Acht Grundregeln können helfen, Unbefugten den Zugriff auf Unternehmensdaten so schwer wie möglich zu machen.

Acht Grundregeln können helfen, Unbefugten den Zugriff auf Unternehmensdaten so schwer wie möglich zu machen.PN_Photo – Fotolia.com

Zunächst einmal hört sich die Aufgabe recht einfach an: Per Internet soll von einem Servicerechner aus auf ein Feldgerät mit Netzwerkschnittstelle zugegriffen werden, um Störungen zu beheben und Konfigurationsdaten anzupassen. Über die gleiche Verbindung soll das Feldgerät im Fehlerfall auch einen Alarm senden können. Für derartige Remote-Management-Aufgaben bieten verschiedene Firmen sofort einsatzbereite Lösungen an, die entweder auf der Open-Source-Software OpenVPN oder auf proprietärer Technik basieren. Zum Angebot gehört in der Regel auch eine vom Anbieter betriebene Internetplattform, über die sämtliche Fernzugriffe abgewickelt werden.

Jeder Feldgerätehersteller, der eine solche Lösung einsetzen will, sollte zunächst einmal eine ausführliche Sicherheitsbetrachtung der eingesetzten Technik und Bausteine durchführen. Dabei sollte er langfristig denken. Der Fernzugriff auf die Feldgeräte muss auch nach zehn Jahren noch möglich sein, wenn der eine oder andere Anbieter vielleicht schon wieder das Zeitliche gesegnet oder sein Geschäftsmodell umgestellt hat.

Regeln für den sicheren Fernzugriff

Im Sommer 2013 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Regelwerk, die IT-Grundschutz-Kataloge, zur Absicherung von Fernwartungszugängen veröffentlicht. Die einzelnen Regeln wurden zwar nicht speziell für die Automatisierung entwickelt. Sie lassen sich aber auch in diesem Umfeld anwenden und helfen bei der Bewertung der am Markt angebotenen Lösungen.  Dabei helfen acht Grundregeln.

Zahlreiche Fernzugriffslösungen basieren aus Security-Sicht auf komplizierten Dreierbeziehungen. Der Feldgerätehersteller will durch eine Fernzugriffslösung die Verfügbarkeit steigern und ein Condition Monitoring anbieten.

Zahlreiche Fernzugriffslösungen basieren aus Security-Sicht auf komplizierten Dreierbeziehungen. Der Feldgerätehersteller will durch eine Fernzugriffslösung die Verfügbarkeit steigern und ein Condition Monitoring anbieten. SSV

Grundregel 1: Die Initiative zum Aufbau einer Support- oder Fernwartungssession muss immer vom Anwender ausgehen. Im übertragenen Sinne ist damit gemeint, dass grundsätzlich das Feldgerät die Verbindung zu einem genau festgelegten Server im Internet aufbaut, von dem aus dann ein Fernzugriff in Gegenrichtung erfolgt. Der Vorteil: Die Automatisierungsbaugruppe benötigt dann weder eine statische IP-Adresse, noch einen Service, der auf die eingehende Verbindung wartet. Dadurch ergibt sich ein wirkungsvoller Schutz vor externen Angreifern.

Grundregel 2: Die Fernwartungsverbindung sollte per SSL/TLS (Secure Sockets Layer/Transport Layer Security) verschlüsselt sein. Aus heutiger Sicht ist eine Ende-zu-Ende-Verschlüsselung zwingend erforderlich. Zu beachten gilt es dabei, dass die Benutzernamen und Passwörter beim Verbindungsaufbau ebenfalls verschlüsselt übertragen werden.

Grundregel 3: Der Servicemitarbeiter muss sich sicher authentifizieren, bevor er Zugriff auf das System erhält. Diese Forderung eignet sich nur bedingt für die meisten Automatisierungsanwendungen. Wichtig ist in diesem Umfeld allerdings, dass sich sowohl das Feldgerät als auch der Servicemitarbeiter gegenüber einem Server im Internet eindeutig und sicher authentifizieren, am besten durch ein digitales Zertifikat, zum Beispiel X.509, und eine PKI (Public-Key-Infrastruktur). In diesem Zusammenhang ist darauf zu achten, dass ein Zertifikat – zum Beispiel nach einem Identitätsdiebstahl – auf dem zentralen Server widerrufen werden kann und das entsprechende Feldgerät oder der Servicemitarbeiter von allen weiteren Fernzugriffen ausgeschlossen ist.

Grundregel 4: Das Fernwartungsobjekt sollte – zumindest während einer Fernwartungssession – vom Rest des Netzes isoliert werden, um gewollte oder ungewollte Zugriffe des Servicemitarbeiters auf andere Rechner und Server zu verhindern. In einer Automatisierungsumgebung werden Visualisierung (HMI), Fernzugriffsschnittstellen und Steuerungen in der Regel im gleichen physikalischen Netz betrieben. Ein berechtigter Fernzugriff auf eine Steuerung kann zum Beispiel auch für einen unberechtigten Zugriff auf den HMI-Rechner missbraucht werden. So etwas kann man allerdings durch entsprechende Firewall-Regeln auf dem Fernzugriffs-Gateway unterbinden.

 In geschlossenen Benutzergruppen werden unverschlüsselte Daten zwischen den Feldgeräten und der Rechnerinfrastruktur eines Mobilfunkproviders übertragen.

In geschlossenen Benutzergruppen werden unverschlüsselte Daten zwischen den Feldgeräten und der Rechnerinfrastruktur eines Mobilfunkproviders übertragen. SSV

Grundregel 5: Die zur Etablierung des Fernwartungszugangs an den zentralen Sicherheits-Gateways vorzunehmenden Modifikationen sollten so gering wie möglich gehalten werden. Damit ist gemeint, dass das „Loch“ in der Firewall, durch das die Fernzugriffe erfolgen, so klein wie möglich sein sollte. Noch sinnvoller wäre es, wenn kein direkter, sondern nur indirekter Zugriff auf das Feldgerät ermöglicht wird. Hierfür ist dann allerdings ein spezieller Proxy im Fernzugriffs-Gateway nötig.

Grundregel 6: Das Durchführen einer Fernwartung muss protokolliert werden. Es sollte auf jeden Fall in einer Fernwartungslösung einen Systembaustein geben, der alle Zugriffe und eventuelle Regelverletzungsversuche der Firewall in einer Log-Datei aufzeichnet. Diese Datei muss auch regelmäßig ausgewertet werden, um eventuelle Angriffe zu erkennen und um Beweise zu sammeln, falls ein Angriff bereits stattgefunden hat.

Grundregel 7: Der Servicemitarbeiter darf nie mehr Rechte erhalten, als er für seine Aufgaben unbedingt benötigt. In einer Automatisierungslandschaft bedeutet diese Regel zum Beispiel, dass bei einer Steuerungs-Fernwartung auch nur die Steuerung, aber nicht die HMI erreicht werden kann. Des Weiteren lässt sich diese Regel auch so auslegen, dass auf jeden Fall eine umfangreiche Rollen- und Rechteverwaltung für die Servicemitarbeiter erforderlich ist.

Grundregel 8: Entscheidendes Kriterium bei der Auswahl des Fernwartungsdienstleisters sollte dessen Zuverlässigkeit sein. In Bezug auf diese sollte der Kunde vertraglich entsprechende Kontrollmechanismen vereinbaren. In der Automatisierung ist hiermit in erster Linie der Betreiber des Servers oder des Portals, also die Fernwartungs-Serviceplattform gemeint, über den sich die Feldgeräte und Servicemitarbeiter untereinander verbinden. Im Umfeld eines BSI-zertifizierten Smart-Metering-Systems wurde festgestellt, dass es entsprechend sichere Dienstleister eigentlich gar nicht gibt. Dieser Punkt ist daher besonders kritisch. Aus Sicherheitsgründen sollten die Server vom Hersteller der Feldgeräte entweder direkt in der Unternehmens-IT oder aber bei einem ISO-27001-zertifizierten Dienstleister im Rahmen eines reinen Hardware-Hostings betrieben werden. Der Feldgerätehersteller ist im Rahmen der Produkthaftung letztendlich auch für die Security der Fernwartung verantwortlich.

Jede Fernwartungslösung benötigt einen Infrastrukturserver, der für die Feldgeräte und Servicemitarbeiter per Internet erreichbar ist. Dieser Server sollte aus Sichergründen auf einer überprüfbaren Open-Source-Software basieren.

Jede Fernwartungslösung benötigt einen Infrastrukturserver, der für die Feldgeräte und Servicemitarbeiter per Internet erreichbar ist. Dieser Server sollte aus Sichergründen auf einer überprüfbaren Open-Source-Software basieren.SSV

Risikofaktor Serviceplattform

Praktisch jede Fernwartungsanwendung benötigt eine Internetverbindung zu einer Serviceplattform, über die Feldgerät und Servicemitarbeiter miteinander kommunizieren. Dieser Link bildet eine Schwachstelle für mögliche Angriffe. Weitere Unsicherheiten in diesem Zusammenhang sind durch den Serverstandort und durch den Betreiber dieser Server gegeben. Befinden sich die Anwendung und der Server nicht innerhalb des gleichen Landes, erfolgt die Übertragung von IP-Paketen in jedem Fall über Staatsgrenzen hinweg. Dabei werden die Datenverbindungen mit großer Wahrscheinlichkeit von Nachrichtendiensten abgehört – nicht nur von der NSA und dem britischen Pendant GCHQ. Ähnliche Risiken existieren beispielsweise durch das sogenannte FRA-Gesetz auch in Schweden. Diese Rechtsvorschrift erlaubt schwedischen Behörden im Rahmen der Terrorabwehr den gesamten Internetverkehr, der die Landesgrenzen passiert, ohne richterliche Anordnung abzuhören und auszuwerten. Die Kontrolle dieser Spionageaktivitäten erfolgt – ähnlich wie in den USA – lediglich durch ein nicht-öffentliches Gericht. Das bundesdeutsche Datenschutzgesetz bietet für den grenzüberschreitenden IP-Verkehr keinen Schutz, da der Zuständigkeitsbereich an den Landesgrenzen endet. Das Safe-Harbour-Abkommen, das eigentlich den sicheren Datenverkehr zwischen EU-Ländern und den USA regeln soll, hat sich mit die Aufdeckung des NSA-Skandals praktisch als wirkungslos erwiesen. Zu beachten ist auch, ob der Server-Betreiber auf Grund spezieller Gesetze, zum Beispiel des US Patriot Acts, gegenüber Behörden zur Herausgabe von Kundendaten verpflichtet ist. Diese gesetzlichen Regeln gelten für US-Unternehmen auch dann, wenn die Server innerhalb der EU betrieben werden.

Aus Expertensicht betreiben NSA, GCHQ und andere Nachrichtendienste in erheblichem Umfang Wirtschaftsspionage. Kein Hersteller kann damit leben, dass ein Wirtschaftsspion die Anzahl der Störungen, Fehlermeldungen und Fehlerdetails einer industriellen Fertigungseinrichtung mitlesen, aufzeichnen und auswerten kann. Fernwartungsverbindungen, die in den Smart-Home-Bereich hineinreichen, fallen aus Juristensicht sogar unter das Bundesdatenschutzgesetz, da sie personenbezogene Daten enthalten können oder Rückschlüsse auf solche Daten zulassen. Hier muss für eine abhör- und manipulationssichere Ende-zu-Ende-Verbindung zwischen Feldgerät und Servicemitarbeiter gesorgt werden.