Fernwartungszugänge sind ein notwendiges Übel im Automatisierungsnetz, wodurch meist mehrere potenzielle Einfallstore für Angreifer und Malware geöffnet werden. Da ist es verständlich, dass man als Betreiber nach geeigneten Standards und Best Practices sucht, die eine Art Leitfaden für eine sichere Fernwartung bieten.
Genau hierfür hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Dokument mit Anforderungen an eine sichere Umsetzung von Fernwartungslösungen im Industriebereich veröffentlicht. Das BSI ist die zentrale Organisation für Empfehlungen von Lösungen im Bereich der IT-Sicherheit und hat darüber hinaus bereits einige Veröffentlichungen an sichere Fernwartungszugänge in der Vergangenheit publiziert.
In diesem Artikel haben wir Ihnen alle Ansatzpunkte des BSI im Kontext der sicheren Fernwartung zusammengefasst und geben Ihnen am Ende unsere Einschätzung zu guten Einstiegspunkten und Prioritäten.
Fernwartung im industriellen Umfeld
Speziell auf die Industriebranche zugeschnitten, bietet das Dokument „Fernwartung im industriellen Umfeld“ eine Auflistung von Anforderungen, die die Umsetzung einer sicheren Fernwartungslösung von der Planung und Integration über konkrete technische Maßnahmen bis hin zu organisatorischen Regelungen in der Integrations- und Betriebsphase beleuchtet.
Architektur
Einheitliche Lösung
Die Verwendung einer möglichst einheitlichen Fernwartungslösung, die z.B. durch ein zentrales Management-System administriert wird.
DMZ
Können kritischen Fernwartungskomponenten in einer demilitarisierten Zone untergebracht werden?
Firewalling
Firewall-Regeln sollten durch Fernwartungszugänge nicht umgangen oder durchbrochen, sondern vielmehr gezielt für eine Eingrenzung des Fernwartungsbereichs genutzt werden.
Granularität der Verbindung
Es sollen nur die benötigten Systeme (IP und Port) freigegeben werden. Von der Freigabe gesamter (Sub-)Netze wird abgeraten.
Verbindungsaufbau
Der Verbindungsaufbau einer Fernwartungssitzung soll von innen nach außen erfolgen. Weiterhin muss ein(e) interner Mitarbeiter/in diese manuell freigeben.
Dedizierte Systeme
Die eingesetzten Fernwartungskomponenten sollen auch nur ausschließlich zur Fernwartung eingesetzt werden und keine weiteren Aufgaben übernehmen.
Sichere Kommunikation
Sichere Protokolle
Es werden ausschließlich etablierte Protokolle, wie IPsec, SSH oder TLS verwendet.
Sichere Verfahren
Es werden hinreichend starke kryptografische Verfahren zur Verschlüsselung des Datenverkehrs verwendet. Die Stärke der Verschlüsselungsparameter soll anpassbar sein.
Authentisierungsmechanismen
Granularität des Accounts
Jeder Benutzer des Systems hat einen eigenen Account, von Gruppen-Accounts wird abgesehen.
Starke Authentisierungsmechanismen
Allen voran soll hier die 2-Faktor-Authentisierung genannt werden. Weiterhin gilt eine Empfehlung für Smartcards, One-Time-Password Generatoren oder USB-Tokens.
Passwortsicherheit
Verwendung sicherer Passwörter (z.B. Verwendung von Sonderzeichen, Passwortlänge, etc.) mit hoher Komplexität.
Angriffserkennung
Wünschenswert sind Mechanismen zur Angriffserkennung sowie Vorkehrungen gegen das wiederholte Durchprobieren.
Organisatorische Anforderungen
Minimalitätsprinzip
Fernwartungszugänge werden nur erteilt, wenn es unbedingt notwendig ist und deren Zielsysteme auf das Nötigste beschränkt.
Prozesse
Beim Betreiber der Fernwartungslösung werden Prozesse etabliert, die das Anlegen, Freigeben und Sperren von Zugängen regeln.
Inventarisierung
Sämtliche Fernzugriffsmöglichkeiten werden erfasst.
Zeitfenster
Verbindungen werden nur bei Bedarf aufgebaut oder sind nur zu definierten Zeiten möglich.
Funktionsprüfung
Es erfolgt eine regelmäßige Prüfung der Funktionsfähigkeit der Fernwartung.
Vorgaben für Fernwartende
Es werden technische Vorgaben (verwendete IT, Schutzmechanismen der Clients) für den Fernwartenden definiert. Diese werden vertraglich festgehalten.
Patch-Prozess
Es gibt einen regelmäßigen Patch- und Update-Prozess für Fernwartungskomponenten, die einen Zugang zu nicht update-fähigen Maschinenanlagen bieten.
Logging & Alerting
Im Rahmen von ausführlichen Protokollierungsfunktionen werden sämtliche Zugriffe mit Zeitstempel dokumentiert. Fehlgeschlagene Anmeldeversuche werden bei entsprechendem Personal gemeldet und ebenfalls protokolliert.
Sonstiges
Skalierbarkeit und zentrales Management
Die Lösung sollte skalierbar sein und insbesondere für große Installationen ein zentrales Management bieten.
Investitionsschutz
Die Lösung sollte auch für die Zukunft erweiterbar sein und neue Technologien (wie bspw. IPv6) berücksichtigen.
Hochverfügbarkeit
Die Komponenten sollten hoch verfügbar (z.B. durch die redundante Verwendung von Technologien) ausgelegt werden können.
Weitere Veröffentlichungen und Empfehlungen
Darüber hinaus existieren seitens BSI noch weitere Veröffentlichungen zum Thema Fernwartung, die sich jedoch nicht im Speziellen an Industrienetzwerke richten, sondern allgemeiner aufgestellt sind.
Grundregeln zur Absicherung von Fernwartungszugängen
Im Dokument „Grundregeln zur Absicherung von Fernwartungszugängen“ werden 8 Grundregeln für eine Absicherung von Fernwartungszugängen aufgeführt, die sich zum großen Teil mit den bereits genannten Anforderungen überschneiden. Nichtsdestotrotz können durch die Definition dieser Grundregel gute Richtlinien hinsichtlich der Priorisierung der Anforderung abgeleitet werden.
Die ersten drei Grundregeln gelten vor allem für Szenarien, in denen ein Anwender sporadisch bei auftretenden Problemen die Hilfe eines externen Experten in Anspruch nehmen möchte:
Grundregel 1: Die Initiative zum Aufbau einer Support- oder Fernwartungssession muss immer vom Anwender ausgehen.
Grundregel 2: Die Fernwartungsverbindung sollte verschlüsselt sein.
Grundregel 3: Der Fernwartende muss sich sicher authentifizieren, bevor er Zugriff auf das System erhält.
Für größere und komplexere Netzwerke, dessen Komponenten unter anderem auch spezielles Know-How des Herstellers oder eines externen Dienstleisters verlangen, gelten folgende Grundregeln. Hier muss insbesondere auf die Tatsache geachtet werden, dass solche Zugänge meist dauerhaft eingerichtet oder unbegrenzt wiederverwendbar sind:
Grundregel 4: Das Fernwartungsobjekt sollte so gut wie möglich vom Rest des Netzes isoliert werden, um gewollte oder ungewollte Zugriffe des Fernwartenden auf andere Rechner und Server zu verhindern.
Grundregel 5: Die zur Etablierung des Fernwartungszugangs an den zentralen Sicherheits-Gateways vorzunehmenden Modifikationen sollten so gering wie möglich gehalten werden.
Grundregel 6: Die Durchführung einer Fernwartung muss protokolliert werden.
Schlussendlich macht es natürlich auch Sinn bestimmte Regelungen in Bezug auf den Fernwartungsdienstleister zu definieren:
Grundregel 7: Der Fernwartungsdienstleistende darf nie mehr Rechte erhalten, als er für die Erfüllung seiner Aufgaben unbedingt benötigt.
Grundregel 8: Die Zuverlässigkeit des Fernwartungsdienstleisters sollte durch vertraglich geregelte Kontrollmechanismen vereinbart werden.
Weitere Links
Desweiteren existieren im IT-Grundschutz-Kompendium unter dem Baustein OPS.2.4 Fernwartung weitere grundlegende Anforderung an Fernwartungslösungen, die jedoch meist nicht allzu sehr in die (technische) Tiefe gehen. Als Untersützung wurden hierzu auch eigene Umsetzungshinweise veröffentlicht.
Je nachdem, welche Technologie für die Fernwartung verwendet wird, lohnt sich eventuell auch ein Blick in die folgende Abschnitte des BSI:
Fernwartung über die Cloud: BSI Sammlung zum Thema Cloud Computing
Fernwartung über VPN: IT-Grundschutz NET.3.3 VPN (Zu den sicherheitsrelevanten technischen Aspekten von Fernwartungslösungen über VPN gibt es auf sichere-industrie.de auch einen eigenen Artikel.)
Wo anfangen?
Da in der Realität nur begrenzt Zeit, Budgets und Ressourcen zur Verfügung stehen, kann man sich zurecht die Frage stellen, welche der genannten Handlungsempfehlungen hier Priorität haben sollten und den meisten positiven Impact besitzen. Aus diesem Grund haben wir an dieser Stelle die wichtigsten Anforderungen extrahiert und durch unsere eigenen Erfahrungen ergänzt:
Angriffsvektoren minimieren
Es wäre grundsätzlich schon viel geholfen, wenn die Anzahl der Fernwartungszugänge möglichst klein gehalten wird und man eine grundlegende Achtsamkeit für Fernwartungszugänge im Automatisierungsnetz etabliert. In vielen Geräte werden bereits standardmäßig Zugänge verbaut, von denen man als Betreiber eventuell auch gar nichts weiß. Je weniger Zugänge man überwachen muss, desto geringer werden die Kosten für entsprechende Schutzmaßnahmen und desto mehr wird die Wahrscheinlich für eine Fehlkonfiguration dieser eingeschränkt.
Minimalitätsprinzip
Auch wenn es natürlich bequemer ist dem Fernwarter umfassende Admin-Rechte und weitflächigen Zugriff auf (Sub-)netze bereitzustellen, sollte man sich hier die Zeit nehmen und sich überlegen, auf welche Zielsysteme der Fernwarter wirklich einen Zugriff benötigt und welche Rechte für seine Tätigkeit mindestens notwendig sind.
Netzwerksegmentierung
Um das genannte Minimalitätsprinzip zu unterstützen, kann es sich anbieten die jeweiligen Zielsysteme durch Netzwerksegmentierung zu isolieren und eine Aufteilung nach Zones und Conduits einzuführen.
Die eigenen kritischen Systeme kennen
Eine Risikoanalyse der Automatisierungslösung kann Ihnen Klarheit für Entscheidungen im Zuge einer sicheren Fernwartung bieten. Eventuell erfahren Sie für welche Systeme sich ein direkter Fernzugriff eventuell ganz vermeiden lässt oder Sie können zumindest besser abwägen, wann das Risiko eines (direkten) Fernwartungszugangs die Vorteile einer Fernwartung übersteigt. Aufbauend auf diesem Wissen lassen sich bei Bedarf auch weitere Maßnahmen wie DMZ oder Monitoring implementieren.
Die Eingangspunkte des Fernwarters kennen und abgrenzen
Oft ist es schwer sich mit dritten Parteien oder Lieferanten auf erhöhte Sicherheitsrichtlinien zu einigen. Aus diesem Grund bietet sich eine sogenannte „Jump Station“ (idealerweise in einer DMZ platziert) an, auf die der Fernwarter landet, ehe der Zugriff auf das jeweilige Gerät stattfindet. So wird eine direkte Verbindung zwischen dem Fernwartenden und dem Industrienetz verhindert und die Möglichkeit geschaffen, zusätzliche Schutzmaßnahmen und Filter zu implementieren. Einige Anbieter wie ZEDAS oder BeyondTrust arbeiten bereits standardmäßig mit der Technologie eines Jump-Servers.
Das Speichern von Anmeldedaten auf Seiten des Fernwarters vermeiden
Selbst wenn diese verschlüsselt und gesichert übertragen werden, sollten kritische Anmeldedaten (beispielsweise von Priviledged Accounts) nie zeitlich unbegrenzt auf der anderen Seite der Fernwartungssitzung gespeichert werden.
Soviel wie möglich protokollieren
Alle Fernwartungszugriffe und -aktivitäten, unabhängig davon, ob diese erfolgreich waren oder nicht, sollten erfasst werden. Dies hilft nicht nur bei der forensischen Analyse und bei der Umsetzung von Recovery-Maßnahmen, die Daten können auch durch den Einsatz von IDS und Anomalie-Erkennungssystemen genutzt werden, um proaktiv Angriffe und Störfälle zu vermeiden. Hier müssen jedoch Datenschutzrichtlinien beachtet werden.
Kontrollmechanismen für Fernwartende
Anlagenpersonal sollte zu jeder Zeit die Möglichkeit besitzen, bei einem Vorfall die Fernwartungssitzung zu terminieren und zu beenden. Selbstverständlich sollten diese Kontrollmechanismen im Voraus getestet werden, damit im Ernstfall das manuelle Eingreifen auch garantiert werden kann.
Checkliste: Angriffserkennung in KRITIS Betrieben
CEO & Founder
Die Anforderung nach „Angriffserkennung für kritische Infrastrukturen“ sorgt für zusätzlichen Stress bei der Vielzahl an notwendigen Schutzmaßnahmen.
Deshalb haben wir eine Checkliste: Angriffserkennung in KRITIS Betrieben erstellt, die Ihnen einen effizienten Überblick gibt und vor allem eine strukturierte Bearbeitung ermöglicht.
Super zusammengefasst und aufgestellt. Vor allem sowohl aus organisatorischer als auch anwenderorientierten operativen Sicht!
Ich würde mich über weiteren Austausch freuen.
Vielen Dank für Dein Feedback und ich hoffe sehr, dass dir die Inhalte bei Deinen Themen weiterhelfen.
Beste Grüße
Max