Das Bundesamt für Sicherheit in der Informationstechnik macht sich regelmäßig Gedanken um die Sicherheitslage von hiesigen Unternehmen und gibt dazu das IT-Grundschutz-Kompendium heraus. Seit Februar dieses Jahres ist dort der Abschnitt „IND 3.2 – Fernwartung im industriellen Umfeld“ enthalten. Dies alleine zeigt die Bedeutung dieses Themas seitens des BSI.
Sieht man sich die aktuelle – immer weiter digitalisierte - Betriebstechniklandschaft (Operational Technology; OT) genauer an, fällt vor allem eins auf: Sie weist eine enorme Heterogenität auf. Das betrifft dezentrale Infrastrukturen genauso wie die vielfältigen Steuersysteme und deren Zugriffsarten. Alleine das erfordert eine recht hohe Zahl unterschiedlicher Fernwartungszugängen. Diese werden wiederum ganz unterschiedlich realisiert, bestehen also aus einer unüberschaubaren Zahl an Hard- und Software-Komponenten.
Diese und weitere Faktoren stellen vor allem verarbeitende Unternehmen vor die Herausforderung, mithilfe der passenden Fernwartungslösung ein Höchstmaß an Sicherheit und Komfortabilität zu schaffen. Das betrifft die OT und die IT gleichermaßen. Hierfür stehen diverse Ansätze und Möglichkeiten zur Verfügung.
Unterschiede und Gemeinsamkeiten bei der IT-/OT-Fernwartung
Vergleicht man aktuelle Fernwartungssysteme, ergeben sich diverse Gemeinsamkeiten, und Unterschiede. So sollten auf jeden Fall sichere Verbindungen genutzt werden. Das betrifft sowohl die infrage kommenden Protokolle wie Simple Network Management Protocol (SNMP) und Intelligent Platform Management Interface (IPMI). Letzteres wird mehr und mehr von Redfish abgelöst, das Web-Techniken wie JSON als Datenformat HTTPS für die Datenübertragung und mehr unterstützt. Zudem gibt es unterschiedliche kryptografischen Verfahren, die u.a. auf dem AES-256-Standard basieren, mit denen Daten und Verbindungswege verschlüsselt werden. Darüber hinaus werden in OT-Infrastrukturen anstatt erprobter Standards wie TCP/IP oder IPsec immer noch proprietäre Protokolle genutzt. Das birgt unter anderem in OT-Netzwerken diverse Gefahren, wie zahlreiche Cyberattacken der Malware-Varianten Ekans, Triton und Industroyer belegen. So brachte beispielsweise Industroyer die Energieversorgung der ukrainischen Hauptstadt Kiew 2016 vollständig zum Erliegen.
OT-Fernwartung muss zudem noch weitere Funktionen bereitstellen, die bei der reinen IT-Fernwartung keine Rolle spielen, wie beispielsweise den Zugriff auf das ICS (Industrielles Steuerungssystem), um damit ein Anlaufen bzw. ein Stoppen von Anlagen sicherzustellen und so Personen oder Sachschäden zu verhindern. Aber auch die Integrität der anfallenden Daten und das Beschränken der erforderlichen Kommunikationswege sollte das Fernwartungssystem bereitstellen.
Basis-Anforderungen an die Fernwartung, die erfüllt werden müssen
Für ein Mindestmaß an Sicherheit müssen Fernwartungszugänge laut BSI bestimmte Anforderungen erfüllen. Dazu gehört zum Beispiel die Auswahl der infrage kommenden Systeme, die ausschließlich von außen ferngewartet werden dürfen. Aber auch ein Minimum an benötigten Zugängen und Kommunikationswegen gehört zu den Basisanforderungen an die Fernwartung im OT- und IT-Umfeld. Ebenfalls sollte eine zuverlässige Verschlüsselung wie AES-256 zum Einsatz kommen.
Empfohlene Anforderungen, die erfüllt sein sollten
Neben diesen Basisanforderungen sollten weitere Standard-Bedingungen erfüllt werden, was die Fernwartung betrifft. Dazu zählt beispielsweise eine Ende-zu-Ende-Verschlüsselung, die auf eine möglichst geringe Zahl an Fernwartungsverbindungen angewandt wird. Aber auch allgemein gültige Richtlinien sollten definiert und beschrieben werden, mit denen sich Rollen, Zuständigkeiten und Verantwortlichkeiten definieren lassen. Hinzu kommt der Einsatz kryptografisch verschlüsselter Protokolle. Für noch mehr Sicherheit empfiehlt sich der Einsatz von sogenannten MFA-Verfahren, die häufig auf dem Einsatz von Hardware-Token basieren. Hierbei sorgt ein USB-Schlüssel beispielsweise für den kennwortlosen Zugriff auf besonders schützenswerte Anwenderkonten. Wichtig ist obendrein ein Notfallplan, der die notwendigen Schritte im Störungsfall beschreibt. Darin wird unter anderem beschrieben, wie auf einen möglichen Malware-Angriff reagiert werden soll. Hierfür werden personelle Zuständigkeiten definiert, die Art und Weise der Systemwiederherstellung, und vieles mehr.
Anforderungen bei erhöhtem Schutzbedarf
Speziell bei Betreibern von kritischen Infrastrukturen (KRITIS) - wie zum Beispiel Wasserund Stromversorgungsunternehmen - ergibt sich aufgrund ihrer gesellschaftlichen Bedeutung ein erhöhter Schutzbedarf, woraus sich in Bezug auf das erforderliche Fernwartungssystem unter anderem folgende Aspekte ergeben:
- Der Funktionsumfang des OT-Fernwartungssystems sollte an die Administration von IT-Systemen angepasst werden.
- Es sollten möglichst nur solche Fernwartungssysteme eingesetzt werden, mit denen sich IT- und OT-Clients verwalten lassen.
- Redundante Kommunikationsverbindungen sollten für eine möglichst hohe Ausfallsicherheit sorgen.
Zwei Arten der Fernwartung: Software- und Hardware-basiert
Bei der Fernwartung von industriellen IT- und OT-Systemen wird in zweierlei Ansätzen unterschieden: Hardware- und Software-basiert. Beide Methoden haben ihre Vor- und Nachteile. Die Software-basierte Fernwartung kennzeichnet sich vor allem durch den schnellen Einsatz, durch integrierte Betriebs- und Monitoring-Funktionen sowie günstige Lizenzkosten aus. Auf den ersten Blick bieten sich Online-Fernwartungslösungen an, die über eine Internetverbindung zustande kommen. Oftmals mangelhaft geschützte OT-Systeme, die über eine externe Verbindung ferngewartet werden, widersprechen sich. Abgeschlossene OT-Infrastrukturen, sollten auch mit Fernwartungssoftware verwaltet werden, die keine externen Zugänge benötigen um zu funktionieren. Deshalb empfiehlt das Grundschutz-Kompendium diese Art der Fernwartung möglichst selten einzusetzen.
Auf der anderen Seite stehen dedizierte, hardware-basierte Fernwartungslösungen zur Auswahl. Die Vor- und Nachteile liegen hierbei auf der Hand. Zum einen arbeiten diese Lösungen sehr zuverlässig und weisen einen hohen Sicherheitsgrad auf. Zum anderen sind die Anschaffungskosten recht hoch, außerdem erfordert das Einrichten geschultes Personal.
Organisatorische Überlegungen bei der Fernwartung von IT- und OT-Systemen
Der sichere Fernzugriff auf IT- und OT-Systeme ist nicht nur mit technischen, sondern auch mit organisatorischen Anforderungen eng verknüpft. Dazu gehört neben der bereits erwähnten Risikoanalyse ein minimales Implementieren von Fernzugriffsmöglichkeiten, exakt definierte Prozesse und Abläufe, klar geregelte Zeitfenster von Remote-Zugängen sowie das regelmäßige Verwalten und Auswerten von Protokolldaten.
So funktioniert die Fernwartung von IT- und OT-Systemen gleichermaßen
Mit dem NetSupport Manager bietet Prosoft ein Tool, mit dem sich IT- und OT-Systeme gleichermaßen aus der Ferne verwalten lassen, und das mit den vom BSI geforderten Sicherheitsstandards. So lassen sich sowohl IT-Endgeräte als auch Maschinen und Steuerungseinheiten im Fertigungsumfeld mit nur einer einzigen, zentralen Software fernwarten. Das funktioniert im günstigsten Fall über sämtliche Transportmedien hinweg (also via LAN, WLAN und das Internet), und zwar auf Basis bekannter Protokolle wie TCP/IP und HTTPS. Darüber hinaus lassen sich mit solch einem Werkzeug alle verfügbaren Endgeräte gleichermaßen und gleichzeitig verwalten und auch inventarisieren. So besteht jederzeit Überblick über alle vorhandenen Gerätschaften.
Autor: Robert Korherr, Geschäftsführer der ProSoft GmbH