsprinzip, mit den minimal dafür erforderlichen Rechten durchgeführt werden. Hierbei ist die Nutzung zentraler Authentisierungssysteme durch gängige Nutzerverzeichnisse (z.B. Active Directory) zu empfehlen. Auf diesen kann durch die Verwendung rollenbasierter Berechtigungskonzepte eine sichere und zentrale Verwaltung ermöglicht werden. Handelt es sich um besonders kritische Systeme, kann die Nutzung von Mehrfaktor-Authentifizierung, z.B. per Smartcard, erforderlich sein.

Logging, Monitoring und Reporting

Sind bereits entsprechende Mechanismen zum zentralen Logging und Monitoring implementiert, sollte die Fernwartungslösung ebenfalls darin integriert werden. Hierunter fallen auch Techniken zur Angriffserkennung, wie zum Beispiel durch Deep-Packet-Inspection / Intrusion Detection Systeme. Deren ordentliche Verwaltung ist aufwendig, der Vorteil ist allerdings eine hohe Sichtbarkeit und Nachverfolgbarkeit innerhalb der Fernwartungsverbindungen.

Auch die Fernwartungsverbindungen sollten protokolliert werden, um An- und Abmeldungen, durchgeführte Tätigkeiten, sowie deren Funktionalität zu überwachen und weitere Transparenz zu gewinnen.

Fazit

Bei der Integration einer Fernwartungslösung in Ihre Bestandsinfrastruktur sind verschiedene, vor allem technische Themen, zu berücksichtigen. Diese technische Eingliederung in Ihre Produktions- oder Anlagennetze ist jedoch entscheidend für den soliden und sicheren Betrieb. Ein strukturiertes Fernwartungskonzept stellt dabei einen der zentralsten Erfolgsfaktoren dar. Wie sind die Fernwartungszugänge in Ihre Infrastruktur integriert? Betreiben Sie unter Umständen mehrere Fernwartungszugänge unterschiedlicher Art? Nun sind Sie an der Reihe! Überlegen Sie sich nach den obigen Kriterien, ob es möglicherweise Verbesserungsbedarf an der Integration gibt, oder der Mehraufwand unterschiedlicher Lösungen durch ein standardisiertes Konzept verringert werden kann.

In unserem nächsten Beitrag geht es um die Organisation und die damit verbundenen Prozesse, um die Lösung sinnvoll in die Abläufe Ihres Unternehmens zu integrieren und einen langfristig reibungslosen und sicheren Betrieb zu fördern.

Hat Ihnen dieser Artikel gefallen, vermissen Sie etwas oder haben Sie fragen? Wir freuen uns über Ihr Feedback! Denken Sie auch daran, den Artikel mit Personen zu teilen, die von den enthaltenen Informationen profitieren können.

Praxistipp: Notieren Sie sich, welche Fernwartungslösungen in Ihren Unternehmen vorhanden sind und machen Sie sich Gedanken, wie man diese standardisiert.