LinkedIn Logo YouTube Logo
Wie sich der sichere Fernzugriff auf OT-Systeme realisieren lässt

Alles sicher?

Fernzugriff auf OT-Systeme gilt heutzutage als ebenso selbstverständlich wie unabdingbar. Obwohl der Nutzen für Fernwartung, Predictive Maintenance und zur Entwicklung neuer Geschäftsmodelle unbestritten ist, stellen diese doch ein beliebtes Angriffsziel für Cyberattacken dar. Aktuelle Sicherheitsprodukte wie Datendioden oder Rendezvous-basierte Fernwartungslöungen ermöglichen dennoch einen sicheren Betrieb.
 Fernwartung sollte nur mit wirklich sicherem Zugriff erfolgen.
Fernwartung sollte nur mit wirklich sicherem Zugriff erfolgen.Bild: ©kras99/stock.adobe.com

Der Fernzugriff auf Maschinen und Anlagen gilt in der Industrie heute als unverzichtbar – sei es für die Zustandsüberwachung, die Fernwartung oder die Datenausleitung für die Prozessopotimierung. Der dafür benötigte Remote-Zugang ist jedoch immer ein massiver Eingriff in die Sicherheitsarchitektur der Betriebstechnologie. Nicht selten entstehen dadurch potenzielle Einfallstore für Angreifer und Malware. Dies gilt umso mehr, wenn die Zugriffe auf kritische Steuerungssysteme auf Basis schlecht gesicherter direkter VPN-Verbindungen realisiert wurden. Was also tun? Der Artikel gibt einen Überblick über die aktuellen technologischen Entwicklungen bei Remote Access und ihre Auswirkungen auf die Security.

Unterschiede zwischen Monitoring und Fernwartung

Generell lassen sich bei Fernzugriffen zwei grundsätzliche Verfahren unterscheiden. Erstens sind dies reine Lesezugriffe (Monitoring), wie man sie zum Beispiel für Big-Data-Analysen oder vorausschauende Wartung (Predictive Maintenance) benötigt. Hierzu werden im Betrieb kontinuierlich Daten gesammelt bzw. ausgeleitet. Dabei ist in der Regel der Datenfluss nur in eine Richtung notwendig, wodurch diese Zugriffe bezüglich Integrität und Verfügbarkeit von Anlagen relativ unkritisch sind.

Davon zu unterscheiden sind klassische Wartungs- bzw. Reparatureingriffe (Remote Maintenance, Remote Service), bei denen der ausführende Techniker temporär Zugriff auf ganze oder Teilfunktionen einer Maschine hat. Es liegt auf der Hand, dass diese Zugriffe von außen auf Maschinen und Anlagen im Betreibernetzwerk gut abgesichert sein müssen. Störungsfreier Betrieb (Verfügbarkeit der Maschine) und Schutz vor Sabotage durch Dritte (Cybersecurity) müssen hier immer gewährleistet sein. Dementsprechend haben sich für die unterschiedlichen Schutzziele in der Praxis auch verschiedene Schutzmechanismen etabliert.

Sichere Einbahnstraße fürs Monitoring: Die Datendiode

Die erste Aufgabe lässt sich ebenso einfach wie sicher mit einer sogenannten Datendiode lösen. Wie der Name besagt, können und dürfen hier Daten grundsätzlich nur in eine Richtung fließen, womit ein Eindringen bzw. Rückfluss von schädlichen Daten grundsätzlich ausgeschlossen ist. Im einfachsten Fall könnte diese Dioden-Funktionalität durch eine entsprechend konfigurierte Firewall realisiert werden, die Daten nur in eine Richtung durchlässt. In der Praxis sind aber Firewalls hoch komplexe Software-Gebilde, die zumeist auf fremder, ebenso komplexer Hardware (Appliance) betrieben werden. Zusätzlich bietet auch das verwendete Betriebssystem noch eine Fülle an weiteren Angriffspunkten.

Die bessere Lösung sind daher bewusst einfach gebaute Lösungen, die nur die eine Aufgabe haben, Daten von einem Port zum anderen passieren zu lassen. Ein Datenfluss in die Gegenrichtung ist per Design ausgeschlossen. Solch eine Lösung basiert idealerweise auf einer speziellen Hardware mit einem minimalistischen, das heißt gut überschaubaren, speziell gehärteten Betriebssystem. Systeme, wie etwa die ‚Cyber-Diode‘ des deutschen Security-Experten Genua, werden seit vielen Jahren in hochsicheren Systemen für Militär und kritische Infrastrukturen (KRITIS) eingesetzt. Das Bild zeigt den Aufbau der Cyber-Diode als typischen Vertreter einer hochsicheren Datendiode. Auch die Referenzlösung der Namur Open Architecture (NOA) in der Prozessindustrie setzt in ihrer NOA Diode und in ihrem NOA Security-Gateway auf solch einen Lösungsaufbau als Referenz.

Mittels Datendioden wie der Genua Cyber-Diode und OPC UA ­können Daten secure by design und rückwirkungsfrei aus einem ­sicheren Produktionsnetzwerk ausgeleitet werden, z.B. für Big-Data-Analysen oder Predictive Maintenance. – Bild. Genua GmbH

Fernwartung: Bitte nur mit wirklich sicherem Zugriff

Für den aus Sicht der IT/OT-Sicherheit risikobehafteteren Fernwartungszugriff wird auch heute oft ein VPN-Tunnel von einem Rechner des Maschinenherstellers direkt durch das Netzwerk des Anlagenbetreibers zur Zielmaschine aufgebaut. Die Datenverbindung selbst ist dabei nach ihrem Aufbau durch Verschlüsselungsverfahren zwar gut gegen Angriffe von außen geschützt. Problematisch ist jedoch der Verbindungsaufbau zwischen Client und Server des VPN bzw. vom Computer oder Terminal des Wartungsdienstleisters zu der zu wartenden Anlage – also von außen nach innen. Denn aus Sicht der IT- Security sollte ein Verbindungsaufbau für die Fernwartung immer aus dem Betreibernetzwerk der zu wartenden Anlage heraus nach außen aufgebaut und kontrolliert werden – Security by Design. Zu beachten ist außerdem, dass durch diese Verbindung meist eine direkte Netzwerkkoppelung zwischen Warter und Betreiber entsteht, wenn keine weiteren Sicherheitsmaßnahmen getroffen werden. Es muss jedoch stets sichergestellt sein, dass die zur Wartung berechtigte Benutzer ausschließlich auf die zu wartende Zielanlage zugreifen können.

Seiten: 1 2Auf einer Seite lesen

Das könnte Sie auch Interessieren

Weitere Beiträge

OT-native Cybersicherheit

Die effektive Plattformen für Visibility und Cybersicherheit in OT-Netzwerken Dragos von dem gleichnamigen Unternehmen, gibt es in einer neuen Version, welche Anwendern einen noch tieferen und umfassenderen Einblick in alle Assets ihrer OT-Umgebungen gewährt.

mehr lesen
Bild: Dragos Global Headquarters
Bild: Dragos Global Headquarters
Neue Malware-Variante

Neue Malware-Variante

FrostyGoop, eine neue Malware-Variante, die auf industrielle Kontrollsysteme (ICS) spezialisiert ist, birgt Gefahren für kritische Infrastrukturen weltweit. FrostyGoop wurde im April 2024 von den OT- Cybersicherheitsexperten Dragos identifiziert und ist die erste ICS-spezifische Malware, die die Modbus-TCP-Kommunikation nutzt, um operative Technologien (OT) direkt anzugreifen und zu manipulieren.

mehr lesen
Bild: TXOne Networks
Bild: TXOne Networks
Security-Retrofit

Security-Retrofit

In vielen industriellen Maschinen laufen noch Industrie-PCs mit veralteter Technik. Da die Bedrohung für Produktionsumgebungen durch Cyberangriffe stark steigt, sollten die Unternehmen handeln. Die Hager Group hat die Cyberresilienz ihrer IPCs mit Technologie von TXOne gestärkt, um Sicherheitsbedingungen aufrechtzuerhalten und gleichzeitig die Einhaltung gesetzlicher Vorschriften zu gewährleisten.

mehr lesen
Bild: Tenable Network Security GmbH
Bild: Tenable Network Security GmbH
Angriffe vorhersehen und Cyberrisiken reduzieren

Angriffe vorhersehen und Cyberrisiken reduzieren

In den zunehmend vernetzten IT-, OT- und IoT-Umgebungen von heute gehen Cyberangriffe häufig von IT-Systemen aus und greifen dann mit potenziell verheerenden Folgen auf OT-Systeme über. Damit stehen Sicherheitsexperten immer öfter vor der Herausforderung, neben IT- auch OT- und IoT-Umgebungen schützen zu müssen. Ganzheitliche Exposure-Management-Plattformen wie Tenable One bieten umfassende Sichtbarkeit und handlungsorientierte Risikoanalysen, um die Sicherheitslage von Unternehmen nachhaltig zu stärken.

mehr lesen
Bild: Euchner GmbH + Co. KG
Bild: Euchner GmbH + Co. KG
Elektromechanische Zuhaltungen von Euchner

Elektromechanische Zuhaltungen von Euchner

Unter der Überschrift „Bewährtes bleibt sicher“ berichtete Euchner in der Titelstory des SPS-MAGAZINs vor zehn Jahren (Ausgabe 9/2014) über elektromechanische Zuhaltungen sowie die normativen Anforderungen bei ihrem Einsatz. Damals wie heute verhindern diese Sicherheitsbauteile den Zugang zur Gefährdung und schützen auch die Bearbeitung in der Maschine gegen eine Unterbrechung. Noch heute ist die klassische Zuhaltung eine gern genutzte Sicherheitsmaßnahme für Maschinen und Anlagen – auch wenn sich elektronische Ausführungen auf dem Vormarsch befinden.

mehr lesen