BSI rät zu „kontrollierter“ Sicherheit

Da Systeme zur Prozesssteuerung, Fertigung und Automatisierung (ICS) mittlerweile ähnlichen Bedrohungen ausgesetzt sind wie konventionelle IT-Systeme, müssen sie ein hinreichendes Sicherheitsniveau erfüllen. Bei industriellen Fernwartungslösungen auf Basis von analogen oder ISDN-Modems sei dies nicht gegeben. Diese genügen genauso wenig dem aktuellen Stand der Technik wie eine direkte Internetanbindung von Komponenten – beispielsweise speicherprogrammierbaren Steuerungen – heißt es seitens des BSI.

Wildwuchs vermeiden

Besonders in größeren Infrastrukturen sei laut BSI eine einheitliche Lösung zu bevorzugen. Dies verringere einerseits die Anzahl der Angriffsvektoren und andererseits die Komplexität (kein „Wildwuchs“). Die Fernwartungskomponente selbst sollte sich möglichst in einer vorgelagerten Zone (DMZ) befinden und nicht direkt im Produktionsnetz lokalisiert sein. Wozu Fernwartungszugänge auf keinen Fall führen dürfen, ist, dass vorhandene Firewalls umgangen werden. Zumal sich Firewalls sogar dafür anbieten, erlaubte IP-Adressbereiche für eine Fernwartung festzulegen.

Eine weitere BSI-Empfehlung bei der Planung und Integration einer Fernwartungslösung betrifft die Granularität der Kommunikationsverbindungen: Der Fernwartungszugriff sollte möglichst nicht pauschal pro (Sub)Netz erfolgen, sondern vielmehr feingranular pro IP und Port geregelt werden können. Dies minimiere die „Reichweite“ von Fernwartungszugängen und beschränke somit auch die Folgen einer Kompromittierung. Ein möglicher Ansatz sei beispielsweise der Aufbau von 1:1-Verbindungen mittels SSH statt der Kopplung ganzer Netze durch IPsec.

Mindestens 192 Bit Schlüssellänge empfohlen

Der Fernzugriff sollte, sofern möglich, ausschließlich aus dem Unternehmen heraus initiiert werden können. Außerdem gelte es darauf zu achten, dass keine offenen Ports für einen Verbindungsaufbau von außen vorhanden sind. Alternativ könne man Fernwartungszugänge temporär aktivieren. Dies setze allerdings eine hinreichend sichere Authentisierung und einen aktuellen Patchlevel sowie organisatorische Prozesse zur Gewährleistung der anschließenden Deaktivierung voraus. Last but not least sollten die zur Fernwartung eingesetzten Komponenten nur diesem einen Anwendungszweck – Stichwort dedizierte Systeme – dienen und nicht mit anderen Funktionalitäten vermischt werden.

Um einen Tunnel zwischen zwei Endpunkten bzw. Netzen herzustellen, empfiehlt das BSI, ausschließlich auf etablierte Protokolle wie IPsec, SSH oder SSL/TLS in der jeweils aktuellsten Version zu setzen. Außerdem sollten aktuelle Meldungen zu Schwachstellen wie z. B. Heartbleed oder Poodle beachtet werden. Und bei den kryptographischen Verfahren zur Verschlüsselung gilt: Besser AES (Advanced Encryption Standard) mit mindestens 192 Bit Schlüssellänge als eine Verwendung der minimal empfohlenen Schlüssellänge. Denn 128 Bit bei AES sei angesichts der typischerweise langen Lebenszeiten nicht anzuraten. Die Stärke der verwendeten Schlüssel sollte aber ohnehin regelmäßig überprüft und gegebenenfalls angepasst werden.

Passwörter sind maximal Basisschutz

Was bei industriellen Fernwartungslösungen aus Sicherheitsgründen unbedingt zu vermeiden ist, sind Gruppenaccounts. Stattdessen sollte nur ein Benutzer pro Account vorgesehen werden. Das beste Sicherheitsniveau bei der Authentisierung von Nutzern bieten Zwei-Faktor-Verfahren, bei denen nicht nur Wissen (z. B. ein Passwort) sondern auch Besitz (z. B. X.509-Zertifikat) nachgewiesen werden muss. Besonders hoch ist das Sicherheitsniveau bei Hardware-basierten Lösungen wie Generatoren für Einmalpasswörter (One-Time Passwords), Smart Cards oder USB-Token, bei denen ein Kopieren der Hardwarekomponente ausgeschlossen ist. Die Verwendung solcher Mechanismen sei einer einfachen Authentisierung mittels Passwort in jedem Fall vorzuziehen.

Das Deutsche Bundesamt für Sicherheit in der Informationstechnik weist in seiner Empfehlung BSI-CS 108 sogar explizit darauf hin, dass die Verwendung von alleinig Passwort-basierten Authentisierungsverfahren nicht mehr als einen Basisschutz bieten kann. Sollte dennoch (nur) eine Passwort-basierte Authentisierung zum Einsatz kommen, brauche es zumindest eine entsprechende Policy, welche ein Mindestniveau der Passwortqualität sicherstelle. Im Dienste der Sicherheit hilfreich wären auch Mechanismen zur Detektion von Angriffen auf Passwort-basierte Authentisierungsverfahren (z. B. Brute Force oder Dictionary Angriffe).

Am Anfang steht die Risikoanalyse

Ein sicherer Fernzugriff kann niemals allein durch technische Maßnahmen gewährleistet werden. Es gibt auch eine Reihe organisatorischer Anforderungen, die bei der Integrations- und Betriebsphase einer Fernwartungslösung im industriellen Umfeld zu berücksichtigen sind – angefangen von einer formalen Risikoanalyse bis hin zu Patchprozessen für funktionale Industriekomponenten oder dem Logging & Alerting bei fehlgeschlagenen Anmeldeversuchen. Beim Betreiber der Anlage zu etablieren sind weiters Prozesse, die u. a. die Security-Vorgaben für eine Fernwartung durch Dritte (Hersteller, Integrator, etc.), die Freigabe von Verbindungen, Sperrungen (z. B. beim Ausscheiden von Mitarbeitern), Notfallprozeduren, Funktionsprüfungen oder den regelmäßigen Wechsel von Authentisierungsdaten regeln.

Im Rahmen eines Sicherheitsmanagements sollten sämtliche Fernzugriffsmöglichkeiten erfasst werden. Dies beinhaltet die Art des Zugangs, die betroffenen Systeme, die berechtigten Personen sowie die zugehörigen Vorgaben und Prozesse. Grundsätzlich sollten Remote-Zugänge nur bei Bedarf oder in einem definierten Wartungsfenster freigegeben werden. Die Aktivierung bzw. Deaktivierung ist zu protokollieren. Generell empfiehlt das BSI, nur die unbedingt erforderlichen Fernzugriffsmöglichkeiten zu implementieren. Wobei die Notwendigkeit eines Fernzugriffs durch den jeweiligen Verantwortlichen zu dokumentieren ist (business justification).