Komplexe Fertigungsprozesse und -technologien erfordern zunehmend den Fernzugriff auf Produktionsmaschinen oder Steuerungssysteme. Sei es zur Telemetrie-Datenerfassung oder Störungsbeseitigung an einer Maschine durch den Hersteller oder die Kontrolle des Fertigungsprozesses durch einen spezialisierten, mobilen Mitarbeiter von einem entfernten, wechselnden Standort aus. Die Risiken durch einen unberechtigten Zugriff oder den Missbrauch eines berechtigten Zugriffs sind bekannt: Der Verlust von sensiblen Daten sowie die bewusste oder unbewusste Störung des Betriebs oder der Produktion sind zwei Beispiele. Trotzdem trifft man in diesem Bereich häufig noch einfache Lösungen wie direkte Punkt-zu-Punkt-Netzwerkkopplungen vor, die vor allem die Funktion eines einfachen Fernzugriffs realisieren, aber dem Betreiber der Anlage wenig Kontrolle über den Zugriff und die transferierten Daten bieten. Auch die mögliche Infektion von PCs und Steuerungssystemen mit Schadsoftware, wie die jüngsten Cyberattacken durch die Ransomware Wannacry oder Not-Petya, durch direkte Netzkopplung und verwundbare Protokolle (SMB) oder infizierte Firm- oder Software eines Herstellers rücken zunehmend in den Fokus.
Damit Unternehmen den Fernzugriff auf ihre Systeme zeitgemäß absichern können, bietet Telekom Security im Rahmen des eigenen Industrial-Control-System-Security-Programms entsprechende Lösungen an.
Mit der 2-Faktor-Authentisierung zum sicheren Fernzugriff
Eine sichere Architektur könnte demnach folgendermaßen aussehen: Zunächst sollte die Identität des zugreifenden Technikers und des Endpunkts gesichert sein (siehe Grafik). Eine starke Authentifizierung der Identität kann beispielsweise durch ein Zertifikat auf einem Laptop und entsprechenden Zugangsdaten zur Freischaltung des Zertifikats gewährleistet werden. Das ist dann eine sogenannte 2-Faktor-Authentisierung. Der Zugriff erfolgt über eine verschlüsselte Verbindung zu einer Zwischenstation – dem sogenannten „Jump-Host“. Dies wird im Idealfall nur dann ermöglicht, wenn ein entsprechendes Ticket für den Vorgang vom Anlagenbetreiber eingegeben wurde. Diese Zwischeninstanz sollte unter der Kontrolle des Anlagenbetreibers oder eines Serviceanbieters des Vertrauens betrieben werden. Sie sollte für den Fernzugriff gehärtet sein und Standard-Schutzmaßnahmen wie einen Anti-Viren-Schutz umfassen.
Techniker kann nur auf freigeschaltete Maschine zugreifen
In dieser gesicherten Umgebung wird die eigentliche Applikation – etwa zur Wartung einer Maschine – gestartet, bevor der Fernwartungstechniker nach Bestätigung des Anlagenbetreibers die Zugriffsgenehmigung erhält. Handelt es sich dabei um ein spezielles, vom Hersteller der Maschine erstelltes Programm, sollte dieses im Rahmen der Möglichkeiten auf Sicherheitsprobleme untersucht werden. Tritt nun der Fernwartungsfall ein, schaltet der Anlagenbetreiber den Zugriff (idealerweise für jeden Einzelfall) frei. Dies sollte ohne einen Anruf bei der IT-Abteilung möglich sein, beispielsweise über einen Schlüsselschalter an der Anlage. Das Gateway sollte im Idealfall so positioniert sein, dass der Fernwartungstechniker zwar die zu wartende Maschine erreicht, von dieser aber nicht zu anderen Netzwerkelementen weiter „springen“ kann. Darüber hinaus sollten alle Aktionen in Echtzeit durch den Fernwartungstechniker überwacht, aufgezeichnet und sicherheitsrelevante Log-Daten gesammelt werden können.
Zu jedem Zeitpunkt sollte der Anlagenbetreiber in der Lage sein, die Verbindung zu unterbrechen. Die Jump-Host-Umgebung sollte als Element, das von außerhalb Verbindungen akzeptiert und auf der gegebenenfalls Fremdsoftware zur Ausführung kommt, in ein Sicherheitsmanagement, beispielsweise Patchen, SOC oder CERT eingebunden werden. Dies erfordert qualifiziertes Personal oder einen entsprechenden Dienstleister.
Die abgebildete Lösungsarchitektur beschreibt einen Ansatz, der in Umgebungen mit entsprechend sensiblen Daten zur Anwendung kommen sollte. Unabhängig von den Kosten wird dies jedoch nicht jedes mittelständische Unternehmen im vollen Umfang umsetzen können oder wollen. Unter Umständen erlauben bestimmte Betriebsabläufe die Umsetzung der ein oder anderen Maßnahme in dieser Form nicht. Die folgenden Elemente sollten aber in jedem Falle vorhanden sein:
- Starke Identifikation der zugreifenden Person oder Instanz
- Zugriff nur nach Bestätigung durch Betriebspersonal der Anlage (wenn möglich keine Dauerverbindung)
- Protokollieren der Tätigkeiten (zumindest wenige Log-Daten, die auch regelmäßig inspiziert werden)
- Security-Life-Cycle-Management für die Fernwartungsinfrastruktur selbst (beispielsweise Patchen, SOC)
- Back-ups von Prozessdaten vom Zeitpunkt vor der Fernwartung.
Ohne Fernwartung werden in Zukunft wohl nur wenige Unternehmen auskommen. Mit den oben beschriebenen Maßnahmen kann das Risiko eines solchen Zugriffs jedoch erheblich gesenkt werden.
