Rechner ausschalten!
Ein Beitrag zu mehr Sicherheit bei Fernwartung
Angriffspunkt Endpoint
In den BSI-Veröffentlichungen zur Cyber-Sicherheit gehören im Jahr 2019 zu den zehn häufigsten Bedrohungen und Gegenmaßnahmen von Industrial-Control-Systemen:
- • das Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware,
- • Infektionen mit Schadsoftware über Internet und Intranet,
- • die Kompromittierung von Extranet und Cloudkomponenten und
- • der Einbruch über Wartungszugänge.
In allen vier Punkten nutzen Angreifer ihre externe Hard- und Software, um über unzureichend gesicherte Netzwerkzugänge, interne Systeme und Software Schaden zu stiften. Das Prinzip ‚Minimal need to know‘ gilt als wesentlicher Baustein einer Problemlösung. Demnach stehen einer Person nur die Informationen zur Verfügung, die unmittelbar ene konkreten Aufgabe erforderlich sind. Organisationsmängel, Social Engineering, menschliche Schwächen und unklare Definition der Aufgaben führen leicht zur Kompromittierung dieses Wissens. Deswegen ergänzt das Prinzip ‚Minimal to have‘ den IT-Schutz. Einer Person stehen dabei nur die Ressourcen und Systeme zur Verfügung, die unmittelbar für die Erfüllung einer konkreten Aufgabe notwendig sind. Eine Vielzahl von technischen Maßnahmen, wie verschlüsselte Übertragung von Daten per VPN, Firewall-Regelwerke, Zugriffsberechtigungen, Network Access Control, Härtung der Zielsysteme dienen der Umsetzung des Prinzips. Die Ausnutzung von Software-Schwachstellen, Denial of Service – Angriffe, Pishing, Brute Force Attacken und vor allem die unsichere Konfiguration von Systemen bieten jedoch auch hier zahlreiche Angriffsvektoren. Die neunte Ausgabe von Rockwell Automations „State of Smart Manufacturing“ Report liefert Einblicke in Trends und Herausforderungen für Hersteller. Dazu wurden über 1.500 Fertigungsunternehmen befragt, knapp 100 der befragten Unternehmen kommen aus Deutschland. ‣ weiterlesen
KI in Fertigungsbranche vorn
(Fast) alles verboten
‚Security by Default‘ fasst die beiden Minimal-Prinzipien dahingehend zusammen, dass per Default alles verboten ist, was nicht explizit erlaubt wurde. Konsequenterweise heißt das, dass zum Zeitpunkt der Erfüllung einer konkreten Aufgabe ausschließlich die dafür notwendigen Hardware-, Software- und Netzwerk-Ressourcen einem berechtigten Anwender zur Verfügung stehen dürfen. Rechner und Software bei Externen, die z.B. per Fernwartung auf eine Anlage zugreifen, sind vom Anlageneigner allerdings kaum zu kontrollieren. Die Installation von Endpoint-Security-Software auf fremden Rechnern wird fast nie erlaubt. Die digitale Hoheit des Anlagen-Eigners endet zumeist vor den Fernwartungsrechnern seiner externen Dienstleister.
Endpoint Security integriert
Aus den jahrelangen Erfahrungen der Integration eigener Software-Lösungen in Industrieumgebungen entstand bei der Zedas GmbH eine Lösung für Anlagen, die erprobte Sicherheitsverfahren mit gestaffelter Tiefe kombiniert. Die Standardlösung ermöglicht es , den Zugriff aller externen Service-Dienstleister zu verwalten. Die Anwendung namens ZedasSecure kann das Prinzip ‚Security by Default‘ durchgängig sicherstellen, auch auf den Endpoints, die von Externen für den Zugriff auf Produktionsanlagen benutzt werden. Endgeräte, denen Zugriff auf Produktionsanlagen gewährt wird, sind im System als virtuelle Fernwartungsrechner geführt, die vom Anlagenbetreiber kontolliert werden. Für jeden Dienstleister werden sie in dessen zugeordneter Demilitarisierter Zone (DMZ) aufgesetzt. Ihre Desktop-Oberfläche wird ausschließlich über Remote Desktop Protokoll und verschlüsseltes HTML5-VPN bereitgestellt. Dafür benötigt der Dienstleister einen HTML5-fähigen Browser. Die Installation eines VPN-Clients ist nicht erforderlich. Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen zu generieren. ‣ weiterlesen
Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise
Freigabe nach Telefonanruf
Der Netzwerkzugriff externer Dienstleister setzt eine Authentifizierung des Servicemitarbeiters mittels Token-Einmalpasswort voraus. Ein direkter Zugriff von Endgeräten der Dienstleiter auf Anlagen ist danach trotzdem nicht erlaubt. Das zweistufige Firewall-System gewährt Externen ausschließlich den Zugriff auf jeweils ihre virtuellen Fernwartungsrechner. Diese sind per Default ausgeschalten. Technisch erzwungen, muss sich somit der externe Dienstleister telefonisch beim Anlagenbetreiber melden, um den Start seines Fernwartungsrechners anzufordern. Mittels Software-App erfassen Schichtleiter die Fernwartungsanforderungen externer Dienstleister. Dazu gehören Namen der Firma und des Mitarbeiters, dessen Rückrufnummer, die Auftragsnummer, die Anlage mit Beschreibung der Servicetätigkeit, die Softwareanwendung sowie die voraussichtliche Dauer des Serviceeinsatzes. Dafür werden kaum mehr als 90 Sekunden benötigt. Alle einmal erfassten Eingaben werden wiederkehrend zur Auswahl angeboten. Zudem bietet die App einen permanenten Überblick über alle inaktiven und aktiven Fernwartungsrechner.
