Fernwartung
Transparenz ist oberstes Gebot
"Punktuelle" Fernwartung einzelner Maschinen ist heute weit verbreitet und auch hinsichtlich Security gut beherrschbar. Wenn es allerdings um das Unternehmen als Ganzes geht, sind sich viele Betreiber der dort stattfindenden Kommunikationsströme und der damit lauernden Einfallstore nicht bewusst. Ein zentralisiertes Fernwartungskonzept hilft, die Sicherheit zu erhöhen.
Mittelständische Unternehmen bilden das Rückgrat der Industrie in Deutschland. Unter ihnen finden sich zahlreiche 'Hidden Champions', die in einer speziellen Sparte oftmals zu den Weltmarktführern zählen. Diese Stärke auf der einen Seite kann sich allerdings schnell zu einer Schwäche auf der anderen Seite entwickeln: Denn gerade diese Firmen sind nicht selten Risiken ausgesetzt, die ihnen oftmals kaum oder gar nicht bewusst sind. Aus Kreisen des Bundesamts für Verfassungsschutz lässt sich das durch folgende Aussagen belegen: "Die Gefahr, dass sensible Informationen aus einem Betrieb in die falschen Hände fallen, ist […] real. Besonders innovative mittelständische Unternehmen sollten ihr Potenzial daher ausreichend schützen" und "Viele mittelständische deutsche Unternehmen sind leichte Beute. Sie können oft nur schlecht einschätzen, was ihre Kronjuwelen sind, wofür sich die Gegenseite interessiert […]." Es sei dahingestellt wer auch immer die Gegenseite sein mag und welche Ziele diese konkret verfolgt. Die mögliche Spanne reicht hier jedenfalls von Industrie- beziehungsweise Wirtschaftsspionage, über Schädigung von Prozessen durch Denial of Service (DoS) oder mutwillige Änderung von Prozessdaten bis hin zu Erpressung.
Bei nahezu all diesen Unternehmen kommen IT-gestützte Systeme in der Produktion zum Einsatz, für die der Hersteller zumindest zeitweise einen Fernwartungszugang benötigt. Durch die historisch gewachsenen Umgebungen mit Anlagen und Systemen, die typische Laufzeiten von zehn bis 20 Jahren – oder länger – haben, sind die Techniken und Protokolle für die Fernwartung ebenfalls sehr heterogen und oft nur unzureichend geschützt: Von analogen Modems, die über serielle Schnittstellen direkt an Systeme angebunden sind, über ISDN-Modems und -Router bis hin zur eher modernen Variante über Internet-VPN ist heute in den Fertigungen alles zu finden. Allen gemein ist, dass es sich meist um dezentrale Zugänge sowohl in ein Unternehmen als auch aus diesem heraus handelt. Vielfach sind diese Zu- oder Ausgänge in kein zentrales Sicherheitskonzept eingebunden. Oder noch schlimmer: Sie sind sogar komplett unbekannt!
Um die Kommunikationsströme zu regeln und zu überwachen, kommen meist Sicherheitstechnologien am Perimeter – dem Übergang zu Fremdnetzen wie dem Internet – zum Einsatz. Dies hat zum Ziel, das Unternehmen vor Angriffen zu schützen und einen Datenabfluss nach außen zu verhindern. Über die unterschiedlichen Fernwartungszugänge werden diese Bemühungen jedoch konterkariert, wenn nicht sogar ad absurdum geführt. Dies ist vergleichbar mit einer mit Sicherheitsschlössern, Kamera-Überwachung und Einbruchmelde-Anlage ausgestatteten Eingangstür eines Hauses, wobei die Absicherung weiterer Zugänge wie Fenster oder andere Türen außer Acht gelassen wird. Ein zugegebenermaßen recht althergebrachter Vergleich, der aber nichts an Aktualität eingebüßt hat.
Angesichts der Tatsache, dass gerade in letzter Zeit vermehrt Angriffe auf Unternehmen über diesen Weg bekannt werden, müssen genau diese Zugänge beziehungsweise das Thema Fernwartung im Allgemeinen bei den Unternehmen mit hoher Priorität in den Fokus rücken. Allein schon deshalb, weil die Dunkelziffer der nicht bekannt gewordenen Vorfälle um ein Vielfaches höher anzusiedeln ist. Zwei unlängst öffentlich bekannt gewordene Vorfälle sollen dies verdeutlichen:
- "Kreditkartendaten von mehr als 40 Millionen Kunden bei der US-Kaufhauskette Target gestohlen" - Mit sehr hoher Wahrscheinlichkeit wurden diese Daten über einen Zugang einer externen Firma für die Fernwartung der Haus- beziehungsweise Klimatechnik verbreitet. Über diesen Zugang wurde die Malware letztendlich in Systeme eingepflanzt, die Kreditkartendaten verarbeiten. Der Abfluss der gesammelten Daten geschah offensichtlich nicht über diesen Zugang, sondern versteckt im normalen Internetverkehr.
- "Hacker infizieren Schaltzentralen der Stromnetze" - Die Infektion geschah unter anderem durch die gezielte Manipulation von Softwarekomponenten, die im Bereich Fernwartung von Industriesteuerungen zum Einsatz kommen. Bekannt geworden ist dieser Angriffstyp unter dem Namen Dragonfly/Havex. Aktuelle Analysen zeigen, dass immer noch nicht klar ist, wer die Urheber und welche die eigentlichen Ziele des Angriffs waren. Ebenfalls nicht konkret definierbar ist die Intention des Angriffs. Bewiesen ist nur, dass auf dem OPC-Protokoll basierte Kommunikation im Fokus der Attacke stand. Eine reine Einschränkung auf den westlichen Energiesektor scheint, im Gegensatz zu ursprünglichen Behauptungen, nicht valide zu sein.
Das Beispiel von Dragonfly/Havex zeigt deutlich, wie Schadsoftware über dezentrale Fernwartungszugänge in ein Unternehmen hinein- und Daten aus einem Unternehmen herausgeschleust werden können – und zwar ohne große Gefahr einer zeitnahen Erkennung. Dieser Angriff kann in letzter Konsequenz einen Eingriff in die OPC-basierte Kommunikation bedeuten und unter Umständen katastrophale Auswirkungen nach sich ziehen – je nachdem, welche Prozesse in den angegriffenen Unternehmen damit gesteuert werden.
Den ersten Schritt tun
Der Weg hin zu einem zentralisierten Fernwartungskonzept erfordert als ersten Schritt eine Auflistung aller Systeme beziehungsweise Komponenten, die im Rahmen von Fernwartung zum Einsatz kommen. Dieser Schritt kann durchaus mühsam sein, da für eine vollumfängliche Transparenz manuelle Analysen erforderlich sind. Das heißt unter anderem: Personen befragen und Vor-Ort-Besichtigungen absolvieren. Begleitend sind toolgestützte Verfahren wie etwa klassisches 'Wardialing' durchzuführen. Hierbei werden alle möglichen Nebenstellen angerufen, um Zugänge über Modems und ISDN ausfindig zu machen. Nicht zu vergessen die Durchführung von Netzwerk-Scans, um typische VPN- beziehungsweise Remote-Access-Protokolle zu erkennen.
Zentralisierte Architektur für den sicheren Fernwartungsservice: Über die zentrale Instanz wird eine gesicherte Verbindung zwischen Fernwartungsrechner und dem Firewall/VPN-Gateway an der Anlage hergestellt.
© NTTBeide Methoden – Wardialing und Netzwerk-Scans – funktionieren sehr gut für Rufnummern- oder IP-Adressblöcke, die sich klar einem Unternehmen zuordnen lassen. Doch was ist mit einzelnen Leitungen oder funkgestützten Technologien wie UMTS/LTE, die direkt in Produktionsbereiche führen oder für kleine, abgesetzte Lokationen geeignet sind? Diese sind oftmals ohne Wissen einer zentralen Instanz lokal installiert und ohne offensichtlichen Bezug zum Unternehmen – und zwar weder über Rufnummern noch über IP-Adressen. Letztendlich ist auch hier eine manuelle Analyse anhand von Befragungen und Besichtigungen vor Ort unabdingbar.
Das Ergebnis dieser Analyse ist eine – hoffentlich – vollständige Liste aller Komponenten und Protokolle sowie der Kommunikationspartner für diese Zugänge. Anhand dieser Liste folgen die nächsten Schritte hin zu einem zentralisierten Konzept. Wie ein solches beziehungsweise dessen Architektur letztendlich aussehen kann, erfordert eine Analyse der technischen und organisatorischen Rahmenparameter.
Gängige Ansätze bestehen aus Fernwartungsschleusen, die auf zentralen VPN-Gateways sowohl für Site-to-Site- als auch für Client-to-Site-VPNs basieren – inklusive starker Verschlüsselung und Authentifizierung. Zudem bestehen sie aus Terminalserver-Umgebungen, in denen dem Fernwartungspersonal benutzerbezogen nur diejenigen Applikationen zur Verfügung gestellt werden, die wirklich nötig sind. Zusätzliche Komponenten und Methoden wie Session Monitoring, Logging aller Aktionen oder die Untersuchung des Verkehrs auf Schadcode runden diese Art von Konzepten ab. Gleichzeitig erhöhen sie aber die Komplexität auf Seiten des Betreibers einer solchen Fernwartungsschleuse.
Modernere Konzepte basieren daher idealerweise auf Komplettlösungen aus einer Hand, die teilweise noch bestimmte Workflows für die Unterstützung der Tätigkeiten im Rahmen der Fernwartung beinhalten. Derartige Komplettlösungen werden von verschiedenen Anbietern außerdem als private oder öffentliche Cloud-Lösungen angeboten, wobei sich hier insbesondere Anbieter aus Deutschland mit innovativen Konzepten abheben. Wichtig bei einer Betrachtung solcher Lösungen ist, dass der Fokus für alle an ihr beteiligten Komponenten durchgängig auf Sicherheit liegt. Unabhängig von der Ausprägung des jeweiligen Konzepts gilt es unter anderem folgende Punkte zu beachten:
- Einsatz von starker Verschlüsselung und mehrfacher Authentifizierung auf verschiedenen Ebenen.
- Jeglicher Verkehr darf nur über die zentrale Fernwartungsschleuse geleitet werden. Teile von Anlagen und Komponenten, die in entfernten Standorten stehen, sollten keinen direkten Zugang anbieten.
- Alle Aktivitäten der Fernwartung müssen mit entsprechenden Methoden geloggt und protokolliert werden, um die Nachvollziehbarkeit zu gewährleisten.
- Fernwartungszugänge sollten nur bei Bedarf auf Seiten des Betreibers aktiviert werden – entweder manuell oder zeitgesteuert für feste Wartungsfenster. Die manuelle Aktivierung sollte so einfach wie möglich durchzuführen sein, beispielsweise per Schalter oder elektrischen Impuls, per Menübefehl auf einer entsprechenden Oberfläche oder über eine Software-Schnittstelle (API).
- Um einen Missbrauch der Fernwartung zu verhindern, sollten die normalen Kommunikationsbeziehungen der Anlage während der Fernwartung deaktiviert sein.
Gefahren lauern oftmals im Verborgenen
Ein Beispiel aus der Praxis: Im Rahmen eines Assessments fand sich in einem Netzwerkschrank ein eingeschalteter ISDN-Router, der jedoch nicht mit einer Gegenstelle verbunden war – zumindest laut seiner Status-LEDs. Auf Nachfrage bei dem vermeintlich Verantwortlichen stellte sich letztendlich heraus, dass der Zweck dieses ISDN-Routers keinem der Mitarbeiter wirklich bekannt war. Und das, obwohl er sich bereits seit vielen Jahren in besagtem Schrank befand!
Sichere Netzwerk-Architektur mit Zellen- und Zonenkonzept gemäß anerkannter Richtlinien, wie zum Beispiel IEC 62443.
Eine erste Analyse führte zu dem Ergebnis, dass über diesen Weg eine Verbindung zu einer externen Firma bestand, über die offensichtlich eine Netzwerk-Kopplung zwischen der externen Firma und dem Produktionsnetz möglich war. Die genauere Untersuchung der Konfiguration des Routers über die serielle Schnittstelle lieferte folgendes Ergebnis: Das Regelwerk war so konfiguriert, dass von der externen Firma nur auf zwei IP-Adressen im Produktionsnetzwerk zugegriffen werden konnte und dies auch nur über das Protokoll telnet. Weil der Eintrag für die Netzwerk-Kopplung den Namen der externen Firma enthielt, ließ sich recht schnell klären, ob dieser Zugang überhaupt noch benötigt wurde.
Da seit Jahren ein Fernwartungszugang über Internet VPN eingerichtet und in Benutzung war, wurde dies von der externen Firma verneint. Viel schwerer wog allerdings, dass der ISDN-Router so konfiguriert war, dass er auf einer anderen Nebenstellenrufnummer (MSN) mit einem Fernwartungszugang auf den Router selbst antwortete. Dieser Umstand – in Zusammenspiel mit einem nicht schwer zu erratenden Passwort – hätte einem Angreifer auf einfache Weise adminis-trativen Zugriff auf den Router und somit Zugriff auf das gesamte Produk-tionsnetz erlaubt. Über bestimmte Protokolle wäre der Zugriff sogar über das Produktionsnetz hinaus möglich gewesen. Die Wahrscheinlichkeit, dass dieser Zugriff aufgefallen oder bemerkt worden wäre, ist sehr gering.
Fernwartung im Kontext von Industrie 4.0
Industrie 4.0 ist in aller Munde und wird auf verschiedenen Ebenen als das Schlagwort für die Zukunftssicherung der deutschen Industrie verwendet. Im Dokument ‚Umsetzungsempfehlungen für das Zukunftsprojekt Industrie 4.0‘ der Plattform Industrie 4.0 findet sich folgende Beschreibung für kommende Fernwartungsmodelle: "Zukünftig verbinden sich Spezialisten nicht mehr manuell mit den Maschinen. Die Produktionssysteme verbinden sich als so genannte Social Machines automatisch zu ihrer Cloud-basierten Telepräsenz-Plattform […]. Zusätzlich erweitern die Maschinen selbstständig ihre Fähigkeiten, indem sie benötigte Funktionen und Daten automatisch nachladen […]."
Letztendlich bedeutet das, dass Anlagen zu jeder Zeit mit dem Hersteller der Anlage verbunden sein müssen, um Daten und Software zur Sicherstellung der Produktion oder zur Steigerung der Produktivität automatisiert anzupassen. Ein Modell, das mit heute gängiger Fernwartung nichts mehr zu tun hat und insbesondere in Bezug auf die klassischen Ziele der Informationssicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – hohe Herausforderungen an Hersteller und Betreiber von solchen intelligenten Produktionsanlagen stellt.
So ist unter anderem sicherzustellen, dass die Daten, die von der Anlage an den Hersteller gemeldet werden, der Realität entsprechen und auf dem Transportweg nicht verfälscht werden. Die Übermittlung der Daten an die Systeme des Herstellers und nicht an eine Instanz, die sich als der Hersteller ausgibt, muss zudem abgesichert sein. Daten und Software müssen ihrerseits im Hinblick auf Authentizität und Integrität gesichert sein und dürfen keine negativen Auswirkungen auf den Produktionsprozess darstellen. Technologisch gesehen ist dies mit den bekannten Mitteln der Kryptografie wie Verschlüsselung, zertifikatsbasierter Authentifizierung oder Hash-Funktionen realisierbar. Ein Großteil der heutzutage zum Einsatz kommenden Verfahren und Protokolle ist hierfür allerdings nicht oder nur bedingt geeignet.
Auf jeden Fall ist für zukünftige Konzepte eine weitaus engere Zusammenarbeit zwischen Herstellern, Integratoren und Betreibern notwendig. Dabei gilt es zu vermeiden, dass jeder Hersteller seine proprietäre Lösung für die Fernwartung seiner Anlagen oder Komponenten beim Kunden entwickelt. Je mehr verschiedene Architekturen und Protokolle auf Seiten der Betreiber implementiert werden müssen, desto höher ist die Komplexität. Und Komplexität konterkariert meist die Sicherheit!
Autor: Karl Schrade ist Senior Solution Architect bei NTT Com Security.












