Interview So sicher sind die beliebtesten Remote-Service-Architekturen

Von Sebastian Human

Der VDMA untersuchte acht Fernwartungsarchitekturen hinsichtlich ihrer Vor- und Nachteile. Im Interview geht Markus Maier vom deutschen IT-Sicherheitsspezialisten Genua GmbH auf die spannendsten Erkenntnisse ein.

Anbieter zum Thema

In den untersuchten Fernwartungsarchitekturen kommen ausschließlich VPN-Verbindungen zum Einsatz, doch nicht alle sind gleich sicher, so Markus Maier.
In den untersuchten Fernwartungsarchitekturen kommen ausschließlich VPN-Verbindungen zum Einsatz, doch nicht alle sind gleich sicher, so Markus Maier.
(Bild: gemeinfrei/Genua GmbH / Pixabay )

Mit der Publikation Sichere Fernwartung veröffentlichte der VDMA kürzlich einen kompakten Leitfaden für den Maschinen- und Anlagenbau. In diesem beschreibt der Verband acht etablierte und neue Fernwartungsarchitekturen mit ihren Vor- und Nachteilen. Ein Gespräch zu den zentralen Inhalten mit Markus Maier, Mitautor und Product Owner Industrieprodukte bei der Genua GmbH.

Herr Maier, Sie sind Mitautor der aktuellen VDMA-Publikation Sichere Fernwartung. In dem Leitfaden werden verschiedene Varianten von Fernwartungsarchitekturen bewertet, wie sie heute von Maschinenherstellern und Betreibern eingesetzt werden. Was hat Sie an der Analyse überrascht?

Es gibt heutzutage immer noch Maschinen- und Anlagenbauer sowie Betreiber, die Zugriffe auf kritische Steuerungssysteme auf Basis schlecht gesicherter direkter VPN-Verbindungen realisieren. Sie betreiben damit eine gefährliche Netzkopplung zwischen dem Netzwerk des Fernwarters und dem Produktionsnetzwerk. Der Arbeitskreis empfiehlt hier eindeutig, auf sichere Lösungen mit expliziter Freischaltung einzelner Fernwarter für bestimmte Zielsysteme und Applikationen zu setzen.

Können Sie kurz zusammenfassen, welche Remote-Service-Architekturen betrachtet wurden? Wie sind diese aus Ihrer Sicht als IT-Sicherheitsexperte zu bewerten?

Die betrachteten Varianten lassen sich folgenden drei Gruppen zuordnen:

1. VPN direkt zum Zielsystem

2. Segmentierung und Separation durch Jump Hosts

3. Rendezvous-basierte VPN- und Firewall-Systeme

Dabei sind die Varianten der ersten Gruppe aufgrund der direkten Netzkopplung insbesondere aus Sicherheitsgründen nicht zu empfehlen. Einigkeit bestand im Arbeitskreis auch darüber, dass Fernwartungszugriffe über Jump Hosts für den Remote-Desktop-Zugriff zwar sicher umsetzbar sind, allerdings bei sehr schlechter Skalierung und hohen Wartungsaufwänden. Fernzugriffe über Rendezvous-basierte VPN- und Firewall-Systeme hingegen lassen sich für Maschinenhersteller und Anlagenbetreiber hochsicher und effizient umsetzen.

Das Ziel jeder Fernwartungsarchitektur ist es, eine sichere Verbindung vom

Maschinenhersteller bis zur Feldebene des Betreibers herzustellen. Lässt sich allgemein formulieren, welche grundlegenden Anforderungen an die IT- und OT-Security dabei immer zu berücksichtigen sind?

Beispiel einer Fernwartung mit Rendezvous-Konzept. Sichere Architekturen erlauben den Zugang für den Fernwartner nur von innen nach außen und auch nur zu einer Sicherheitszone.
Beispiel einer Fernwartung mit Rendezvous-Konzept. Sichere Architekturen erlauben den Zugang für den Fernwartner nur von innen nach außen und auch nur zu einer Sicherheitszone.
(Bild: Genua GmbH)

Aus Perspektive der IT-Sicherheit sollte man unbedingt darauf achten, dass Fernwarter nur Zugriff auf die benötigten Zielsystem-Applikationen erhalten – über sichere und speziell gehärtete Komponenten und nach Multi-Faktor-Authentifizierung. Zusätzlich sollten Applikationsfilter oder auch Application Level Gateways zur weiteren Trennung vorhanden sein. Alle Zugriffe müssen protokollierbar sein und am besten durch ein SIEM-System automatisiert überwacht werden. Im Betrieb ist aus Effizienz- und Sicherheitsgründen ein zentrales Management der erlaubten Fernwartungszugriffe unverzichtbar. Und zur nahtlosen Integration sollten gängige Authentifizierungsdienste unterstützt werden.

Für die Verbindung zwischen Maschinenhersteller und Betreiber kommen in allen betrachteten Architekturen Virtual Private Networks zum Einsatz. Wie beurteilen Sie diesbezüglich die weitere Entwicklung - auch im Hinblick auf das Zero-Trust-Paradigma?

Das Wesentliche ist die strikte Authentifizierung vor dem Zielsystem und der ausschließliche Zugriff auf die benötigten Zielsystem-Applikationen. Darüber hinaus sind nicht alle VPN-Technologien gleich sicher. Aufgrund unserer Erfahrung setzen wir auf SSH- und IPSec-basierte VPN. Bei TLS/SSL-basierten VPN werden regelmäßig gravierende Schwachstellen aufgedeckt.

In der Publikation werden auch drei cloud-basierte Rendezvous-Systeme betrachtet. Sie gelten als gut skalierbar und dem Stand der Technik entsprechend. Welche Vorteile und Risiken haben sie aus Sicht der IT-Security?

Aus IT-Security-Sicht ist die konkrete technische Umsetzung der Fernzugriffslösung entscheidend und nicht die Frage, ob das Rendezvous-System in einer Public Cloud gehostet wird. Unsere Software läuft auf unterschiedlichen Hardware-Varianten oder eben auch virtualisiert auf unterschiedlichen Hypervisors in der Cloud, im Netz der Herstellers oder im Netz des Betreibers.

Über die VDMA-Publikation

Mit der im Januar erschienenen Publikation „Sichere Fernwartung im Maschinen- und Anlagenbau“ hat der VMDA Beispiele von Fernwartungsarchitekturen erarbeitet, die aufzeigen, wie Maschinen- und Anlagenbauer einen sicheren Service aus der Ferne gewährleisten können. In dem Papier werden Anwendungsfälle mit Vor- und Nachteilen beschrieben und Bewertungen dazu abgegeben. Die Beispielsammlung ist gemeinsam mit Maschinenbauern, Systemanbietern und IT-Sicherheitsexperten entstanden.
Die Publikation ist für VDMA-Mitglieder kostenlos erhältlich.

Zum Download

Dieser Beitrag ist ursprünglich auf unserem Partnerportal MM Maschinenmarkt erschienen.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48023566)