Rechner ausschalten! Mehr Sicherheit bei Fernwartung

Angriffspunkt Endpoint

In den BSI-Veröffentlichungen zur Cyber-Sicherheit gehören im Jahr 2019 zu den zehn häufigsten Bedrohungen und Gegenmaßnahmen von Industrial-Control-Systemen:

  • • das Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware,
  • • Infektionen mit Schadsoftware über Internet und Intranet,
  • • die Kompromittierung von Extranet und Cloudkomponenten und
  • • der Einbruch über Wartungszugänge.

In allen vier Punkten nutzen Angreifer ihre externe Hard- und Software, um über unzureichend gesicherte Netzwerkzugänge, interne Systeme und Software Schaden zu stiften. Das Prinzip ‚Minimal need to know‘ gilt als wesentlicher Baustein einer Problemlösung. Demnach stehen einer Person nur die Informationen zur Verfügung, die unmittelbar ene konkreten Aufgabe erforderlich sind. Organisationsmängel, Social Engineering, menschliche Schwächen und unklare Definition der Aufgaben führen leicht zur Kompromittierung dieses Wissens. Deswegen ergänzt das Prinzip ‚Minimal to have‘ den IT-Schutz. Einer Person stehen dabei nur die Ressourcen und Systeme zur Verfügung, die unmittelbar für die Erfüllung einer konkreten Aufgabe notwendig sind. Eine Vielzahl von technischen Maßnahmen, wie verschlüsselte Übertragung von Daten per VPN, Firewall-Regelwerke, Zugriffsberechtigungen, Network Access Control, Härtung der Zielsysteme dienen der Umsetzung des Prinzips. Die Ausnutzung von Software-Schwachstellen, Denial of Service – Angriffe, Pishing, Brute Force Attacken und vor allem die unsichere Konfiguration von Systemen bieten jedoch auch hier zahlreiche Angriffsvektoren.

(Fast) alles verboten

‚Security by Default‘ fasst die beiden Minimal-Prinzipien dahingehend zusammen, dass per Default alles verboten ist, was nicht explizit erlaubt wurde. Konsequenterweise heißt das, dass zum Zeitpunkt der Erfüllung einer konkreten Aufgabe ausschließlich die dafür notwendigen Hardware-, Software- und Netzwerk-Ressourcen einem berechtigten Anwender zur Verfügung stehen dürfen. Rechner und Software bei Externen, die z.B. per Fernwartung auf eine Anlage zugreifen, sind vom Anlageneigner allerdings kaum zu kontrollieren. Die Installation von Endpoint-Security-Software auf fremden Rechnern wird fast nie erlaubt. Die digitale Hoheit des Anlagen-Eigners endet zumeist vor den Fernwartungsrechnern seiner externen Dienstleister.

Endpoint Security integriert

Aus den jahrelangen Erfahrungen der Integration eigener Software-Lösungen in Industrieumgebungen entstand bei der Zedas GmbH eine Lösung für Anlagen, die erprobte Sicherheitsverfahren mit gestaffelter Tiefe kombiniert. Die Standardlösung ermöglicht es , den Zugriff aller externen Service-Dienstleister zu verwalten. Die Anwendung namens ZedasSecure kann das Prinzip ‚Security by Default‘ durchgängig sicherstellen, auch auf den Endpoints, die von Externen für den Zugriff auf Produktionsanlagen benutzt werden. Endgeräte, denen Zugriff auf Produktionsanlagen gewährt wird, sind im System als virtuelle Fernwartungsrechner geführt, die vom Anlagenbetreiber kontolliert werden. Für jeden Dienstleister werden sie in dessen zugeordneter Demilitarisierter Zone (DMZ) aufgesetzt. Ihre Desktop-Oberfläche wird ausschließlich über Remote Desktop Protokoll und verschlüsseltes HTML5-VPN bereitgestellt. Dafür benötigt der Dienstleister einen HTML5-fähigen Browser. Die Installation eines VPN-Clients ist nicht erforderlich.

Seiten: 1 2 3Auf einer Seite lesen

ZEDAS GmbH
www.zedas.com

Das könnte Sie auch Interessieren

Bild: Hekatron Vertriebs GmbH
Bild: Hekatron Vertriebs GmbH
Fernüberwachung von Brandmeldeanlagen wird leichter

Fernüberwachung von Brandmeldeanlagen wird leichter

Aufgrund rechtlicher Bedenken blickte manch ein Errichter oder Betreiber bisher skeptisch auf Lösungen wie die Fernüberwachung und -instandhaltung von Brandmeldeanlagen. Die neue Dienstleistungsnorm DIN EN 50710 ‚Anforderungen an die Bereitstellung von sicheren Ferndiensten für Brandsicherheitsanlagen und Sicherheitsanlagen‘ nimmt diese Sorge nun und lädt dazu ein, die Möglichkeiten des Fernzugriffs voll auszuschöpfen.