Hallo zusammen, wie läuft das in der Industrie normalerweise ab, wenn der Maschinenlieferant per Fernwartung auf die Anlage zugreifen muss? Als Anlagenbetrieber möchte man ja so eine Anlage normalerweise nicht am Internet hängen haben und auch auf das interne Netzwerk sollte der Lieferant nicht zugreifen können. Als Möglichkeiten sehe ich ein speziell vorgesehenes Netzwerkkabel mit Internetzugang aber ohne Zugriff aufs interne Netzwerk, das im Supportfall eingesteckt wird, entweder an den Anlagenrechner oder an einen zusätzlichen Rechner. Alternativ einen USB-WLAN-Adapter, der ebenfalls nur im Supportfall angesteckt wird und die Anlage damit ins Gäste-WLAN eingewählt wird. Allerdings wäre die Anlage selbst (in beiden Varianten) ja dann auch noch im Firmennetzwerk (zur Datenablage) und damit das ganze ein Einfallstor, wenn auch nur kurzfristig während der Fernwartung. Das ganze dürfte ja eine ziemlich alltägliche Aufgabe sein, wer weiß, wie das typischerweise gelöst wird? Danke schonmal!
so aus dem hohlen Bauch: VPN, Firewall, VLAN, natuerlich ueber Zertifikate (sowohl Ziel als auch Quelle) gesichert.
Maxe schrieb: > Als Möglichkeiten sehe ich ein > speziell vorgesehenes Netzwerkkabel mit Internetzugang aber ohne Zugriff > aufs interne Netzwerk, das im Supportfall eingesteckt wird, entweder an > den Anlagenrechner oder an einen zusätzlichen Rechner. Je nach Ausprägung der Paranoia der hauseigenen IT wird das tatsächlich so gemacht. Der Rest der Welt nutzt virtuelle Netzwerke. Oliver
:
Bearbeitet durch User
Was viele solche Lösungen machen ist eine Art Bruch des Protokolls. Heißt, es geht nicht direkt per LAN vom Internet in den kritischen Steuerrechner, sondern ein vorgelagertes System setzt alles in z.B. RS-232 (oder was weiß ich, CAN, RS-485) um und kommuniziert darüber mit dem Steuerrechner. Dadurch bleibt der Steuerrechner von außen unsichtbar bzw. alles was so aus dem Internet/LAN angreifen könnte, schafft's nicht über das RS-232, weil es dort z.B. keine angreifbaren Ports oder andere Einfallstore dieser Art gibt.
:
Bearbeitet durch User
Maxe schrieb: > das im Supportfall eingesteckt wird, Schön, wenn nachts einer zum Anstecken da ist? Kannst Du zu 90% vergessen oder Kabel bleibt beim 3. Notfall immer angesteckt? Manchmal ist eigene DSL-Verbindung (VPN) und eine Kiste dazwischen eine Lösung? Man sollte allerdings auf Updates und gründlicher auf Logfiles achten ...
Danke schonmal für die Antworten. Vielleicht muss ich noch etwas konkretisieren, es geht um den Zugriff über Fernwartungssoftware wie Teamviewer, Anydesk usw. Mguard scheint mir ähnlich zu funktionieren, mit dem Unterschied der eigenen Hardware, dass also nicht der Anlagenrechner selbst das Internet sieht. Aber auch da würde sich mir die Frage stellen, wie man das Netwerk gegen Zugriff von außen schützt. Also dass der Lieferant über diese Verbindung nicht in das interne Netzwerk kommt. Oder vertraut man einfach dem mguard-System?
Maxe schrieb: > Aber auch da würde sich mir die Frage stellen, wie man das > Netwerk gegen Zugriff von außen schützt. Also dass der Lieferant über > diese Verbindung nicht in das interne Netzwerk kommt. Das sind Standardprobleme, für die es Standardlöungen gibt: Paketfilter, Applikationsgateways, SNAT/DNAT, Portweiterleitungen, VPNs,... Und es gilbt Leute, die Dir das gegen Einwurf von Geld erklären und auch praktisch unsetzen, und zwar besser, als es im Rahmen dieses Forums möglich ist. Ersteinmal musst Du diesen Leuten vertrauen. fchk
Lu schrieb: > Schön, wenn nachts einer zum Anstecken da ist? Kannst Du zu 90% > vergessen oder Kabel bleibt beim 3. Notfall immer angesteckt? ähh, entweder soll das System sicher sein und diese Verbindung wird nur von Leuten gesteckt, die auch verstanden haben was das bedeutet oder es ist sowieso egal was man macht. Faulheit findet immer einen Weg sich gegen Sicherheitsmaßnahmen durchzusetzen. Wir haben ein kritisches System mit Fernwartung. Das hat dafür zwei Netzwerkkarten und die beiden Netzwerkkabel sind so per Kabelbinder verbunden, daß immer nur internes Netz oder Fernwartungsnetz gesteckt sein kann. Alle anderen kritischen Systeme haben keine Fernwartung. Ja, das kostet mehr aber es gibt Risiken, die geht man einfach nicht ein.
Oliver R. schrieb: > Kabelbinder Ja, das klingt nach ausgefuchster IT-Sicherheit. Wer braucht schon VLANs, wenn’s ein Kabelbinder auch tut. Oliver
Oliver S. schrieb: > Wer braucht schon VLANs, wenn’s ein Kabelbinder auch tut. Da hat jemand nicht verstanden worum es geht. Ich hab noch keine VLan-Implementation gefunden, die sicherer als eine Airgap ist. Nur bequemer.
Früher, als die Welt noch in Ordnung war, da reichte ein Modem und pcAnywhere… die Zeiten sind aber lange vorbei. Es gibt spezielle Router, z.B. die MEP Boxen: https://www.intec-international.com/sicherer-remote-service/ Bei größeren Buden hat die IT die VPN Zugänge im Griff. Mittlerweile über Authenticator Apps, 2FA über Tokengenerator ist seltener geworden. Und es wird immer aufwändiger die Anforderungen an Cybersicherheit zu erfüllen, registrierte Benutzer/Endgeräte für das SDN, nur bestimmte Managed Switches, keine offenen Ports daran uvm.
Oliver R. schrieb: > und die beiden Netzwerkkabel sind so per Kabelbinder > verbunden, daß immer nur internes Netz oder Fernwartungsnetz gesteckt > sein kann. Sicher ist das nicht genügend sicher. Als z.B. der Sasser-Virus auftrat, reichte es ein ungepatchtes System ans Netz zu bringen. In 5 Minuten war es hinüber. Heute gibt es KI.
Wir handhaben das so: Es gibt keinen Zugriff für den Anlagenlieferanten. Wenn eine Fernwartung stattfinden muss oder wir Unterstützung benötigen, dann wird ein Teams-Termin erstellt und wir greifen über eine RDP-Verbindung auf einen Rechner im Fabrik-Netz zu. Von Dort aus geht es dann mit VNC oder NetSupport-Manger weiter auf die Anlage / vom Fabrik-PC ins Step 7 oder TIA. Der Lieferant bekommt im Teams die Steuerung übergeben und darf dann seine Wartung machen. Dabei wird gemonitort, was gemacht wird. Sollten Daten notwendig sein, werden diese im Teams abgeelgt, von uns geprüft und dann auf die Anlage übertragen. Der Lieferant hat Remote nichts auf einer Sicherheits-SPS zu suchen, da hat immer wer vor Ort zu sein und die Anlage zu beobachten. Messrechner und Robotersteuerungen werden auch nicht einfach mal so ohne Aufsicht in der Produktion angepasst. Alex
:
Bearbeitet durch User
J. S. schrieb: > Früher, als die Welt noch in Ordnung war, da reichte ein Modem und > pcAnywhere… die Zeiten sind aber lange vorbei. Nach dem Modem war sie noch immer in Ordnung, da stand beim Kunden ein Router mit ISDN-Einwahl. Deren System war natürlich eine Insel, vom Rest der Anstalt getrennt. Gerne genommen war zusätzlich eine physikalische Trennung, die Leitung wurde nur bei Bedarf auf Anforderung eingeschaltet. Heutzutage muss man per VPN über Internet kaspern, aber auch das muß nicht dauerhaft aktiv sein. Man kann es auch umdrehen, der Kunde baut bei Bedarf zu mir auf, nicht ich zu ihm. Egal wie, das ist ein Thema für erfahrene Leute und ... Frank K. schrieb: > es gilbt Leute, die Dir das gegen Einwurf von Geld erklären und auch > praktisch unsetzen, und zwar besser, als es im Rahmen dieses Forums > möglich ist
Ein port der Maschine (oder SPS) wird für Wartung konfiguriert, der zweite für das interne Netzwerk. Das VLan des internen wird bis auf die zwei Ports zugenagelt, die die SQL Datenbank braucht auf die er schreiben soll. Das Service VLan wird nur aktiviert, wenn es gebraucht wird und hat nur die Ports für remote und VNC offen. Der Service verbindet sich dann mit Teams/ Teamviewer/ RDP auf den Service Rechner. Der hat ein Monitoring laufen. Und das bleibt so. Ein Externer kann sich auch vor Ort nicht mit der Maschine verbinden. Sg
> wie läuft das in der Industrie normalerweise ab, wenn der > Maschinenlieferant per Fernwartung auf die Anlage zugreifen muss? Also es gibt sicher zwei extreme: 1. Man klemmt einfach an und schietegal. (heute eher ungewoehnlich) 2. Sagt dem Hersteller das man die Version ohne Internet will oder kauft woanders. Irgendwas dazwischen mag hier und da denkbar sein. Ich darf dir aber versichern das die Kunden die ich so kenne die Vorstellung das irgendjemand fremdes glaubt auf ihre Maschinen zugreifen zu muessen, schlicht absurd finden. Sowas ist hoechstens in Ausnahmefaellen zur Fehlerbehebung akzeptiert. Vanye
Vanye R. schrieb: > Ich darf dir aber > versichern das die Kunden die ich so kenne die Vorstellung das > irgendjemand fremdes glaubt auf ihre Maschinen zugreifen zu muessen, > schlicht absurd finden. Leider finden grad viele grosse Firmen (Bosch, Siemens, ...) das normal. Bei einem BHKW z.B. wurde versucht sich aus der Gewährleistung zu winden, wenn man nicht ständig online Zugriff auf alle Betriebsdaten habe. Bei eine Videoanlage wurde auf jeder Planungsbesprechung erwähnt, welche Arbeiten per Fernwartung durchgeführt werden und jedes Mal musste ich darauf hinweisen, daß es keinen Fernwartungszugriff gibt. Scheinbar kommen die normal damit durch.
Eine ausgehende ssh Verbindung zum Hersteller (DMZ, Shell) wenn es der Kunde will. Dann entsprechend Portweiterleitung wie man braucht. Ist sehr beliebt, weil keinerlei offene Ports beim Kunden.
:
Bearbeitet durch User
Thomas W. schrieb: > Eine ausgehende ssh Verbindung zum Hersteller (DMZ, Shell) wenn es der > Kunde will. Fuer viele Geraete ist eine Verbindung obligatorisch aus IT-Sicherheitsgruenden zur sofortigen Updateversorgung. Der Code muss dann auch verschluesselt sein, so dass keiner den Inhalt pruefen kann. Nur sind diese Firmen oft in Fernost und koennten damit auch Zeitpunktgenau unsere Versorgung abschalten, die Kommunikation auch.
:
Bearbeitet durch User
Maxe schrieb: > Als Anlagenbetrieber möchte man ja so eine Anlage normalerweise nicht am > Internet hängen haben Wenn man sich das so bei shodan.io anschaut sehen viele das nicht so eng. Kein Gefummel mit Passwörtern 😉
:
Bearbeitet durch User
Ich habe schon einiges gesehen.. Es gibt Hauptrechner mit Teamviewer, auf diesen sind für die Nebenrechner vnc shortcuts auf dem Desktop angelegt. Dazu gibt es in den Schaltschränken Remote-Schlüsselschalter. Die Fernwartung hat einen eigenes LWL direkt auf den Gateway, somit kann niemand irgendwo Schnüffeln.
Oliver R. schrieb: > Oliver S. schrieb: >> Wer braucht schon VLANs, wenn’s ein Kabelbinder auch tut. > > Da hat jemand nicht verstanden worum es geht. Ich hab noch keine > VLan-Implementation gefunden, die sicherer als eine Airgap ist. Nur > bequemer. Gegen deine Kabelbinder hilft ein beliebiges Messer oder sonstiges Werkzeug, gegen ein richtig aufgesetztes VLan macht ein normaler Mensch an der Maschine genau gar nichts. Was genau ist daran unsicher? Oliver Vanye R. schrieb: > Ich darf dir aber > versichern das die Kunden die ich so kenne die Vorstellung das > irgendjemand fremdes glaubt auf ihre Maschinen zugreifen zu muessen, > schlicht absurd finden. Sowas ist hoechstens in Ausnahmefaellen zur > Fehlerbehebung akzeptiert. Nun ja, wir sind im einundzwanzigsten Jahrhundert. Da ist Fernwartung übers Netz jetzt keine so ganz abwegige Einrichtung mehr. Und darum geht’s ja. Oliver
Oliver S. schrieb: > Gegen deine Kabelbinder hilft ein beliebiges Messer oder sonstiges > Werkzeug, gegen ein richtig aufgesetztes VLan macht ein normaler Mensch > an der Maschine genau gar nichts. Was genau ist daran unsicher? Du brauchst physikalischen Zugriff. Und wenn man den hat ist der Rechner sowieso gefallen. Dagegen muß ich nur eine Tür sichern, bei der VLan-Lösung muß ich die komplette Netzwerkinfrastruktur sichern. Was ist einfacher? KISS
Wir sind sogar gegen WLAN auf dem Betriebsgelände. Wenn ein Lieferant meint, er muss ein eigenes WLAN in der Industriehalle aufbauen um einmal im Jahr mit dem Laptop rumlaufen zu können, dann ist das nicht unsere Sache. Oliver S. schrieb: > Nun ja, wir sind im einundzwanzigsten Jahrhundert. Da ist Fernwartung > übers Netz jetzt keine so ganz abwegige Einrichtung mehr. Und darum > geht’s ja. Naja, und die ganzen Hacker immer einfallsreicher. Ob damals jemand geglaubt hätte das man Siemens Steuerungen in Atomkraftwerken hacken könnte.. die es nicht geglaubt haben, haben es auch so geschrieben. Lol
Rechner, die heute 100% und in 100 Jahren sicher sind, kenne ich noch nicht. Schon ausgelaufene Zertifikate machen genug Probleme.
Wir haben das als Lieferant immer sehr einfach gesehen. In SLAs war klar geregelt dass für bestimmte Service-Level Fernzugang möglich sein muss. Für manche Service-Level auf Zuruf, für höhere musste dauerhaft Zugang gewährt sein. Ob der Kunde bei Zuruf dafür losrennen und ein Kabel einstecken musste, Firewall-Freigaben einrichten oder einen Regentanz aufführen wollte war uns egal. Laut SLA lief die Zeit erst ab erfolgreichem Fernzugriff. Wie der "Zuruf" auszusehen hatte bestimmte der Kunde. Allerdings lehnten wir für diverse Methoden jegliche Haftung ab. Beispielsweise so Dinge wie "dann rufen sie den Herrn Meier an und sagen bescheid". Lustig waren die Kunden die für einen hohen Service-Level, für den wir dauerhaft Zugang brauchten, bezahlten aber den Zugang nicht bereitstellten. Easy Money für meinen Arbeitgeber, weil die entsprechende Leistung bezahlt wurde aber nie erbracht werden musste. Genau so wenn die Software zu alt war, weil entweder der Kunde nicht die Updates eingespielt hatte oder wir sie mangels Fernzugriff nicht einspielen konnten wenn sie raus kamen. War die Software aus der Wartung gab es keine Wartung, egal für welchen Service-Level der Kunde bezahlte. Um Salz in die Wunde zu streuen kostete es extra ein solches vergammelte System durch uns wieder auf den aktuellen Stand zu bringen. Stand auch so in den SLAs und wurde so durchgezogen. Fernwartung über Mobilfunk hat die Situation verbessert. Wenn es Mobilfunkempfang gab waren damit die gammeligen (W)LAN(s) und die Bastel-IT des Kunden raus. Der Kunde konnte den Zugang zwar noch ein- und ausschalten aber groß dran fummeln konnte er nicht mehr.
Lu schrieb: > Rechner, die heute 100% und in 100 Jahren sicher sind, kenne ich > noch > nicht. Schon ausgelaufene Zertifikate machen genug Probleme. So what. Oliver
Oliver S. schrieb: > Lu schrieb: >> Rechner, die heute 100% und in 100 Jahren sicher sind, kenne ich >> noch >> nicht. Schon ausgelaufene Zertifikate machen genug Probleme. > > So what. > > Oliver Wer Zertifikate nachmacht oder fälscht, oder nachgemachte oder gefälschte Zertifikate in Umlauf bringt, wird mit Verbindungsproblemen nicht unter zwei… Ausgelaufene stellen ein besonders Umweltproblem dar, nicht selten geraten die Überreste ins Grundwasser. Das wird des Öfteren mit dreieinhalb Monaten Ekelhaft geahndet.
Danke für die Beiträge, jetzt hab ich schon ein besseres Verständnis, "wie es da draussen so aussieht". Hatte zwar mehr auf eine etablierte Standardvorgehensweise gehofft, scheint aber doch eher alles vom einzelnen Kunden abzuhängen. Bei uns geht es nur um Fernwartung auf Zuruf, es ist also kein Problem, wenn ein Mitarbeiter erst ein Kabel anstecken muss. Nur muss es halt im Zweifelsfall dann auch zuverlässig funktionieren, also für alle Beteiligten überschaubar einfach bleiben.
Hannes J. schrieb: > Fernwartung über Mobilfunk Auch sowas sollte abschaltbar, bzw. bei Bedarf zuschaltbar sein. Es sind immer noch viel zu viele blauäugige im Bereich der kritischen Versorgungsstrukturen unterwegs.
Fernwartung funktioniert auch nur dann, wenn man aus der Ferne zuverlässig zugreifen kann. Dazu gehört auch, dass im Störfall evtl. ein zweiter Weg möglich ist, wenn z.B. der Strom an einer Komponente unterwegs fehlt. Ein Plan B schützt manchmal vor einem größeren Produktionsausfall?
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.