So sicher sind die acht beliebtesten Remote-Service-Architekturen

Markus, Du bist Mitautor der VDMA-Publikation „Sichere Fernwartung“. In dem Leitfaden werden verschiedene Varianten von Fernwartungsarchitekturen bewertet, wie sie heute von Maschinenherstellern und Betreibern eingesetzt werden. Was hat Dich an der Analyse überrascht?

Es gibt heutzutage immer noch Maschinen- und Anlagenbauer sowie Betreiber, die Zugriffe auf kritische Steuerungssysteme auf Basis schlecht gesicherter direkter VPN-Verbindungen realisieren. Sie betreiben damit eine gefährliche Netzkopplung zwischen dem Netzwerk des Fernwarters und dem Produktionsnetzwerk. Der Arbeitskreis empfiehlt hier eindeutig, auf sichere Lösungen mit expliziter Freischaltung einzelner Fernwarter für bestimmte Zielsysteme und Applikationen zu setzen.

Könntest Du kurz zusammenfassen, welche Remote-Service-Architekturen betrachtet wurden? Wie sind diese aus Deiner Sicht als IT-Sicherheitsexperte zu bewerten?

Die betrachteten Varianten lassen sich drei Gruppen zuordnen:

• VPN direkt zum Zielsystem,

• Segmentierung und Separation durch Jump Hosts,

• Rendezvous-basierte VPN- und Firewall-Systeme.

Dabei sind die Varianten der ersten Gruppe aufgrund der direkten Netzkopplung insbesondere aus Sicherheitsgründen nicht zu empfehlen. Einigkeit bestand im Arbeitskreis auch darüber, dass Fernwartungszugriffe über Jump Hosts für den Remote-Desktop-Zugriff zwar sicher umsetzbar sind, allerdings bei sehr schlechter Skalierung und hohen Wartungsaufwänden. Fernzugriffe über Rendezvous-basierte VPN- und Firewall-Systeme hingegen lassen sich für Maschinenhersteller und Anlagenbetreiber hochsicher und effizient umsetzen.

Das Ziel jeder Fernwartungsarchitektur ist es, eine sichere Verbindung vom Maschinenhersteller bis zur Feldebene des Betreibers herzustellen. Lässt sich allgemein formulieren, welche grundlegenden Anforderungen an die IT- und OT-Security dabei immer zu berücksichtigen sind?

Aus Perspektive der IT-Sicherheit sollte man unbedingt darauf achten, dass Fernwarter nur Zugriff auf die benötigten Zielsystem-Applikationen erhalten, über sichere und speziell gehärtete Komponenten und nach Multi-Faktor-Authentifizierung. Zusätzlich sollten Applikationsfilter oder auch Application Level Gateways zur weiteren Trennung vorhanden sein. Alle Zugriffe müssen protokollierbar sein und am besten durch ein SIEM-System automatisiert überwacht werden. Im Betrieb ist aus Effizienz- und Sicherheitsgründen ein zentrales Management der erlaubten Fernwartungszugriffe unverzichtbar. Und zur nahtlosen Integration sollten gängige Authentifizierungsdienste unterstützt werden.

Für die Verbindung zwischen Maschinenhersteller und Betreiber kommen in allen betrachteten Architekturen Virtual Private Networks zum Einsatz. Wie beurteilst Du diesbezüglich die weitere Entwicklung - auch im Hinblick auf das Zero-Trust-Paradigma?

Das Wesentliche ist die strikte Authentifizierung vor dem Zielsystem und der ausschließliche Zugriff auf die benötigten Zielsystem-Applikationen. Darüber hinaus sind nicht alle VPN-Technologien gleich sicher. Aufgrund unserer Erfahrung setzen wir auf SSH- und IPSec-basierte VPNs. Bei TLS/SSL-basierten VPNs werden regelmäßig gravierende Schwachstellen aufgedeckt.

In der Publikation werden auch drei cloud-basierte Rendezvous-Systeme betrachtet. Sie gelten als gut skalierbar und dem Stand der Technik entsprechend. Welche Vorteile und Risiken haben sie aus Sicht der IT Security?

Aus IT-Security-Sicht ist die konkrete technische Umsetzung der Fernzugriffslösung entscheidend und nicht die Frage, ob das Rendezvous-System in einer Public Cloud gehostet wird. Unsere Software läuft auf unterschiedlichen Hardware-Varianten oder eben auch virtualisiert auf unterschiedlichen Hypervisors in der Cloud, im Netz der Herstellers oder im Netz des Betreibers.

Das Interview ist im Original erschienen am 18. März 2022 auf Industry of Things