Remote Access in ICS VPN, MFA, Zero Trust und Colocation Architekturen normgerecht umsetzen
Es gibt kaum einen Bereich in Industrial Control Systems, der so viel betriebliche Erleichterung gebracht hat wie Remote Access. Und kaum einen, der so viele Sicherheitsvorfälle ermöglicht hat. Fernwartung spart Reisezeit. Spezialisten können Anlagen weltweit betreuen. Softwareupdates erfolgen zentral. Stillstände lassen sich schneller analysieren. Doch jede Remote Verbindung ist eine Brücke. Und Brücken funktionieren in beide Richtungen.
In einer klassischen IT Umgebung bedeutet Remote Access meist Zugriff auf Daten. In einer industriellen Umgebung bedeutet er potenziell Zugriff auf physische Prozesse. Förderanlagen, Sortiersysteme, Roboter, Hochregallager. Der Unterschied ist fundamental. Ein kompromittierter Benutzeraccount ist in einem ERP System ein Problem. In einer Control Zone kann er ein Produktionsstillstand oder ein Sicherheitsrisiko sein. Genau deshalb muss Remote Access in ICS anders gedacht werden.
Die erste Frage lautet nicht, welche Technologie eingesetzt wird. Die erste Frage lautet “wohin führt der Zugang eigentlich?” In vielen gewachsenen Anlagen endet ein VPN Tunnel direkt im Steuerungsnetz. Historisch gewachsen, pragmatisch umgesetzt, nie grundsätzlich hinterfragt. Technisch funktioniert das. Architektonisch ist es problematisch.
Das Zonenmodell der IEC 62443-3-3 verlangt klar definierte Vertrauensgrenzen. Ein externer Zugriff darf nicht direkt in eine hochkritische Zone führen. Die sauberere Architektur trennt den Zugang in Stufen. Der externe Benutzer verbindet sich zunächst mit einem Gateway in einer DMZ. Von dort erfolgt der Zugriff auf einen Jump Host. Erst von diesem System aus kann kontrolliert auf Zielsysteme in der Control Zone zugegriffen werden. Das mag nach zusätzlicher Komplexität klingen. Tatsächlich ist es die einzige Möglichkeit, laterale Bewegung zu verhindern und Sitzungen nachvollziehbar zu machen. An diesem Punkt kommt Mehrfaktor Authentisierung ins Spiel. Ein Passwort allein ist kein ausreichender Schutz mehr. Phishing, Credential Dumping und Wiederverwendung von Zugangsdaten sind reale Szenarien. Mehrfaktor Authentisierung reduziert dieses Risiko erheblich. Aber sie ersetzt keine Architektur.
Wenn ein Benutzer nach erfolgreicher MFA trotzdem direkten Netzwerkzugang in das PLC Subnetz erhält, bleibt das strukturelle Risiko bestehen.
Der nächste Entwicklungsschritt ist das sogenannte Zero Trust Prinzip. Oft missverstanden als Marketingbegriff, beschreibt es in industriellen Umgebungen einen einfachen Gedanken. Es beschreibt, das die Netzwerkposition allein kein Vertrauen erzeugen darf. Ein Benutzer darf nicht deshalb Zugriff erhalten, weil er „im VPN ist“. Zugriff wird kontextbasiert gewährt. Für eine definierte Zeit. Für eine definierte Applikation. Für ein definiertes Zielsystem. In ICS bedeutet das konkret, dass Wartungszugriffe nicht als generischer Netzwerktunnel ausgestaltet werden, sondern als kontrollierter Zugang zu bestimmten Systemen. Ein weiterer Aspekt, der zunehmend relevant wird, sind Colocation Architekturen. Zentrale Steuerungssoftware oder Monitoring Systeme werden nicht mehr ausschließlich im Werk betrieben, sondern in externen Rechenzentren oder spezialisierten Hosting Umgebungen. Das verändert die Vertrauensarchitektur grundlegend.
Die Frage lautet dann nicht mehr nur, wie ein externer Dienstleister ins Werk kommt. Sondern auch, wie das Werk sicher mit extern betriebenen Steuerungskomponenten kommuniziert. Hier ist eine klare Zonendefinition zwingend. Die Colocation Umgebung darf nicht als verlängertes internes Netz betrachtet werden. Sie ist eine eigene Zone mit klar definierten Conduits. Kommunikation erfolgt verschlüsselt, authentisiert und minimal freigegeben. Remote Access ist also kein isoliertes Feature. Er ist ein integraler Bestandteil der Gesamtarchitektur.
Und er hat eine weitere Dimension, die häufig unterschätzt wird. Die Nachvollziehbarkeit. Wer hatte wann Zugriff. Welche Parameter wurden verändert. Welche Konfiguration wurde angepasst. Session Recording und Protokollierung sind keine Misstrauensmaßnahme gegenüber Technikern. Sie sind Teil der technischen Revisionsfähigkeit. Gerade in komplexen Anlagen mit mehreren Dienstleistern schützt saubere Protokollierung sowohl Betreiber als auch Servicepartner. Ein besonders kritischer Punkt ist die Interaktion zwischen Remote Access und deterministischen Steuerungsnetzen.
Inline Security Appliances, die Traffic analysieren oder verändern, dürfen nicht ungetestet im Echtzeitpfad eingesetzt werden. Jede zusätzliche Latenz kann Timeout Verhalten beeinflussen. Deshalb gilt auch hier das Motto “Architektur vor Technologie”. Remote Access wird nicht nach Verfügbarkeit von Tools entschieden, sondern auf Basis der Risikoanalyse nach IEC 62443 3-2 und der daraus abgeleiteten Security Levels. Am Ende steht eine Architektur, die Komfort ermöglicht, ohne Kontrolle zu verlieren. Eine belastbare ICS Remote Access Architektur umfasst:
Stufenweise Zugangskontrolle
Klare Trennung von Zonen
Mehrfaktor Authentisierung
Zeitlich begrenzte Zugänge
Protokollierte Sitzungen
Segmentierte Conduits
Keinen direkten Zugang in Safety oder Control Netze
Remote Access ist kein Nebenmodul. Er ist ein zentrales Sicherheitsdesign Element. Im nächsten Artikel gehen wir in das Thema Industrial WLAN und analysieren, wie drahtlose Kommunikation in einer zonenbasierten Architektur sicher betrieben wird, ohne neue Angriffsflächen zu schaffen.
Weitere Artikel
Artikelserie – Industrial Control Systems unter regulatorischen Druck – Artikel 7 – OPC UA und MQTT
Artikelserie – Industrial Control Systems unter regulatorischen Druck – Artikel 6 – Determinismus, Latenz und Echtzeitfähigkeit Security unter realen OT Bedingungen
Artikelserie – Industrial Control Systems unter regulatorischen Druck – Artikel 5 – Referenzarchitektur
Artikelserie – Industrial Control Systems unter regulatorischen Druck – Artikel 3 – Wann wird eine industrielle Anlage regulatorisch zu einem Produkt und was bedeutet das für Betreiber