Mit einem Strategiepapier thematisiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Cyber-Sicherheitslage von Betreibern industrieller Steuerungsanlagen. In einer dreiteiligen Serie aus Blogbeitragen stellen wir die BSI-Analyse vor, benennen mögliche Bedrohungsszenarien und empfohlene Gegenmaßnahmen (Teil 1 und Teil 2 zum Nachlesen).
Häufiges Ziel von Hackerattacken
Systeme zur Fertigungs- und Prozessautomatisierung – zusammengefasst unter dem Begriff Industrial Control Systems (ICS) – kommen in nahezu allen Infrastrukturen zum Einsatz, die physische Prozesse abwickeln. Sie werden von der Energieerzeugung und -verteilung über Gas- und Wasserversorgung bis hin zur Fabrikautomation, Verkehrsleittechnik und modernem Gebäudemanagement eingesetzt. Wie in der konventionellen IT auch sind sie das Ziel vielfältiger Cyber-Angriffe. Ein häufiger Angriffspunkt sind externe Zugänge für Wartungszwecke, die von Administratoren und Service-Technikern genutzt werden.
Für diese Bedrohungsszenarien benennt das BSI wirksame Gegenmaßnahmen, mit denen Unternehmen ihre Remote Access-Sicherheit erhöhen können. Die Maßnahmenliste fängt damit an, die im Auslieferungszustand konfigurierten Standardnutzer und Standardpasswörter eines Herstellers zu sperren und zu löschen. Nur sichere Authentisierungsverfahren wie zum Beispiel Pre-Shared-Keys, Zertifikate, Hardwaretoken, Einmalpasswörter und Mehr-Faktor-Authentisierung sollten eingesetzt werden. Und alle Übertragungswege müssen durch Verschlüsselungsverfahren wie SSL/TLS geschützt werden.
Weiter empfiehlt das BSI eine granulare Segmentierung der Netze zur Minimierung der „Reichweite“ von Fernzugängen. Am besten richten Organisationen dedizierte Zugriffspunkte für die Fernwartung in einer demilitarisierten Zone (DMZ) ein, so dass sich Dienstleister statt ins ICS-Netz zunächst in eine DMZ verbinden und von dort ausschließlich den benötigten Zugriff auf das Zielsystem erhalten. „Fernzugänge müssen immer über eine Firewall geführt werden, die den Zugang zum Zielsystem erteilt und überwacht. Dabei werden ausschließlich die zur Wartung erforderlichen IP-Adressen, Ports und Systeme freigegeben.“
Externer Zugriff — aber sicher
Eine Freischaltung von Fernzugängen durch internes Personal empfiehlt das BSI nur für die Dauer und den Zweck der Fernwartung. Während dieser Zeit sollten die Fernzugriffe zur Gewährleistung der Nachvollziehbarkeit vollständig protokolliert, die Logdaten anschließend ausgewertet und archiviert werden. „Alle Zugänge sind zu personalisieren“, so das BSI weiter. Konkret heißt das: „Verzicht auf Funktionskonten, die von mehreren Personen benutzt werden. Es wird nur eine Anmeldung pro Nutzer zur selben Zeit zugelassen.“ Die Durchführung von Audits für solche Systeme und Zugänge runden die Best-Practice-Empfehlungen ab.
Bomgar befolgt diese Sicherheitsempfehlungen durch Umsetzung der Remote-Access-Sicherheitsvorgaben für Architektur, Authentifizierung, Zugriffssteuerung und Auditierung. Bei SaaS-Remote-Support-Produkten wie GoToAssist und LogMeIn sind Firmen gezwungen, sensible Sitzungsdaten über Dritte zu routen. Zudem schränken sie ihre Möglichkeiten der Integration mit internen Systemen und Verzeichnissen erheblich ein. Die Bomgar-Appliance verbleibt dagegen hinter der Unternehmensfirewall und gewährleistet ohne die Nutzung von VPN-Technologie, dass die Daten sicher sind und sich potentiell infizierte Systeme von Drittanbietern nicht im firmeneigenen Netzwerk ausbreiten. Durch die Integration mit Identitätsmanagement-Protokollen (LDAP, Kerberos, Smartcard, RADIUS) wird es möglich, Remote-Access-Privilegien für alle Benutzer – einschließlich externer Anbieter – zentral zu verwalten.
Umfassende Produktpalette
Das Problem der Sitzungssicherheit löst Bomgar durch eine granulare Benutzerverwaltung, indem Unternehmen mit mehr als 50 verschiedenen Berechtigungen eine Feineinstellung des Zugriffsniveaus vornehmen können. So können sie beispielsweise den Zugriff eines Support-Mitarbeiters auf das System des Endbenutzers auf „schreibgeschützt“ beschränken. Dateiübertragungen können in nur einer Richtung oder auf nur ein Zielverzeichnis beschränkt werden. Einzelne Applikationen, wie z.B. CommandShell und RDP, lassen sich auch blacklisten, um ein Springen auf andere Netzwerkkomponenten zu verhindern. Für eine tiefgreifende Sicherheitsanalyse werden sämtliche Sitzungsvorgänge protokolliert. Verantwortliche erfahren, wer eine Verbindung zu welchem System hergestellt hat, wann die Sitzung stattgefunden hat und was während der Sitzung passiert ist. Sogar eine vollständige Videoaufzeichnung der gesamten Remote-Support-Sitzung ist möglich.
Und wie sieht die Umsetzung der Sicherheitsstrategie auf der Produktseite aus? Mit Bomgar Remote Support steht die marktführende Enterprise-Lösung für Remote Support zur Verfügung, die einen sicheren und ortsunabhängigen Support-Zugriff auf nahezu jedes IT-Gerät oder -System ermöglicht. Der Passworttresor Bomgar Vault unterstützt Unternehmen bei der Einhaltung von Sicherheits-, Compliance- und Produktivitätsvorgaben — Sicherheitsverantwortliche und IT-Administratoren erhalten schnelle und bleibende Kontrolle über privilegierte Anmeldedaten, können Passwörter sicher verwalten und gemeinsam genutzte Konten schützen. Bei Integration mit Bomgar Privileged Access oder Bomgar Remote Support können Anwender die Zugangsdaten auch direkt auf den Servern und Systemen mit nur einem Klick einspielen.