Fernwartungszugänge absichern
18. Juli 2018
Fernwartungen stellen in der Industrie eine kostengünstige und zeitsparende Alternative zu regulären Wartungen dar und die Komplexität der zunehmend „Smarteren“ Maschinen erfordert immer häufiger den „Remote Support“ durch den Maschinenhersteller. Diese Zugänge sind allerdings oft ein hohes Risiko, da sie oftmals nur unzureichend abgesichert sind. Dies macht sie derzeit zu einem der beliebtesten Angriffsziele. Erlangt ein Angreifer erstmal Zugang über einen Fernwartungspunkt, hat er anschließend meist weitreichenden Zugriff auf den Produktionsprozess, der unter Umständen auch nicht leicht zu erkennen ist.
Industrielle Anlagen geraten in zunehmendem Maße in den Fokus von Cyberkriminellen. Ob CrashOverride/Industroyer in der Ukraine oder TRISIS/TRITON/HATMAN im Mittleren Osten, längst geht es nicht mehr nur um einfache Spionage oder Erpressung, sondern auch um die gezielte Störung der Betriebsabläufe oder, wie im Fall von TRISIS, die Manipulation von Safety Elementen, die für den Schutz von Menschenleben verantwortlich sind. Unternehmensführungen zeigen sich besorgt – auch in Deutschland. In einer kürzlich von der Bundesdruckerei veröffentlichten Umfrage unter deutschen Maschinen- und Anlagenbauern gaben 57 Prozent der Befragten zu Protokoll, dass die Angst vor Cyberangriffen sie mittlerweile zu einer Drosselung der Digitalisierungsbemühungen und der Umstellung auf die Industrie 4.0 bewogen habe.
Ein schon länger ausgemachtes Einfallstor möglicher Cyberangriffe: der Zugriff über die Fernwartungssysteme. Die mit der Industrie 4.0 verbundene erhöhte Effektivität der digitalisierten, vernetzten und automatisierten Anlagen macht es erforderlich, die Produktionsanlagen, ihre Steuerungsprogramme und -verbindungen regelmäßig zu überprüfen und Telemetriedaten zu erfassen. Fernwartung stellt hier die effektivste und kostengünstigste – häufig auch die einzig praktikable – Wartungsvariante dar. Wartungstechniker sind häufig hochspezialisiert und müssen als externe Dienstleister von außerhalb auf die Anlage zugreifen können. In vielen Unternehmensführungen fürchtet man jedoch, dass eben diese Fernwartung auch optimale Voraussetzungen für Cyberkriminelle bietet, sich unbemerkt Zugriff auf die Anlage zu verschaffen
Einer Umfrage des Technologieverbandes VDE zufolge, sehen derzeit 49 Prozent der befragten Führungskräfte in ihren Fernwartungsverbindungen eine ernsthafte Bedrohung. Dabei gibt es längst Möglichkeiten, die Fernwartungszugänge so abzusichern, dass von dieser Seite kein größeres Risiko mehr droht.
Fernwartungsarchitektur vielerorts immer noch veraltet und ungeeignet
Bislang werden Fernwartungszugänge immer noch nur unzureichend geschützt. Meist findet die Fernwartung über simple Punkt-zu-Punkt-Netzwerkkopplungen statt. Dem Betreiber der Anlagen bietet sich praktisch keine Möglichkeit, den Zugriff des Fernwartungstechnikers und die Daten, welche über die Fernwartungsleitung transferiert werden, im Blick zu behalten. Angreifer oder Schadsoftware Infektionen wie WannaCry oder NotPetya können sich hier u.U. direkt oder über verwundbare Netzwerkprotokolle, wie SMB-Protokolle, verbreiten.
Bausteine einer sicheren Fernwartung
Um den Fernwartungszugang tatsächlich sicher zu machen, ist die Implementierung einer geeigneten Sicherheitsarchitektur erforderlich. Vor allem zwei Kriterien sind entscheidend: Sie muss sicherstellen, dass es sich beim Zugreifenden tatsächlich um den Fernwartungstechniker handelt und sie muss gewährleisten können, dass im Verlauf des Wartungsprozesses kein unrechtmäßiger Daten(ab)fluss erfolgt. Vertrauenswürdige Identitäten z.B. die des Technikers kann durch eine 2-Faktor-Authentifizierung auf dem Zugangsmedium des Technikers implementiert werden. Ein Zertifikat wird eingerichtet und dann, über die Eingabe zweier auf das Zertifikat zugeschnittener Zugangsdaten, freigeschaltet. Komplizierter gestaltet sich die Kontrolle des Datenverkehrs.
Kernstück einer sicheren Fernwartung
Zentrale Komponente einer sicheren Fernwartung ist der Jump-Host, der die Zugriffsrechte und Datenströme zwischen dem Wartungstechniker und den zu wartenden Anlagen regelt. Er wird zwischen den Techniker und die zu wartenden Anlagen geschaltet. Der Anlagenbetreiber kann dann ein Ticket über die anstehende Wartung einer Anlage an den Jump-Host senden. Gibt der Wartungstechniker die Nummer des Tickets beim Jump-Host ein, wird er nach Freigabe durch den Anlagenbetreiber weitergeleitet. So kann sichergestellt werden, dass kein Wartungstechniker eine unrechtmäßige Dauerverbindung zur Anlage unterhält, die ja auch von einem Hacker infiltriert werden könnte. Ähnliche Konzepte haben sich in der Praxis bereits bestens bewährt; zum Beispiel das von Telekom Security und Genua entwickelte Tool Industrial Access Protect Pro. Ein Rendezvous-Server, ein Managementportal und Verschlüsselungsinstanzen erlauben es hier dem Anlagenbetreiber, auch im Fall einer Fernwartung stets die volle Kontrolle über seine Datenströme und Anlagen zu behalten.
Um die Verbindung über den Jump-Host zusätzlich abzusichern, sollte zudem sichergestellt werden, dass eine Datenverbindung zur Anlage nur im ausgerufenen Wartungsfall vorliegt. So lässt sich das Risiko, dass Hacker sich doch einmal Zugriff auf eine Anlage verschaffen, noch einmal deutlich reduzieren. Ein Schlüsselschalter kann beispielsweise an die Steuerungssysteme einer Anlage angeschlossen werden. Erst wenn dieser dann betätigt wird, kommt es zum Aufbau einer Verbindung von der Anlage über ein Sicherheitsgateway zum Jump-Host, die dem dort wartenden Techniker dann die Zugriffsrechte bereitstellt. Das Sicherheitsgateway der Anlagen sollte dabei wiederum so aufgestellt sein, dass der Techniker nur die zu wartende Maschine, nicht aber andere Anlagen mit seinem Zugriffsrecht erreichen kann. Außerdem sollten stets alle Aktivitäten des Technikers überwacht, gespeichert und zusätzlich über Log-Daten aufgenommen werden.
So aufgestellt, ist der Betreiber einer Anlage jederzeit in der Lage, die Wartung seiner Produktion und der sie verwaltenden Systeme unter Kontrolle zu behalten. Zu weiteren Absicherung sollte er seine so aufgestellte Fernwartungsinfrastruktur allerdings noch an sein „Security Operations Center“ anschließen, in sein Security Life-Cycle Management einbeziehen und regelmäßig auf Patches überprüfen. Auch Backups der Prozessdaten vor jeder Fernwartung stellen eine sinnvolle Ergänzung dar. So aufgestellt, wird die Fernwartung für die Produktion zu einer sicheren Angelegenheit.
Fernwartung ist ein entscheidender Baustein der Industrie 4.0. An ihr kommt heute kein modernes Industrieunternehmen mehr vorbei. Mit Jump-Host und einer entwickelten Sicherheitsarchitektur ist es möglich, die Sicherheit der Fernwartung in den Griff zu bekommen – und damit einen Teilbereich der digitalisierten Produktionsanlagen, der Unternehmensführungen nach wie vor, aufgrund seiner Risiken, erhebliche Kopfschmerzen bereitet.
