Der Fernzugriff auf Maschinen und Anlagen gilt in der Industrie heute als unverzichtbar – sei es für die Zustandsüberwachung, die Fernwartung oder die Datenausleitung für die Prozessopotimierung. Der dafür benötigte Remote-Zugang ist jedoch immer ein massiver Eingriff in die Sicherheitsarchitektur der Betriebstechnologie. Nicht selten entstehen dadurch potenzielle Einfallstore für Angreifer und Malware. Dies gilt umso mehr, wenn die Zugriffe auf kritische Steuerungssysteme auf Basis schlecht gesicherter direkter VPN-Verbindungen realisiert wurden. Was also tun? Der Artikel gibt einen Überblick über die aktuellen technologischen Entwicklungen bei Remote Access und ihre Auswirkungen auf die Security.
Unterschiede zwischen Monitoring und Fernwartung
Generell lassen sich bei Fernzugriffen zwei grundsätzliche Verfahren unterscheiden. Erstens sind dies reine Lesezugriffe (Monitoring), wie man sie zum Beispiel für Big-Data-Analysen oder vorausschauende Wartung (Predictive Maintenance) benötigt. Hierzu werden im Betrieb kontinuierlich Daten gesammelt bzw. ausgeleitet. Dabei ist in der Regel der Datenfluss nur in eine Richtung notwendig, wodurch diese Zugriffe bezüglich Integrität und Verfügbarkeit von Anlagen relativ unkritisch sind.
Davon zu unterscheiden sind klassische Wartungs- bzw. Reparatureingriffe (Remote Maintenance, Remote Service), bei denen der ausführende Techniker temporär Zugriff auf ganze oder Teilfunktionen einer Maschine hat. Es liegt auf der Hand, dass diese Zugriffe von außen auf Maschinen und Anlagen im Betreibernetzwerk gut abgesichert sein müssen. Störungsfreier Betrieb (Verfügbarkeit der Maschine) und Schutz vor Sabotage durch Dritte (Cybersecurity) müssen hier immer gewährleistet sein. Dementsprechend haben sich für die unterschiedlichen Schutzziele in der Praxis auch verschiedene Schutzmechanismen etabliert.
Sichere Einbahnstraße fürs Monitoring: Die Datendiode
Die erste Aufgabe lässt sich ebenso einfach wie sicher mit einer sogenannten Datendiode lösen. Wie der Name besagt, können und dürfen hier Daten grundsätzlich nur in eine Richtung fließen, womit ein Eindringen bzw. Rückfluss von schädlichen Daten grundsätzlich ausgeschlossen ist. Im einfachsten Fall könnte diese Dioden-Funktionalität durch eine entsprechend konfigurierte Firewall realisiert werden, die Daten nur in eine Richtung durchlässt. In der Praxis sind aber Firewalls hoch komplexe Software-Gebilde, die zumeist auf fremder, ebenso komplexer Hardware (Appliance) betrieben werden. Zusätzlich bietet auch das verwendete Betriebssystem noch eine Fülle an weiteren Angriffspunkten.
Die bessere Lösung sind daher bewusst einfach gebaute Lösungen, die nur die eine Aufgabe haben, Daten von einem Port zum anderen passieren zu lassen. Ein Datenfluss in die Gegenrichtung ist per Design ausgeschlossen. Solch eine Lösung basiert idealerweise auf einer speziellen Hardware mit einem minimalistischen, das heißt gut überschaubaren, speziell gehärteten Betriebssystem. Systeme, wie etwa die ‚Cyber-Diode‘ des deutschen Security-Experten Genua, werden seit vielen Jahren in hochsicheren Systemen für Militär und kritische Infrastrukturen (KRITIS) eingesetzt. Das Bild zeigt den Aufbau der Cyber-Diode als typischen Vertreter einer hochsicheren Datendiode. Auch die Referenzlösung der Namur Open Architecture (NOA) in der Prozessindustrie setzt in ihrer NOA Diode und in ihrem NOA Security-Gateway auf solch einen Lösungsaufbau als Referenz.
Fernwartung: Bitte nur mit wirklich sicherem Zugriff
Für den aus Sicht der IT/OT-Sicherheit risikobehafteteren Fernwartungszugriff wird auch heute oft ein VPN-Tunnel von einem Rechner des Maschinenherstellers direkt durch das Netzwerk des Anlagenbetreibers zur Zielmaschine aufgebaut. Die Datenverbindung selbst ist dabei nach ihrem Aufbau durch Verschlüsselungsverfahren zwar gut gegen Angriffe von außen geschützt. Problematisch ist jedoch der Verbindungsaufbau zwischen Client und Server des VPN bzw. vom Computer oder Terminal des Wartungsdienstleisters zu der zu wartenden Anlage – also von außen nach innen. Denn aus Sicht der IT- Security sollte ein Verbindungsaufbau für die Fernwartung immer aus dem Betreibernetzwerk der zu wartenden Anlage heraus nach außen aufgebaut und kontrolliert werden – Security by Design. Zu beachten ist außerdem, dass durch diese Verbindung meist eine direkte Netzwerkkoppelung zwischen Warter und Betreiber entsteht, wenn keine weiteren Sicherheitsmaßnahmen getroffen werden. Es muss jedoch stets sichergestellt sein, dass die zur Wartung berechtigte Benutzer ausschließlich auf die zu wartende Zielanlage zugreifen können.
Analog gilt dies für Funkmodem-Gateways: Auch hier sind die Ports der Netzwerkverbindung im Wartungsbetrieb öffentlich ‚von außen‘ zugänglich und können so angegriffen werden. VPN-Verbindungen direkt ins Zielsystem sollten aus Sicherheitsgründen grundsätzlich vermieden werden. Segmentierung und Separation durch zwischengeschaltete Systeme, sogenannte Jump-Hosts, bringen zwar zusätzliche Sicherheit, müssen aber aufwändig konfiguriert und gewartet werden. Sie skalieren sehr schlecht und erfordern viel Knowhow und Ressourcen beim Anlagenbetreiber, so dass im Normalfall davon abzuraten ist. Leider werden solche Sicherheitsarchitekturempfehlung in der Praxis immer wieder missachtet und Hackern und Spionen durch offene Ports oder Konfigurationsfehler Tür und Tor geöffnet.
Stand der Technik ist die Rendezvous-Architektur
Stand der Technik bei Fernwartung ist die Nutzung eines Rendezvous-Servers, der keine einseitigen Zugriffe von Wartungsdienstleistern in das Netz des Anlagenbetreibers zulässt. Stattdessen treffen sich Fernwarter und Anlagenbetreiber zum Verbindungsaufbau auf einem Rendezvous-Server, der in einer demilitarisierten Zone (DMZ) steht. Diese liegt zwischen den Fronten einer Firewall, die entweder beim Servicedienstleister oder beim Anlagenbetreiber stehen kann. Erst wenn beide Partner auf dem Server einem Rendezvous zustimmen, wird die Datenverbindung für den VPN-Tunnel freigeschaltet und die Wartungszugriffe können stattfinden. Da beide Zugriffe für den Verbindungsaufbau in der DMZ von Service- und Anlagenbetreiber bis in die DMZ hinein jeweils von innen nach außen laufen, müssen keine (angreifbaren) Ports für eingehende Verbindungen geöffnet werden. Für eine zusätzliche Absicherung sind Schlüsselschalter branchenüblich, mit denen die beim Anlagenbetreiber oder direkt an den Maschinen stehenden VPN-Endpunkte bzw. Gateways elektrisch abgeschaltet werden können. Im Gegensatz zu Jump-Host-Lösungen lassen sich Rendezvous-Server-Lösungen gut skalieren. Durch ein Application Level Gateway in der Rendezvous-Lösung wird eine vollständige Protokolltrennung analog zu Jump-Server-Lösungen erreicht. Rendezvous-basierte Lösungen können bei entsprechender Leistungsfähigkeit eine praktisch beliebige Zahl von Verbindungen zu unterschiedlichen Endpunkten bedienen. Ein Gerätehersteller kann so viele Verbindungen zu unterschiedlichen Maschinen bei einem oder auch mehreren Servicekunden aufbauen. Umgekehrt kann auch ein Anlagenbetreiber in seinem Netzwerk einen zentralen Rendezvous-Server für mehrere Maschinen oder auch Hersteller bzw. Serviceanbieter einrichten.
Die Zukunft liegt in der Cloud
Rendezvous-Server lassen sich auch als reine Softwarelösung in einer Cloud implementieren (Bild unten). Damit können komplette Fernwartungslösungen beliebig skalierend as-a-Service angeboten werden. Zu beachten ist dabei, dass eine Sicherheitslösung, die in einer Cloud gehostet wird, nicht sicherer sein kann, als die jeweilige Cloud bzw. ihr Zugang selbst. Zu berücksichtigen ist außerdem, dass man sich dabei immer in eine gewisse Abhängigkeit (Lock-In) zum Anbieter begibt. Angesichts der leichten Erweiterbarkeit und unbegrenzten Skalierbarkeit entscheiden sich trotzdem immer mehr Anlagenbetreiber und Wartungsanbieter für Cloud-Lösungen. Generell ist es wichtiger, auf die Kompetenz und Erfahrung des Anbieters und die Qualität der Lösung zu achten, als darauf, ob es sich um eine Cloud- oder eine Appliance- (Geräte-) Lösung handelt. Von Vorteil ist es, wenn eine Remote-Maintenance-Lösung in beiden Versionen verfügbar ist, so wie dies etwa bei der Genubox von Genua der Fall ist. Dann können sich Serviceanbieter und Anlagenbetreiber von Fall zu Fall für die jeweils am besten passende Lösung entscheiden.
Mehr Sicherheit durch Zero Trust
Zero Trust kann helfen, die Anlagensicherheit weiter zu erhöhen. So basiert der Ansatz des Software Defined Perimeter auf einer Absicherung des Zugangs zu einzelnen Diensten anstelle der Absicherung kompletter Netze. Zusätzliche Sicherheit entsteht dadurch, dass erst einmal niemandem vertraut wird. Jeder Nutzer eines Dienstes muss sich immer vorab authentifizieren, um jeweils gerade die Rechte bzw. Privilegien zu erhalten, die er für seine spezifische Aufgabe benötigt. Diese werden fein granuliert zugewiesen, was möglichst ein zentrales Managementsystem mit Schnittstelle zur Automatisierung übernimmt. Zum Beispiel erhält ein Fernwarter über den im Rendezvous-Server liegenden Software Defined Perimeter eben nur Zugriff auf diejenigen Dienste, die er zur Ausführung seiner Aufgaben benötigt. Dies können beispielsweise ein Desktop, ein Terminal oder auch ausgewählte Ports der zu wartenden Maschine sein. Zusätzliche Sicherheit bringen starke Authentifizierung etwa durch Mehrfaktor-Autorisierung und starke Identitäten mit einem dedizierten Identitätsmanagement. Auch dieses dürfte künftig zentral und gut skalierbar und überall verfügbar in einer Cloud erfolgen. Aktuelle Fernwartungssysteme wie etwa die Genubox unterstützen bereits heute Identitätsmanagementsysteme wie Azure AD oder Okta.
