17.07.2024

Betrieb von undokumentierten Fernwartungszugängen

Cyber-Security ist ein sehr komplexes Thema. Durch die immer stärkere Vernetzung der Systeme von undokumentierten Fernwartungszugängen werden diese einerseits leichter beherrschbar, aber auch einfacher angreifbar. Nach BSI-Einschätzung bleibt die Bedrohungslage ohne wesentliche Auffälligkeiten auf anhaltend hohem Niveau. „Ohne wesentliche Auffälligkeiten“ bedeutet hier, dass die Gefährdung immer noch vorhanden ist, aber häufig gar nicht als solche wahrgenommen wird. Und genau das ist das Gefährliche daran.

Sowohl Kunden (Betreiber) als auch Dienstleister (Errichter) profitieren von der Möglichkeit, schnell aus der Ferne helfen zu können. Seit der Veröffentlichung der Norm DIN EN 50710 und der Technischen Spezifikation TS 50136-10 gibt es europaweit klare Regeln für einen „sicheren“ Remoteservice über IP-basierte Fernwartungszugänge.

Doch auch bei Einhaltung der Normen trügt diese Sicherheit. Gerade kleine und mittelständische Unternehmen sind besonders gefährdet, da sie oft weder eigenes Personal noch externe Dienstleister in ausreichenden Maßen beauftragen, um alle IT-Komponenten auf dem neuesten Stand zu halten. Sobald neue Patches für Server, Router, Switches oder andere Komponenten im Umfeld von IP-basierten Fernwartungszugängen veröffentlicht werden, wissen potenzielle Angreifer, wo die Schwachstellen der Systeme liegen und wie sie diese angreifen können. Diese Angriffe erfolgen nach dem Gießkannenprinzip. Sie erfolgen willkürlich und mitunter massenhaft, sodass potenziell jeder unmittelbar gefährdet ist.

Deshalb ist hier ein Umdenken notwendig. Erstens: Nicht alles, was technisch machbar ist, ist auch sicherheitstechnisch empfehlenswert. Das muss entsprechend an die Kunden kommuniziert werden. Hier ist vielfach noch Aufklärungsarbeit notwendig, um mögliche Schäden durch Cyberangriffe zu minimieren.

Zweitens: Komfort kostet. Wer Remote-Services anbietet, sollte auch die dafür notwendigen Kosten kennen, kalkulieren und dies den Kunden gegenüber offen kommunizieren und diese Kosten an den Kunden weitergeben.

Drittens: Überfordern Sie Ihre Mitarbeiter nicht. Jeder ist Spezialist auf seinem Gebiet, aber nicht jeder, der eine IP-Kamera installiert und in Betrieb nimmt, ist auch ein IP-Spezialist. Für die sichere Anbindung von Gefahrenmeldeanlagen (inkl. Video und Zutritt) bietet der BHE einen herstellerneutralen Remote-Service-Server (gemäß TS 50136-10) in einem einfachen, skalierbaren Preismodell an (Link unten).

Fazit:
Neben den technischen Aspekten von undokumentierten Fernwartungszugängen, spielt das Thema Cyber-Security eine immer größere Rolle. Angriffe auf solche Infrastrukturen erfolgen massenhaft und willkürlich. Daher ist eine Absicherung der Systeme unabdingbar.

Weiterführende Links:

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-222993-1031.pdf?__blob=publicationFile&v=2

https://www.bhe.de/der-bhe/sonderkonditionen/secure-plattform-fuer-bhe-mitglieder