Kind! Lass keine Fremden rein!

Gastbeitrag – 10 Gebote der IT-Sicherheit

Sei einzigartig!
Passwörter dienen dazu, jemanden zuverlässig zu identifizieren. Sehr kritisch und hoch bedroht sind Fernwartungszugänge, die ohne Passwort oder mit Standard-Zugangsdaten (Werkseinstellungen) konfiguriert sind.

Empfehlung
Vereinbare in Verträgen, dass nur individuelle Zugangsdaten (Passwort, Login) verwendet werden dürfen. Etabliere organisatorische Maßnahmen (z. B. Abnahmeprotokoll) und kontrolliere regelmäßig.

Richte Brandabschnitte ein!
Über unbeschränkte oder unzureichend beschränkte Fernwartungszugänge können Manipulationen in anderen Systemen oder weiteren Netzen möglich werden. Bei unbefugten Zugriffen können Leib und Leben der Bediener bedroht sein (Safety-Problem).

Empfehlung
Minimiere die Reichweite von Fernzugängen durch granulare Segmentierung der Netze und Abschottung der Segmente durch Firewalls.

Sei verschlossen!
Über das Internet erreichbare Netze und Geräte sind stets einer höheren Gefährdung ausgesetzt. Verwundbar sind auch Systeme, bei denen Updates nie oder nicht zeitnah möglich sind.

Empfehlung
Bevorzuge ausgehende Verbindungen über eigene VPNs oder Dienste wie den INSYS Connectivity Service. Schütze öffentliche Zugänge durch Firewall-Router. Erlaube nur zum Betrieb notwendige Ports (zu IP-Adressen) und Protokolle.

Lass keine Fremden rein!
Firewalls schützen ein sicheres Netzwerk vor Übergriffen aus einem unsicheren Netzwerk und ermöglichen einen autorisierten Zugriff aus dem LAN auf öffentliche Dienste / Netzwerke (WAN).

Empfehlung
Erlaube Datenpakete durch Firewall-Regeln nach dem Prinzip „Verbiete alles, erlaube Notwendiges“. Gewähre durch MAC-Filter nur Geräten mit autorisierten MAC-Adressen den Zugang zum Netzwerk.

Lass dich nicht aus dem Haus locken!
Wie bei Weblinks in E-Mails können auch bei Verbindungsanforderungen „Freund oder Feind“ nicht immer unterschieden werden.

Empfehlung
Reagiere auf keinen Verbindungsversuch unbekannter Teilnehmer! Lege fest, wer mit wem Daten austauschen darf. Lehne alle Geräte ab, die sicherheitsrelevante Informationen der Gerätekonfiguration (Passwörter, Logins, Zertifikate) in unverschlüsselte Backups schreiben.

Frage nach der Parole!
Im Gegensatz zur Passwortabfrage an einer einzigen Stelle, erzielen mehrstufige Sicherheitsbarrieren einen deutlich höheren Beitrag zur Abwehr von bösartigen Kommunikationspartnern.

Empfehlung
Bevorzuge voneinander unabhängige Massnahmen: Erlaube einen Verbindungsaufbau nur mit zertifikatbasierter Authentisierung und fordere verschlüsselte Datenübertragung. Schreibe vor, dass das „Gerät hinter dem Router“ zum Login ein sicheres Passwort fordert.

Kontrolliere Dienstboteneingänge!
Bedrohungen kommen aus öffentlichen Netzen und „von innen“. Konfigurierbare Netzwerkports und Portsecurity-Funktionen sind wichtige Schutzmassnahmen.

Empfehlung
Dokumentiere alle Fernwartungszugänge. Untersage Backdoors vertraglich. Überwache aktive Ethernet-Ports und schalte ungenutzte ab. Protokolliere erfolglose Loginversuche. Versende Meldungen (SMS, E-Mail, SNMP-Trap) z. B. bei Loginversuchen, Konfigurationsänderungen, Netzwerkkabel gesteckt.

Leiste dir eine Schmutzschleuse!
Eine weitere Gegenmaßnahme ist eine demilitarisierte Zone (DMZ). Zugriffspunkte für Fernwartung in einer DMZ bewirken, dass sich externe Mitarbeiter, Dienstleister und Geräte für M2M-Kommunikation erst in die DMZ verbinden und dann von dort aus nur den benötigten Zugriff ins Steuerungsnetz erhalten. Dabei isoliert die DMZ die Netzwerke (LAN, WLAN) durch Firewalls voneinander.

Empfehlung
Leiste dir eine DMZ.

Verkehre nur mit sicheren Partnern!
Ziel ist die abhör- und manipulationssichere Kommunikation. Deshalb ist Verschlüsselung ein „Muss“. Virtuelle private Netzwerke schaffen geschlossene Benutzergruppen und stellen die Erreichbarkeit von Mobilfunk-Clients sicher.

Empfehlung
Bevorzuge ausgehende Verbindungen über eigene VPNs oder VPN-Dienste auf deutschen Servern, wie dem INSYS Connectivity Service. Verweigere Nichtautorisierten den Verbindungsaufbau durch zertifikatbasierte Authentifizierung.

Wasch dir die Hände!
Jeder installierte und gestartete Dienst stellt ein Sicherheitsrisiko dar. Ein Werksreset muss restlos alle sicherheitsrelevanten Daten wie Konfigurationen, Logfiles, Zugangsdaten und Sicherheitszertifikate löschen.

Empfehlung
Halte auch Feldgeräte durch Updates aktuell. Bevorzuge Geräte mit gehärtetem Betriebssystem wie z. B. von INSYS icom. Erlaube nur Geräte die beim Werksreset alle sicherheitsrelevanten Daten löschen.

INSYS icom
Industrielle Datenkommunikation

Die industrielle Datenkommunikation revolutioniert die Wirtschaft. Entfernungen bei der Kommunikation zwischen Geräten und Systemen über weite Strecken spielen keine Rolle mehr. Der Anwender hat in Echtzeit die gewünschte Transparenz. Er kann sofort handeln. Das spart Zeit, hält die Kosten niedrig und ermöglicht eine hohe Produktivität.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht.

neunzehn − 13 =