genubox meets genucenter: genua bietet ein breites Industrial-Security-Portfolio, zu dem auch die Fernwartungslösung genubox gehört. Mit der Central Management Station genucenter werden die Sicherheitslösungen über ein einheitliches GUI konfiguriert, fortlaufend überwacht und administriert. (Quelle: genua)
Kommunale Energieversorger sind für die Grundversorgung ihrer jeweiligen Region mit Gas, Wasser, Strom und Fernwärme verantwortlich. Unter Umständen bieten sie zudem bundesweit Produkte und Dienstleistungen in den Bereichen Photovoltaik, Elektromobilität, Energieberatung und/oder Glasfaserausbau an. Eine Cyberattacke kann hier hohe Folgeschäden verursachen – und deren Wahrscheinlichkeit steigt, wie die Studie von Cyentia Institute und Rockwell Automation „Cybersecurity Incidents in Industrial Operations” (www.rockwellautomation.com/en-gb/campaigns/cyentiareport.html) belegt: Generell zeigt diese auf, dass die Zahl der OT/ICS-Cybersicherheitsvorfälle über den Zeitraum von 2021 bis 2023 die Gesamtanzahl der zwischen 1991 und 2000 gemeldeten Vorfälle übersteigt. Dabei verzeichnete der Energiesektor mit 39 % mehr als dreimal so viele Angriffe wie auf die nächsthäufig attackierten Branchen, nämlich Fertigung (11 %) und Transportwesen (10 %). Den IT-Experten und OT-Ingenieuren der Branche ist die wachsende Bedrohungslage durchaus bekannt. Entsprechend hohe Standards verfolgen Unternehmen bei der Modernisierung ihrer Informations- und Anlagensicherheit.
Anforderungen an Fernzugriffe
Für die modernen digitalisierten Energienetze ist ein performanter Fernzugriff zu Wartungszwecken essenziell. So lassen sich dadurch eine hohe Verfügbarkeit und Betriebssicherheit der Netze effizient gewährleisten. Aus der Perspektive der IT-Sicherheit sind Remote-Zugriffe allerdings immer kritisch. So zählen Fernwartungszugänge laut Bundesamt für Sicherheit in der Informationstechnik (BSI) zu den Haupteinfallstoren Cyberkrimineller. Kritis-Betreiber legen deshalb besonders hohe Maßstäbe an die Sicherheit von Fernwartungszugängen. Im Fall einer Erneuerung der Systeme stehen zumeist folgende Aspekte auf der Anforderungsliste:
- die Fernwartungsverbindung darf nicht dauerhaft bestehen und nur nach telefonischer Anforderung freigeschaltet werden,
- der Zugriff muss über moderne Zugriffsmethoden erfolgen,
- der Zugang muss hohe Anforderungen an die IT-Sicherheit erfüllen und
- das System muss eine hohe Flexibilität für unterschiedliche Einsatzszenarien bieten.
Zugriff nach dem Rendezvous-Prinzip
Das Rendezvous-Konzept der Fernwartungslösung genubox von genua basiert grundsätzlich auf der Idee, dass keine einseitigen, unkontrollierten und direkten Zugriffe eines Fernwarters auf lokale Systeme im internen Netz des Betreibers möglich sein dürfen. Letzterer muss immer die volle Kontrolle über den Zugriff auf sein Netz behalten. Stattdessen laufen alle Zugriffe über einen dedizierten Rendezvous-Server, der sich innerhalb einer demilitarisierten Zone (DMZ) befindet. Auf diesem Server „treffen“ sich zu einem verabredeten Zeitpunkt Servicetechniker und Anlagenbetreiber remote via verschlüsselter SSH-Verbindung. Erst nach Freischaltung des Rendezvous auf dem Server durch den Betreiber entsteht eine durchgängige Wartungsverbindung. Dann kann der Servicetechniker, über den SSH-Tunnel gesichert, die Maschine, Anlage oder das IT-System im internen Netz ansprechen.
Während des Wartungszugriffs gilt das Vier-Augen-Prinzip: Anlagenbetreiber können alle Aktionen der Wartungsservices live über die Bedienoberfläche mitverfolgen. Der Betreiber behält also jederzeit den vollständigen Überblick über Wartungsaktion, Zugriffszeitpunkt, Ziel und zugreifende Instanz. Eine Video-Aufzeichnungsfunktion und Logging erlauben zusätzlich die Dokumentation aller Wartungstätigkeiten. Die Rendezvous-Lösung gibt dem Kritis-Betreiber also die vollständige Kontrolle über Wartungszugriffe in das eigene Netz.
Höchstmögliche Sicherheit
Im Zusammenhang mit sicheren Fernwartungszugängen ist das Rendezvous-Konzept heute Stand der Technik. genua hat seine genubox darüber hinaus mit bewährten Sicherheits-Features und Security-by-Design-Prinzipien gehärtet und optimiert, um die besonderen Bedürfnisse von Unternehmen mit hohem Schutzbedarf zu adressieren. Ein aus Perspektive der IT-Sicherheitsarchitektur essenzieller Punkt ist dabei: Durch integrierte Firewall-Funktionen und eine hochverschlüsselte, authentisierte und port- bzw. anwendungsgenaue Punkt-zu-Punkt-Verbindung findet zu keinem Zeitpunkt eine Netzkopplung zwischen Fernwarter und Betreiber statt. genubox erfüllt darüber hinaus alle Anforderungen des BSI an sichere Fernwartungssysteme. Dies gewährleistet für Kritis-Betreiber die höchstmögliche Sicherheit für ihre Fernwartung.