Aktuelles, Branche - geschrieben von am Mittwoch, Dezember 8, 2010 17:37 - noch keine Kommentare

Antwort auf die Stuxnet-Gefahr: Sichere Fernwartung von Maschinenanlagen in sensiblen Produktionsbereichen

Gastautorin Dr. Michaela Harlander über das Konzept eines Rendezvous-Servers in der „demilitarisierten Zone“

[datensicherheit.de, 19.11.2010] Wer große Anlagen wie Druckmaschinen, Fertigungsroboter, Stromgeneratoren oder Computertomografen für viel Geld beschafft, verlangt vom Hersteller die Zusicherung des störungsfreien Betriebs. Denn sollte durch den Ausfall eines Systems beispielsweise eine ganze Fertigungsstraße stillstehen, summieren sich die Kosten schnell auf beträchtliche Summen – den Image-Verlust durch verspätete Lieferungen und verärgerte Kunden noch gar nicht mitgerechnet. Die geforderte hohe Betriebszuverlässigkeit können Hersteller nur durch ständige Betreuung ihrer Anlagen via Fernwartung garantieren:

© GeNUA mbH

© GeNUA mbH

Beispiel Generator: Zusicherung des störungsfreien Betriebs vom Hersteller erwartet

Solche Fernwartungs-Lösungen sind dank moderner IT-Technologie, weltweiter Vernetzung und schneller Datenübertragung problemlos zu realisieren. Die Herausforderung liegt in der Frage, wie große Industrieunternehmen, die Fernwartungsservices von mehreren Herstellern nutzen, die zahlreichen Zugriffsmöglichkeiten in ihre Netzwerke im Blick behalten. Auf der anderen Seite stehen die Anlagenhersteller vor der Aufgabe, eine Vielzahl von Fernwartungsverbindungen zu ihren verschiedenen Kunden zu betreiben. Die zentralen Anforderungen sind hierbei einfache Anwendung, flexible Einsatzmöglichkeiten, einheitliche Administration und vor allem auch zuverlässige IT-Sicherheit. Denn der Schadcode Stuxnet hat gerade aufgezeit, wie Produktionsanlagen weltweit massenhaft infiziert werden können, wenn diese komplett vernetzt, aber nicht ausreichend gesichert sind. Gelöst werden kann diese Aufgabe mit Fernwartungssystemen, die auf bewährten Standards und durchdachten Sicherheitskonzepten basieren.
Die Vorteile einer Fernwartungslösung liegen auf der Hand – die Anlagen werden von erfahrenen Spezialisten des Herstellers fortlaufend überwacht und gewartet, ohne dass diese vor Ort sein müssen. Sollte trotz regelmäßiger Pflege eine Störung auftreten, können die Spezialisten via Wartungsverbindung zugreifen und die meisten Probleme umgehend lösen. Die erforderliche IT-Technologie ist ausgereift, schnelle Datenleitungen nahezu überall kostengünstig vorhanden. Fernwartungslösungen sparen somit Zeit und Geld – davon profitieren sowohl der Wartungsdienstleister als auch der Anlagen-Anwender. Aus diesem Grund werden immer mehr Fernwartungslösungen in der Industrie, dem Gesundheitswesen und anderen Bereichen eingesetzt. Diese Vorteile sind überzeugend, der zunehmende Einsatz von Fernwartungslösungen ist aber auch mit erheblichen Nebenwirkungen verbunden – denn die Anlagen, die betreut werden sollen, sind bei den Anwendern in die lokalen Netze (LAN) eingebunden. Für den Fernzugriff muss dem Dienstleister also ein Zugang in das LAN des Anwenders eingeräumt werden. Damit ist direkt der sensible Bereich der IT-Sicherheit bei der Anwenderfirma betroffen – dort muss sichergestellt werden, dass über den Wartungszugang tatsächlich nur der Dienstleister in das LAN gelangt und keine unbefugten Dritten.

Als weitere Sicherheitsstufe sollte der externe Zugriff auf das betreute Objekt begrenzt sein. Denn viele Unternehmen betreiben im Produktionsbereich ein flaches Netz, an das alle Systeme angebunden werden. Wer einmal Zugang erlangt hat, kann somit ungehindert im gesamten Kunden-LAN „herumsurfen“. So konnte z. B. zuletzt der Schadcode „Stuxnet“ innerhalb kurzer Zeit eine große Anzahl von Steuerungssystemen für Maschinenanlagen infizieren. Je mehr Wartungszugänge in ein LAN geführt werden, desto schwieriger ist die Absicherung. Denn es werden eine Vielzahl von Fernwartungslösungen verwendet, die über unterschiedliche Wege eine Verbindung zur betreuten Anlage aufbauen – über Modem, ISDN, DSL oder Internet sowie mit verschiedenen VPN-Standards (Virtual Private Network) zur verschlüsselten Datenübertragung. Industrieunternehmen mit größeren Maschinenparks verfügen zumeist über ein gewachsenes Konglomerat solcher Lösungen. Für dieses Sammelsurium unterschiedlicher Lösungen müssen auf der Firewall wiederum eine Vielzahl an Ports freigeschaltet werden. Manchmal wird die Firewall sogar umgangen und die Verbindung direkt an die betreute Anlage im LAN gelegt. Mit jedem offenen Port und besonders natürlich durch die Umgehung der Firewall steigt die Gefährdung durch unberechtigte Zugriffe, Hacker-Attacken und Viren, die ganze Produktionsstraßen lahm legen können. Zu regelrechten Löchern werden diese Schwachstellen, wenn bei der Administration der diversen Zugänge Fehler unterlaufen oder die regelmäßige Pflege aufgrund des hohen Aufwands vernachlässigt wird. Dies kann schnell passieren, da jedes Fernwartungs-System andere Anforderungen stellt und einzeln betreut werden muss.

Am anderen Ende der Verbindung stehen die Wartungsdienstleister zumeist vor ähnlichen Problemen: Auch hier ist ein vielfältiges Portfolio an Fernwartungs-Systemen gewachsen, das umständlich zu bedienen ist und großen Aufwand bei der Administration erfordert. „Mit welcher Software und welchem Modem ist die Anlage beim Kunden XY zu erreichen“, ist eine häufig gestellte Frage in Service-Centern. Auch für den Dienstleister ist es wichtig, dass sein Zugang in das Kundennetz zuverlässig gesichert ist. Denn sollte sich herausstellen, dass über diesen Weg beispielsweise ein Virus in das Netz gelangt ist und Schäden angerichtet hat, würde sich dies mit Sicherheit auf die weitere Beziehung zu dem Kunden auswirken. Beide Seiten – Anwender und Dienstleister – haben somit ein großes Interesse an einer Fernwartungs-Lösung, die die Kriterien einfache Bedienung, komfortable Administration, hochwertige IT-Sicherheit und flexible Einsatzmöglichkeiten erfüllt.

© GeNUA mbH

© GeNUA mbH

Fernwartung über Rendezvous-Server

Zur Fernwartung von Maschinenanlagen in sensiblen Produktionsbereichen bietet das deutsche IT-Sicherheitsunternehmen GeNUA eine Lösung, in dessen Mittelpunkt ein Rendezvous-Server steht. Das Konzept: Es werden keine einseitigen Wartungszugriffe von Herstellern in das Netz des Industrieunternehmens zugelassen. Stattdessen führen alle Fernwartungszugriffe auf einen Rendezvous-Server, der in einem speziellen Bereich neben der Firewall, der sogenannten „demilitarisierten Zone“ (DMZ), installiert ist. Hierhin kommt das Industrieunternehmen dem Hersteller mit einer Verbindung von innen aus dem Produktionsbereich entgegen. Erst wenn es auf dieser zentralen Wartungsplattform zum Rendezvous kommt, kann der Hersteller die jetzt durchgängige Verbindung zum Zugriff auf die betreute Anlage nutzen. Der Rendezvous-Server kann sowohl in der DMZ des Dienstleisters oder auch des Kunden eingerichtet werden. Da der Kunde zu einem verabredeten Zeitpunkt selbst aktiv werden muss, hat er stets den Überblick, wer wann in seinem Netz unterwegs ist.
Die Verbindungen zu dem Rendezvous-Server werden mit dem VPN-Verfahren (Virtual Private Network) SSH aufgebaut, das starke Verschlüsselungs- und Authentifizierungsmethoden bietet. So kann die Datenkommunikation nicht abgehört werden, und nur berechtigte Teilnehmer erhalten Zugang zur Wartungsplattform in der DMZ. Das Protokoll SSH unterscheidet sich zudem in einem wesentlichen Punkt vom dem VPN-Verfahren IPsec, das andere Herstellern häufig zum Aufbau von Fernwartungs-Verbindungen verwenden: IPsec erzeugt immer eine vollständige Koppelung zwischen den verbundenen Netzen. Sollte ein Rechner in einem Netz mit Schadcode infiziert sein, kann er in allen via IPsec angebundenen Netzwerken ungeschützte Systeme befallen und sich rasant ausbreiten. Mit SSH werden dagegen nur die tatsächlich notwendigen Verbindungen zwischen einzelnen Rechnern erzeugt, so dass Schadcode keine schnellen Verbreitungswege findet.

genubox100c

© GeNUA mbH

Fernwartungs-Appliance „GeNUBox“

Bei der Lösung von GeNUA sorgt im Produktionsbereich zusätzlich die Fernwartungs-Appliance „GeNUBox“ für Sicherheit. Sie wird an der per Fernzugriff betreuten Anlage installiert und separiert mit einer Firewall-Funktion den Wartungsbereich vom den anderen Systemen in diesem Netzbereich. So führt die SSH-Verbindung ausschließlich zum Wartungsobjekt – Zugriffe auf andere Systeme im Netz der Produktionsabteilung sind nicht möglich. Selbst wenn Schadcode bis hierhin vordringen sollte, kann er von dieser isolierten Anlage aus keine weiteren Systeme infizieren.

Über den Rendezvous-Server können beliebig viele Fernwartungsverbindungen zusammengeführt werden. Da Bedienung und Administration über einheitliche Oberflächen erfolgen, kann mit geringem Aufwand ein sicheres Fernwartungssystem mit vielen Teilnehmer aufgebaut und betrieben werden. Um neue Teilnehmer in die Lösung einzubinden, wird an der jeweiligen Gegenstelle lediglich eine Fernwartungs-Appliance installiert. Zahlreiche große Maschinenbau-Unternehmen wie der Motorenhersteller MAN Diesel und der Druckmaschinenspezialist manroland nutzen diese komfortable Lösung von GeNUA, um ihre weltweit installierten Anlagen per Fernzugriff zu betreuen und ihren Kunden somit guten Service zu bieten.

© GeNUA mbH

© GeNUA mbH

Dr. Michaela Harlander, Geschäftsführerin der GeNUA mbH



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung