Fernwartung für Kritische Infrastrukturen

0
2512
Teile der IT-Systeme der Deutschen Rentenversicherung sind als Kritische Infrastruktur (KRITIS) klassifiziert und haben einen besonders hohen Schutzbedarf. (Foto: BS/Deutsche Rentenversicherung Baden-Württemberg)

Fernwartung für eine Kritische Infrastruktur (KRITIS)? Eine heikle Sache. Die Deutsche Rentenversicherung zeigt, wie die Fernwartung für die als KRITIS klassifizierten IT-Systeme machbar ist und den höchsten Sicherheitsanforderungen gerecht wird.

Von Martin Ortgies*

“In unserem Organisationsbereich möchten etwa 50 verschiedene Hersteller via Internet auf installierte Systeme zugreifen, um diese aus der Ferne zu warten. Das ist unter KRITIS-Bedingungen eine große sicherheitstechnische Herausforderung”, beschreibt Tobias Birk, Leiter des Security-Bereichs der Deutschen Rentenversicherung Baden-Württemberg (Dt.Re.Vers.) die Ausgangssituation. Die Träger der Deutschen Rentenversicherung aus fünf Bundesländern betreiben in Würzburg ein gemeinschaftliches Rechenzentrum. An den Standorten der Träger werden unterschiedlichste IT- und Techniklösungen betrieben, von der Laborausstattung in Kliniken über die Aufzugssteuerung in der Gebäudetechnik bis zur Office-IT für die Versichertenadminis­tration.

Anforderungen eines KRITIS-Unternehmens

“Wir benötigen eine sichere Lösung, vergleichbar der in der analogen Welt”, nennt Birk die Herausforderung. Er erläutert dies am Beispiel des Vor-Ort-Einsatzes von Service-Technikern, wie er früher üblich war. Der Techniker musste sich persönlich zunächst beim Empfang melden. Ein IT-Mitarbeiter der Deutschen Rentenversicherung überprüfte seine Identität und Berechtigung und begleitete ihn zur Anlage. Jeder Schritt des Technikers wurde persönlich überwacht. “Unberechtigte Personen hatten keine Chance. Auch wenn sie es bis zum Empfang geschafft hatten, konnten sie nicht unkontrolliert in das gut abgesicherte Haus hinein”, formuliert der IT-Security-Spezialist den Anspruch für eine sichere Fernwartungs-Lösung.
“Fernwartung über externe Netze oder durch Dritte ist besonders kritisch”, so das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Kapitel “Absicherung von Fernwartung” des IT-Grundschutz-Katalogs. “Die BSI-Regeln waren für uns die Grundlage des Pflichtenhefts der Fernwartungs-Lösung. Auf die revisionssichere Aufzeichnung auch per Video und die Umsetzung eines Vier-Augen-Prinzips haben wir besonderen Wert gelegt. Außerdem soll unser Mitarbeiter die Fernwartungs-Session jederzeit unterbrechen können”, listet Birk die Forderungen auf.

Es wurde zunächst eine Marktanalyse und Bewertung relevanter Fernwartungs-Lösungen durchgeführt. Am Ende blieben zwei Anbieter zur Auswahl. In einem Proof of Concept wurden die Lösungen der beiden Anbieter unter realen Bedingungen mit drei Mandanten simuliert und rund drei Monate lang getestet. Die Entscheidung fiel zugunsten der Fernwartungs-Lösung des deutschen IT-Sicherheitsunternehmens genua GmbH. Die Tests hatten bestätigt, dass die Lösung alle Muss-Kriterien erfüllt und sich auch im Betrieb bewährt.

Zentrales Sicherheitselement der Lösung von genua ist das sogenannte Rendezvous-Konzept. Dabei werden keine einseitigen Fernwartungs-Zugriffe in das Netz der Dt.Re.Vers. erlaubt. Alle externen Verbindungen erfolgen über einen Rendezvous-Server, der in einer Demilitarisierten Zone (DMZ) neben der Firewall installiert ist. Sowohl der externe Wartungs-Techniker als auch der interne Mitarbeiter der Dt.Re.Vers. bauen zu einem verabredeten Zeitpunkt Verbindungen zum Server auf. Diese werden als stark verschlüsselte und authentisierte Punkt-zu-Punkt-Verbindungen über einen VPN-Tunnel erzeugt. Erst mit dem Rendezvous auf dem Server entsteht die durchgängige Wartungsverbindung. Eine direkte Netzkoppelung findet nicht statt. Durch die Rendezvous-Lösung behält die Dt.Re.Vers. die vollständige Kontrolle über die Wartungszugriffe in ihre Netze.

Einheitliche Lösung

“Mit dem genucenter als Management-Station administrieren wir alle Fernwartungs-Elemente an einer zentralen Stelle. So ist es relativ einfach, den Status im Blick zu behalten oder zusätzliche Hardware einzubinden”, berichtet Tobias Birk. Der IT-Security-Spezialist arbeitet in Stuttgart, das Rechenzentrum befindet sich in Würzburg und die “fernzuwartenden Systeme” befinden sich in Bayern, Baden-Württemberg, Rheinland-Pfalz, Saarland und Hessen.
Für diese verteilten Strukturen benötigte die Dt.Re.Vers. ein differenziertes Rollenkonzept, um die Erfordernisse mehrerer rechtlich eigenständiger Nutzer erfüllen zu können. So erhalten die einzelnen Sicherheitsbeauftragten bei einem Audit nur Zugriff auf die Daten ihres Mandanten. Für die Vervollständigung der Fernwartungs-Lösung hatte die Dt.Re.Vers. noch weitere Anforderungen. Dazu gehörte die Möglichkeit, die Option eines Datentransfers konfigurierbar zu gestalten, um hier flexibel zu sein. “Genua hat die Change Requests angenommen und nach unseren Wünschen umgesetzt”, so Birk. “Die Unterstützung und der Support von genua sind gut. Bei Bedarf haben wir immer einen Ansprechpartner und nicht nur ein anonymes Web-Ticket-System. Wenn es dringend ist, können wir weitere Eskalationsstufen nutzen.”

Volle Kontrolle

Die beteiligten Mitarbeiter der Dt.Re.Vers. mussten sich zunächst mit dem neuen System vertraut machen. Der Tenor war schließlich sehr positiv, weil die neue Lösung für alle Anwendungen einheitlich ist. Zusätzlich können Admins einzelne Details regeln wie den Aufbau der SSH-Verbindung über Tools wie Putty oder mit einem Viewer von genua. Der externe Wartungszugriff lässt sich über die Management-Station zudem auf bestimmte Bereiche oder einzelne Systeme einschränken. “Das ist wie früher die Kontrolle durch den Wachdienst. Wir definieren ein elek­tronisches Wachbuch und wissen jederzeit, wer noch anwesend ist und was er macht”, fasst Birk die Möglichkeiten zusammen.

Der Betrieb dieser zentralen Lösung erfolgt innerhalb der Region Süd/Südwest der Dt.Re.Vers. bzw. im RZW-Verbund gemäß dem hier vorherrschenden Kooperationsmodell. Der Kontakt zu den externen Herstellern und Dienstleistern wird über einen Single Point of Contact zur Verfügung gestellt. Das Konzept ist völlig transparent. Alle autorisierten Benutzer und ihre Berechtigungen sind in einer Auftragsdatenbank registriert. Die externen Partner reagierten auf die neue Lösung zunächst sehr zurückhaltend. Der Hinweis auf die KRITIS-Anforderungen sorgte für mehr Verständnis. Schließlich konnte die extrem schlanke Lösung überzeugen. “Hersteller und IT-Dienstleister müssen keine zusätzliche Software installieren. Sie laden einen “portable Client” herunter, spielen die seitens der Dt.Re.Vers. vordefinierte Konfiguration ein und der Client ist funktionstüchtig. Das war es schon”, so Birk.

“Die Fernwartungs-Lösung ist schnell, einfach und sicher. Und wenn es einfach ist, wird es auch akzeptiert. Selbst wenn der Laptop eines externen Service-Technikers gestohlen wird, schafft er es sinngemäß nur bis auf den Parkplatz vor dem Gebäude. Das Innere des Gebäudes selbst ist sicher. Das ist Security by Default”, gibt der Leiter des Dt.Re.Vers.-Firewall-Kompetenzteams eine gute Bewertung der Security-Lösung.

*Martin Ortgies ist freier Journalist.