Prosoft
IT- und OT-Systeme aus der Ferne verwalten
IT- und OT-Infrastrukturen aus der Ferne warten und verwalten ist keine triviale Angelegenheit. Entsprechend hoch sind die Sicherheitsstandards, die das BSI hinsichtlich Fernwartungslösungen im IT- und OT-Umfeld definiert. Eine Annäherung.
Sieht man sich die aktuelle – immer weiter digitalisierte – Betriebstechniklandschaft (Operational Technology; OT) genauer an, fällt vor allem ihre enorme Heterogenität auf mit dezentralen Infrastrukturen, vielfältigen Steuersysteme und Zugriffsarten. Ergo gibt es eine hohe Zahl unterschiedlicher Fernwartungszugänge, mit einer unüberschaubaren Zahl an Hard- und Software-Komponenten. Das stellt vor allem verarbeitende Unternehmen vor die Herausforderung, die jeweils passende Fernwartungslösung mit einem Höchstmaß an Sicherheit und Komfortabilität einzusetzen. Betroffen sind OT und IT gleichermaßen.
Der Vergleich aktueller Fernwartungssysteme zeigt viele Gemeinsamkeiten und noch mehr Unterschiede. Unerlässlich ist die Nutzung sicherer Verbindungen, sowohl hinsichtlich der in Frage kommenden Protokolle wie Simple Network Management Protocol (SNMP) als auch in Bezug auf Schnittstellen, zum Beispiel Intelligent Platform Management Interfaces (IPMI). Letzteres wird zunehmend von Redfish abgelöst, das unter anderem Web-Techniken wie JSON als Datenformat und HTTPS für die Datenübertragung unterstützt. Zudem gibt es unterschiedliche kryptografische Verfahren. Via AES-256-Standard beispielsweise verschlüsselt man Daten und Verbindungswege.
Darüber hinaus nutzen OT-Infrastrukturen häufig proprietäre Protokolle, und keine gängigen Standards wie TCP/IP oder IPsec. Dies birgt enorme Gefahren für OT-Netzwerke, wie zahlreiche Ekans-, Triton- und Industroyer-Cyberattacken belegen. Industroyer beispielsweise brachte die Energieversorgung der ukrainischen Hauptstadt Kiew 2016 vollständig zum Erliegen.
OT-Fernwartung muss zudem weitere Funktionen bereitstellen, die bei der reinen IT-Fernwartung keine Rolle spielen. Ein Beispiel ist der Zugriff auf das ICS (Industrielles Steuerungssystem), um damit ein Anlaufen beziehungsweise ein Stoppen von Anlagen sicherzustellen. Auch die Integrität der anfallenden Daten sowie das Beschränken der erforderlichen Kommunikationswege sollte das Fernwartungssystem bereitstellen.
Basis-Anforderungen an die Fernwartung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) macht sich regelmäßig Gedanken über die Sicherheitslage hiesiger Unternehmen und gibt dazu das ‚IT-Grundschutz-Kompendium‘ heraus.
Seit Februar dieses Jahres ist dort der Abschnitt „IND 3.2 – Fernwartung im industriellen Umfeld“ enthalten. Demzufolge müssen Fernwartungszugänge für ein Mindestmaß an Sicherheit bestimmte Anforderungen erfüllen. Dazu gehört zum Beispiel die Auswahl ausschließlich von außen fernwartbarer Systeme. Benötigte Zugänge und Kommunikationswege auf ein Minimum zu beschränken, gehört ebenfalls zu den Basisanforderungen an die Fernwartung im OT- und IT-Umfeld. Ebenso sollte eine zuverlässige AES-256- Verschlüsselung zum Einsatz kommen.
Empfohlene Standard- Bedingungen
OT-Fernwartung muss beispielsweise ein sicheres Anlaufen beziehungsweise ein Stoppen von Anlagen regeln, um Personen oder Sachschäden zu verhindern.
© bigstockphoto.com / FreshpixelNeben den Basis-Anforderungen sollte Fernwartung weitere Standard-Bedingungen erfüllen: Hierzu zählt eine Ende-zu-Ende-Verschlüsselung der benötigten Fernwartungsverbindungen mittels kryptografisch verschlüsselter Protokolle. Zudem sollten allgemein gültige Richtlinien festgelegt werden, mit denen sich Rollen, Zuständigkeiten und Verantwortlichkeiten definieren lassen. Für noch mehr Sicherheit empfiehlt sich die Nutzung sogenannter MFA-Verfahren, die häufig Hardware-Token einsetzen. Hierbei sorgt ein USB-Schlüssel beispielsweise für die Sicherheit beim kennwortlosen Zugriff auf besonders schützenswerte Anwenderkonten. Wichtig ist darüber hinaus ein Notfallplan, der die notwendigen Schritte im Störungsfall festlegt, zum Beispiel die Reaktion auf einen Malware-Angriff. Unter anderem werden personelle Zuständigkeiten sowie Art und Weise der Systemwiederherstellung definiert.
Anforderungen bei erhöhtem Schutzbedarf
Speziell bei Betreibern von kritischen Infrastrukturen (KRITIS) – wie zum Beispiel Wasser- und Stromversorgungsunternehmen – besteht ein erhöhter Schutzbedarf, woraus sich in Bezug auf das erforderliche Fernwartungssystem unter anderem folgende Aspekte ergeben:
- Es sollten möglichst nur solche Fernwartungssysteme eingesetzt werden, mit denen sich IT- und OT-Clients verwalten lassen.
- Redundante Kommunikationsverbindungen sollten für eine möglichst hohe Ausfallsicherheit sorgen.
Zwei Arten der Fernwartung
Bei der Fernwartung industrieller IT- und OT-Systeme werden Hardware- und Software-basierte Ansätze unterschieden. Die Software-basierte Fernwartung punktet mit schneller Einsatzbereitschaft, integrierten Betriebs- und Monitoring-Funktionen sowie günstige Lizenzkosten. Auf den ersten Blick bieten sich Online-Fernwartungslösungen an, die über eine Internetverbindung zustande kommen. Aber Vorsicht: Die Fernwartung oftmals mangelhaft geschützter OT-Systeme über externe Verbindungen birgt Gefahren! Deshalb empfiehlt das Grundschutz-Kompendium des BSI, diese Art der Fernwartung möglichst selten einzusetzen. Abgeschlossene OT-Infrastrukturen sollte man besser nur mit Fernwartungssoftware verwalten, die keine externen Zugänge benötigt.
Auf der anderen Seite gibt es dedizierte, Hardware-basierte Fernwartungslösungen. Deren Vor- und Nachteile sind offenkundig: Diese Lösungen weisen einen hohen Sicherheitsgrad auf, haben aber recht hohe Anschaffungskosten und ihre Einrichtung erfordert hochqualifiziertes Personal.
Die Organisation des sichereren Fernzugriffs
Der sichere Fernzugriff auf IT- und OT-Systeme ist nicht nur mit technischen, sondern auch mit organisatorischen Anforderungen eng verknüpft. Dazu gehört neben der bereits erwähnten Risikoanalyse ein minimales Implementieren von Fernzugriffsmöglichkeiten, exakt definierte Prozesse und Abläufe, klar geregelte Zeitfenster von Remote-Zugängen sowie das regelmäßige Verwalten und Auswerten von Protokolldaten.
Praktisch wäre es, ließen sich IT- und OT-Systeme mit nur einem Tool aus der Ferne verwalten, idealerweise mit den vom BSI geforderten Sicherheitsstandards. So könnten sowohl IT-Endgeräte als auch Maschinen und Steuerungseinheiten im Fertigungsumfeld mit nur einer einzigen, zentralen Software ferngewartet werden.
Ein Beispiel für ein solches Tool ist der ‚NetSupport Manager‘ von Prosoft. Mit ihm lassen sich über mehrere Stand-orte verteilte Netzwerke ebenso fernwarten wie heterogene Systemum- gebungen. Dies geschieht mithilfe mobiler Endgeräte wie Smartphone oder Tablet. Betriebssystemseitig beherrscht das Tool die aktuellen Plattformen wie Windows, macOS, Linux, iOS, Android und Google Chrome. Das Tool wird ausschließlich im eigenen Rechenzentrum installiert, die Kontrolle bleibt damit vollständig vor Ort. Hinzu kommt eine verschlüsselte Datenübertragung für ein Höchstmaß an Sicherheit. Hierfür sorgt auch die mögliche Integration von NT-Security und Active Directory. Das Tool unterstützt zudem ‚NetSupport Manager Smartcards‘ zur sicheren Authentifizierung.















