Alle Industrieunternehmen stehen vor der Aufgabe, Fehler in Maschinen und Anlagen in ihrer Betriebstechnik zu erkennen und zu vermeiden und wenn dafür kein Servicetechniker ins Werk kommen muss, dann ist das umso praktischer. Deswegen werden heute so gut wie alle Komponenten und Systeme mit einer Fernwartungslösung des Herstellers ausgeliefert. Ihre Anlagenverfügbarkeit ist damit aber nicht automatisch gesichert.
Warum es heute um Fernwartung gehen muss
Fernwartung, das ist seit jeher: eine Maschine und einer, der den Service macht und dafür nicht vorbeikommen muss. Über Jahrzehnte hat sich daran kaum etwas geändert, die Aufgabe war klar und die marktüblichen Fernwartungslösungen definierten sich meistens über den Preis, manchmal auch über die Funktionalität. Ist das noch zeitgemäß angesichts einer dynamischen Bedrohungslage und dem Bedarf an sicheren Infrastrukturen, für die Nutzung neuer Technologien? Oder muss das Thema Fernwartung jetzt auf den Tisch?
Fernwartung ist für Cyberkriminelle ein topaktuelles Thema
Auf die zunehmende Vernetzung in der Industrie reagieren Cyberkriminelle mit immer raffinierteren Angriffsmethoden. Seitdem Lösegelder für verschlüsselte Daten in astronomische Höhen steigen, sind Ransomware-Attacken ein viel lukrativeres Geschäftsmodell als die meisten anderen Arten von organisiertem Verbrechen. Banden arbeiten inzwischen arbeitsteilig, so dass Angriffe einen hohen Spezialisierungsgrad für die jeweilige Teilaufgabe aufweisen. Das macht die gezielte Gegenwehr umso dringlicher.
Mit den letzten Meldungen über Cyberangriffe waren immer wieder Unternehmen in den Schlagzeilen, deren Fernwartungsinfrastruktur als Schwachstelle genutzt wurde, über die Angreifer in die Unternehmensnetze gelangten. In manchen Fällen weiteten sie die Attacke von dort aus über ungesicherte Verbindungen auf eine Vielzahl anderer Unternehmen aus.
Ein Beispiel dafür ist der Angriff auf einen Trinkwasserversorger in Florida, der über die als Fernwartungstool genutzte TeamViewer-Applikation und ein unsicheres Passwort erfolgen konnte. Dass Fernwartungslösungen für Angreifer ein absolut üblicher Einstieg sind, zeigt sich auch bei der Attacke der Hackergruppe „REvil“ auf Kaseya, einen IT-Dienstleister. Über ein integriertes Fernwartungsmodul konnte der Angriff auf eine große Zahl von Kaseya-Kunden ausgeweitet werden, deren Geschäftstätigkeit dadurch zum Erliegen kam. Angriffe mit weit verzweigter Wirkung, sogenannte Supply-Chain-Angriffe, erhöhen den Leidensdruck enorm und damit die Aussicht auf die Zahlung der geforderten Summen.
Security als Marktanforderung
Weil die Folgen eines Cyberangriffs in vernetzten unternehmensübergreifenden Strukturen nicht mehr nur auf ein Unternehmen beschränkt bleiben, haben alle ein nachvollziehbares Interesse an einer wirksamen Absicherung. Nachweisbare Security-Maßnahmen werden immer mehr zu verbindlichen Kriterien bei der Auftragsvergabe. Wer die vom Markt geforderte Security-Kompetenz nicht nachweisen kann, riskiert nicht nur seinen guten Ruf, sondern auch die Grundlage seiner Geschäftstätigkeit.
Die Pandemie als Katalysator für Remote-Lösungen
Die Vorteile einer Fernwartungslösung lagen auch vorher schon auf der Hand: Kosten für Vor-Ort-Einsätze können durch den Zugriff des Maschinenbauers oder eines Dienstleisters von extern auf die Maschine oder Anlage im Betreibernetz weitgehend vermieden werden. Für den Zugang werden die Firewall-Regeln entsprechend angepasst und nicht wenige Lösungen ermöglichen den initialen Verbindungsaufbau von außen nach innen und der Fernwarter kann schalten und walten, wie er es für sinnvoll erachtet.
Die Pandemie hat neben der Problemerkennung und -vermeidung einen weiteren Aufgabenbereich in den Themenkomplex Fernwartung integriert: Zusätzlich zur Diagnose und Wartung wird über den Fernwartungszugang nun auch die Inbetriebnahme von Maschinen und Anlagen realisiert. Auch das geht remote, wurde vorher nur nicht gemacht.
Was ist an Fernwartung kritisch?
Die Frage ist einfach zu beantworten: Vieles! Zumindest dann, wenn Sie Ihr Augenmerk nicht auf Security legen und versäumen, Ihr Netzwerk ausreichend abzusichern. Nicht alle Störfälle oder Ausfälle sind auf mutwillige Manipulation zurückzuführen, etwa um Unternehmen zu erpressen. Dafür braucht es gar nicht unbedingt professionelle Cyberkriminelle, manchmal steckt auch „nur“ ein fahrlässig agierender Mitarbeiter, Stichwort Awareness, oder ein frustrierter ehemaliger Mitarbeiter hinter einer Kompromittierung. Auch Fehlkonfigurationen oder Funktionsstörungen können für produktive Anlagen problematisch werden und sogar zum Ausfall und damit zu hohen Kosten führen.
Wenn Sie Ihre Zugänge in Ihr Unternehmensnetzwerk nicht absichern, können Sie sich darüber schlimmstenfalls einen Anlagenstillstand ins Haus holen und möglicherweise die Problematik auch auf andere Unternehmen, mit denen Sie vernetzt sind, ausweiten.
Wie geht sichere Fernwartung?
Eine sichere Fernwartungslösung ist ein wichtiger Teil der Industrial Security eines Unternehmens, deren Aufgabe die Absicherung der IT-Systeme ist, die die physischen Kernprozesse unterstützen.
Security ist keine einzelne Maßnahme und betrifft auch nicht einen Bereich allein, zumal in komplexen Industrieumgebungen viele Abhängigkeiten zwischen den einzelnen Systemen und Bereichen existieren, die über vernetzte Strukturen gesteuert werden.
Industrial Security ist eine Gemeinschaftsaufgabe aller Bereiche eines Unternehmens, wobei federführend die IT-Abteilung und die OT-Bereiche (Operations Technology) zielgerichtet auf bestehende Bedrohungen reagieren und dabei die besonderen Anforderungen der industriellen Automation berücksichtigen.
Security ist eine Folge der Professionalisierung der IT in der OT, daher ist Ihr Fernwartungszugang sicher, wenn er in eine professionelle Architektur eingebettet ist und der Betrieb nach professionellen Vorgaben erfolgt.
Architektur
Das Grundsatzprinzip in der Fernwartung lautet: Nur von innen nach außen. Eine sichere Fernwartungslösung gibt den Verbindungsaufbau durch den Maschinenbetreiber vor und nicht durch den externen Fernwarter! Es erfolgt immer die explizite Freigabe von innen.
Der sichere Treffpunkt der internen und der externen Verbindung, um den Zugriff von außen auf die Maschine im Anlagennetz zu ermöglichen, erfolgt in einer DMZ (Demilitarisierte Zone), die als kontrollierter Bereich zwischen externem und internem Netz fungiert. Ein Server in der DMZ vermittelt die sichere Fernwartungsverbindung.
Eine Netzsegmentierung unterteilt Ihr Netz in organisatorisch oder funktional zusammengehörige Einheiten. Eine Trennung und Segmentierung der Netze verhindert, dass Störungen auf andere Netzwerkbereich übergehen können. Idealerweise wird die Maschine während des Fernwartungsvorgangs isoliert, so dass von dort aus kein Zugriff auf andere Systeme erfolgen kann.
Do´s and Don´ts: Definierte Prozesse und Handlungsanweisungen
Bei der Inbetriebnahme einer Anlage sind geöffnete Ports der Firewall hilfreich, um dem Maschinenhersteller Zugang auf die Systeme zu ermöglichen. Danach sind offene Ports schlicht eine Einladung an Angreifer. Wer überprüft, ob die temporären Zugänge nach der Inbetriebnahme wieder geschlossen werden? Wo steht, wie ein sicheres Passwort anzulegen ist, wie oft es geändert werden muss und wer definiert die Rechte der Administratoren?
Formulieren Sie klare Handlungsanweisungen für Ihre Mitarbeiter und geben Sie Prozesse vor, die verbindlich einzuhalten sind.
Normen und Standards
Die Industrienorm IEC 62443 beschreibt ein Konzept für die IT-Sicherheit von IACS (Industrial Automation and Control Systems) und definiert die Vorgaben für die Rollen von Betreibern Systemintegratoren und Maschinenherstellern. Eine Orientierung an der Norm IEC 62443 und an branchenspezifischen Richtlinien erhöht Ihr Sicherheitsniveau deutlich.
Die IEC 62443, die in Teilen noch in der Ausarbeitung ist, empfiehlt ein mehrstufiges Verteidigungskonzept, um die Widerstandsfähigkeit aufrecht zu erhalten, auch wenn einzelne Schutzmaßnahmen ausfallen. Im Schutzkonzept Zones & Conduits finden sich wichtige Empfehlungen beispielsweise für sichere Berechtigungskonzepte (Principle of Least Privilege), die den Wirkungsgrad von Störungen einschränken, und weitere Handlungsempfehlungen, die Ihre Security unterstützen.
Sicherheitsanforderungen an den Hersteller kommunizieren
Kommunizieren Sie Ihre Anforderungen an Security klar an den Hersteller oder externen Dienstleister, denn nicht Ihre Netzwerksicherheit ist im Fokus des Herstellers, sondern eine mandantenfähige praktikable Lösung, die mit deren eigenen internen Systemen kompatibel ist.
Zu einer sicheren Fernwartungslösung gehören organisatorische Maßnahmen, wie die Festlegung namentlich bekannter Fernwarter und der Löschung der Administrationsrechte beim Ausscheiden der zuständigen Mitarbeiter. Lassen Sie sich Berechtigungen und personelle Änderungen jeweils mitteilen.
Bei der Fernwartungslösung auf Sicherheitsfeatures achten
Fernwartungslösungen unterscheiden sich nicht nur im Preis voneinander. Eine Lösung, die den Fernwartungszugriff aufzeichnet, schafft Sicherheit durch Nachverfolgbarkeit, was im Falle von kostenintensiven Störfällen auch aus Sicht Ihrer Versicherung für Sie von Vorteil ist.
Die Verlagerung der Intelligenz von der Cloud hin zum Edge-Device (lokale Fernwartungsbox), also in die lokalen Geräte, ist eine Möglichkeit, Daten nutzen zu können, ohne sie an Externe herausgeben zu müssen. So bleibt die Hoheit über Ihre Daten und die Kontrolle über die Fernwartung in Ihrer Hand.
Der Mehrwert einer sicheren Fernwartungslösung ist Zukunftsfähigkeit
Fernwartung sicher gestalten, das ist eine komplexe Herausforderung, weil die Anforderungen an einen modernen Betrieb gewachsen sind. Neue Technologien halten Einzug in komplexe Industrieumgebungen, deren Bestandssysteme in großen Schattenlandschaften nicht professionalisiert betrieben werden, die aber weitreichend vernetzt sind.
Aber der Aufwand, den Sie in eine nachhaltige Fernwartungslösung investieren, lohnt sich: Anders als früher ist Fernwartung heute keine simple Punkt-zu-Punkt-Verbindung mehr, sondern stellt die Konnektivität sicher, die auch für eine Vielzahl an datenbasierten Anwendungen innovativer Industrie 4.0-Technologien entscheidend ist. Mit einer sicheren Basisinfrastruktur für Ihre Industrie-Fernwartung haben Sie das Potential, neue Business-Modelle zu begründen und von den Innovationsthemen zu profitieren. Mehr Nachhaltigkeit geht kaum.
Sichere Fernwartung heißt also vor allem, dass Sie Ihr Unternehmen fit für die Zukunft machen.
In unserem Interview mit Siegfried Müller, Geschäftsführer der MB connect line GmbH, haben wir diesen Aspekt vertieft und dabei einige interessante Ansätze herausgestellt.
Erste Schritte für die praktische Umsetzung
Es gibt Grundregeln, die Sie beachten sollten. Die wichtigste ist, dass Sie als Betreiber die Kontrolle über Ihre Fernwartungslösung behalten und sie nicht an externe Parteien übergeben, die damit Zugriff in Ihr Unternehmensnetzwerk erhalten.
Sie haben bereits eine Fernwartungslösung, für die Sie eine Risikoabschätzung vornehmen möchten?
- Dann ist Ihr erster Schritt der Aufbau eines Assetmanagements, dessen Grundlage ein Asset-Inventar ist. Sie brauchen einen Überblick über die beteiligten Komponenten und Systeme, damit Sie wissen, was Sie überhaupt schützen müssen.
- Eine Risikoanalyse schätzt die Gefährdung der für Ihre Geschäftsprozesse wichtigen Systeme ein.
- Darauf aufbauend konzipieren Sie geeignete Schutzmaßnahmen.
Sie haben noch keine Fernwartungslösung im Betrieb und brauchen Unterstützung bei der Auswahl einer geeigneten Lösung?
- Ihr erster Schritt ist eine Anforderungsanalyse, die Ihren individuellen Bedarf ermittelt. Damit können Sie einen detaillierten Abgleich mit Lösungen von Anbietern durchführen, die Ihnen in einer Vorauswahl als geeignet erscheinen.
- Beim Anbietervergleich sollten Sie auch Ihre individuellen Anforderungen hinsichtlich Ihrer Vorgaben für Compliance und Organisation berücksichtigen.
- Definieren Sie Ihre Anforderungen für den produktiven Betrieb der Lösung schon in der Einkaufsphase, um sicherzustellen, dass Sie nach der Anschaffung keine Kompatibilitätsprobleme haben.
Fazit
Die Absicherung Ihrer Industrie-Fernwartung ist nicht nur angesichts der zunehmenden Bedrohungslage angezeigt, bei der unsichere Zugänge offene Einfallstore für Cyberangriffe darstellen. Die Zukunftsfähigkeit Ihres Unternehmens hängt davon ab, wie effizient Sie innovative Industrie 4.0-Technologien nutzen, die auf stabilen Basis-Infrastrukturen, wie sie eine sichere Fernwartungslösung darstellt, aufsetzen.
Der Industrial Security Guide zum schnellen Einstieg
CEO & Founder
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!
