Anzeige
Anzeige
Anzeige
Beitrag drucken

Rechner ausschalten!

Ein Beitrag zu mehr Sicherheit bei Fernwartung

ZedasSecure - herstellerübergreifendes Sicherheitskonzept im Überblick (Bild: Zedas GmbH)

ZedasSecure – herstellerübergreifendes Sicherheitskonzept im Überblick (Bild: Zedas GmbH)

Angriffspunkt Endpoint

In den BSI-Veröffentlichungen zur Cyber-Sicherheit gehören im Jahr 2019 zu den zehn häufigsten Bedrohungen und Gegenmaßnahmen von Industrial-Control-Systemen:

  • • das Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware,
  • • Infektionen mit Schadsoftware über Internet und Intranet,
  • • die Kompromittierung von Extranet und Cloudkomponenten und
  • • der Einbruch über Wartungszugänge.

In allen vier Punkten nutzen Angreifer ihre externe Hard- und Software, um über unzureichend gesicherte Netzwerkzugänge, interne Systeme und Software Schaden zu stiften. Das Prinzip ‚Minimal need to know‘ gilt als wesentlicher Baustein einer Problemlösung. Demnach stehen einer Person nur die Informationen zur Verfügung, die unmittelbar ene konkreten Aufgabe erforderlich sind. Organisationsmängel, Social Engineering, menschliche Schwächen und unklare Definition der Aufgaben führen leicht zur Kompromittierung dieses Wissens. Deswegen ergänzt das Prinzip ‚Minimal to have‘ den IT-Schutz. Einer Person stehen dabei nur die Ressourcen und Systeme zur Verfügung, die unmittelbar für die Erfüllung einer konkreten Aufgabe notwendig sind. Eine Vielzahl von technischen Maßnahmen, wie verschlüsselte Übertragung von Daten per VPN, Firewall-Regelwerke, Zugriffsberechtigungen, Network Access Control, Härtung der Zielsysteme dienen der Umsetzung des Prinzips. Die Ausnutzung von Software-Schwachstellen, Denial of Service – Angriffe, Pishing, Brute Force Attacken und vor allem die unsichere Konfiguration von Systemen bieten jedoch auch hier zahlreiche Angriffsvektoren.

(Fast) alles verboten

‚Security by Default‘ fasst die beiden Minimal-Prinzipien dahingehend zusammen, dass per Default alles verboten ist, was nicht explizit erlaubt wurde. Konsequenterweise heißt das, dass zum Zeitpunkt der Erfüllung einer konkreten Aufgabe ausschließlich die dafür notwendigen Hardware-, Software- und Netzwerk-Ressourcen einem berechtigten Anwender zur Verfügung stehen dürfen. Rechner und Software bei Externen, die z.B. per Fernwartung auf eine Anlage zugreifen, sind vom Anlageneigner allerdings kaum zu kontrollieren. Die Installation von Endpoint-Security-Software auf fremden Rechnern wird fast nie erlaubt. Die digitale Hoheit des Anlagen-Eigners endet zumeist vor den Fernwartungsrechnern seiner externen Dienstleister.

Endpoint Security integriert

Aus den jahrelangen Erfahrungen der Integration eigener Software-Lösungen in Industrieumgebungen entstand bei der Zedas GmbH eine Lösung für Anlagen, die erprobte Sicherheitsverfahren mit gestaffelter Tiefe kombiniert. Die Standardlösung ermöglicht es , den Zugriff aller externen Service-Dienstleister zu verwalten. Die Anwendung namens ZedasSecure kann das Prinzip ‚Security by Default‘ durchgängig sicherstellen, auch auf den Endpoints, die von Externen für den Zugriff auf Produktionsanlagen benutzt werden. Endgeräte, denen Zugriff auf Produktionsanlagen gewährt wird, sind im System als virtuelle Fernwartungsrechner geführt, die vom Anlagenbetreiber kontolliert werden. Für jeden Dienstleister werden sie in dessen zugeordneter Demilitarisierter Zone (DMZ) aufgesetzt. Ihre Desktop-Oberfläche wird ausschließlich über Remote Desktop Protokoll und verschlüsseltes HTML5-VPN bereitgestellt. Dafür benötigt der Dienstleister einen HTML5-fähigen Browser. Die Installation eines VPN-Clients ist nicht erforderlich.

Freigabe nach Telefonanruf

Der Netzwerkzugriff externer Dienstleister setzt eine Authentifizierung des Servicemitarbeiters mittels Token-Einmalpasswort voraus. Ein direkter Zugriff von Endgeräten der Dienstleiter auf Anlagen ist danach trotzdem nicht erlaubt. Das zweistufige Firewall-System gewährt Externen ausschließlich den Zugriff auf jeweils ihre virtuellen Fernwartungsrechner. Diese sind per Default ausgeschalten. Technisch erzwungen, muss sich somit der externe Dienstleister telefonisch beim Anlagenbetreiber melden, um den Start seines Fernwartungsrechners anzufordern. Mittels Software-App erfassen Schichtleiter die Fernwartungsanforderungen externer Dienstleister. Dazu gehören Namen der Firma und des Mitarbeiters, dessen Rückrufnummer, die Auftragsnummer, die Anlage mit Beschreibung der Servicetätigkeit, die Softwareanwendung sowie die voraussichtliche Dauer des Serviceeinsatzes. Dafür werden kaum mehr als 90 Sekunden benötigt. Alle einmal erfassten Eingaben werden wiederkehrend zur Auswahl angeboten. Zudem bietet die App einen permanenten Überblick über alle inaktiven und aktiven Fernwartungsrechner.


Das könnte Sie auch interessieren:

Anlässlich des Digital-Gipfels der Bundesregierung präsentiert die Plattform Industrie 4.0 Anwendungen für eine nachhaltige Industrie 4.0. Anhand von Analysen haben die Plattform-Spezialisten dabei drei mögliche Entwicklungspfade identifiziert.‣ weiterlesen

Der SAP-Partner Itelligence übernimmt das finnische SAP-Beratungshaus Pasafin Oy. Mit der Übernahme will das Unternehmen seine Position in Skandinavien stärken.‣ weiterlesen

Bei Hackerangriffen sind die Mitarbeiter und ihre schwachen Passwörter nach wie vor Angriffspunkt Nummer Eins. Doch wie sieht ein starkes Passwort heute aus, und wie können Firmen herbeiführen, dass nur solche vergeben werden?‣ weiterlesen

Immer mehr Produzenten entwickeln zur Zeit hochvernetzte Software in Eigenregie. Gerade bei Microservice-Projekten bringen verfügbare APIs die Vorhaben schneller als früher voran. Doch der Umgang mit ihnen erfordert Strategie.‣ weiterlesen

Seit kurzem ist Version 7.0 der Startup Tools von Inneo verfügbar. Die Lösung soll Anwenderunternehmen die einheitliche Arbeit mit Engineering-Software von PTC erleichtern.‣ weiterlesen

Condition-Monitoring-Systeme werden meist nur an wenigen hochkritischen Stellen installiert, weil sie noch immer kostspielig und kompliziert einzurichten sind. Mit den BCM-Sensoren von Balluf sollen sich auch normale Komponenten wirtschaftlich überwachen lassen.‣ weiterlesen

Der Anbieter von Wearables und AR-Lösungen Ubimax hat ein Release der AR-Softwareplattform Frontline angekündigt. Das kürzlich von Teamviewer übernommene Unternehmen hat in Frontline 3.0 eine Zwei-Faktor-Authentifizierung (2FA) sowie ein erweitertes Identitäts- und Zugriffsmanagement einschließlich Single-Sign-On (SSO) über das grundlegende Nutzerverwaltungssystem des Kunden eingeführt.‣ weiterlesen

Viele Anwendungen aus dem Industrie-4.0-Spektrum basieren auf der Verfügbarkeit von Produktdaten. Um diese strukturiert bereitzustellen, helfen Werkzeuge zur Datenklassifizierung wie die neue NovaDB im Zusammenspiel. Zusammen mit Anwendungspaketen können etwa elektronische Produktkataloge erstellt und gepflegt werden.‣ weiterlesen

Die MTU Maintenance Berlin-Brandenburg GmbH setzt zur Auswertung von Produktionsdaten selbstentwickelte Analysetools ein. Weil diese nicht den vollen Funktionsumfang moderner BI-Lösungen bieten, wurden in einem multiperspektiven Auswahlverfahren geeignete Softwareprodukte identifiziert. Dieses sollte sicherstellen, dass die gewählten Programme die Analyse- und Reportingprozesse bestmöglich unterstützen und im Unternehmen gut angenommen werden.‣ weiterlesen

KI-basierte Systeme und Maschinen werden immer autonomer, selbstständiger und intelligenter. Ob und wie ist es zu schaffen, dass sie auf Dauer menschlichen Werten und Regeln folgen? Dr. Kurt D. Bettenhausen, Vorsitzender des interdisziplinären Gremiums Digitale Transformation im VDI und Vorstandsmitglied der VDI/VDE-GMA, spricht im zehnten Teil unserer Serie Autonome Systeme mit dem VDI.‣ weiterlesen

Nachdem die PSI Software AG bereits bekanntgegeben hatte, das Finanzvorstand Harald Fuchs das Unternehmen im nächsten Jahr verlässt, steht nun fest, dass Gunnar Glöckner den Posten ab Juli 2021 übernehmen wird.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige