Anlagensicherheit nach KAS-51 (nach BMU)

Betreff: Maßnahmen zur IT-Sicherheit der Fernwartung gemäß KAS-51 (Bundesministerium für Umwelt und nukleare Sicherheit)

Einleitung

Die Krantz GmbH erbringt für ihre Kunden Leistungen im Bereich der Fernwartung von Steuerungsanlagen (SPS). Als Grundlage für unsere Fernwartungsinfrastruktur setzen wir die Lösung der eurogard GmbH (ServiceRouter ER1601 in Verbindung mit der VPN-Software m2s / m2c) ein. Im Rahmen der Anforderungen des Leitfadens KAS-51 der Kommission für Anlagensicherheit ("Maßnahmen gegen Eingriffe Unbefugter", verabschiedet am 14. November 2019) legen wir nachfolgend unsere technischen und organisatorischen Schutzmaßnahmen dar.

Eingesetzte Fernwartungstechnologie

Der eurogard ServiceRouter ER1601 ist ein industrietauglicher VPN-Router, der speziell für den sicheren Fernzugriff auf SPS-basierte Automatisierungsnetze entwickelt wurde. Die Kommunikation erfolgt ausschließlich über verschlüsselte VPN-Verbindungen (OpenVPN) in Verbindung mit SSL/TLS-Verschlüsselung. Die voreingestellte Firewall des Gerätes lässt standardmäßig ausschließlich gesicherte VPN- und SSL-verschlüsselte Kommunikation zu. Unverschlüsselte Verbindungen sind technisch nicht möglich.

Technische Schutzmaßnahmen

Verschlüsselung und Zertifikate

Alle Fernwartungsverbindungen werden ausschließlich über OpenVPN mit gerätespezifischen Zertifikaten und personalisierten Schlüsseln aufgebaut. Das aktuelle Verschlüsselungsprotokoll TLS 1.3 wird unterstützt.

Zwei-Faktor-Authentifizierung (2FA)

Jeder Fernzugriff erfordert eine Zwei-Faktor-Authentifizierung bestehend aus Benutzername, Passwort sowie einem zeitbasierten Einmalpasswort (OTP). Ein erfolgreicher Zugriff ohne alle drei Faktoren ist technisch ausgeschlossen.

Individuelle, namentliche Benutzerkonten

Jeder Techniker der Krantz GmbH verfügt über ein persönliches, namentlich zugeordnetes Benutzerkonto. Die Nutzung gemeinsamer oder anonymer Zugangsdaten ist ausgeschlossen.

Vollständige Protokollierung aller Zugriffe

Sämtliche Fernwartungszugriffe werden durch die eurogard-Plattform (m2s / m2c) lückenlos protokolliert. Die Aufzeichnung umfasst Benutzername, Zeitstempel, Verbindungsdauer sowie die angesteuerte Anlage. Eine nachträgliche Nachvollziehbarkeit aller Zugriffe ist damit jederzeit gewährleistet.

Gehärtete Hardware und Firewall

Der ER1601 arbeitet auf Basis gehärteter Linux-Softwaremodule. Die integrierte Firewall ist so vorkonfiguriert, dass ausschließlich verschlüsselte Verbindungen zugelassen werden. Unkontrollierte Zugriffe auf das Anlagennetz sind damit auf Hardwareebene unterbunden.

Aktualität von Betriebssystem und Software

Alle Techniker-Notebooks sind in die zentral verwaltete IT-Infrastruktur der Krantz GmbH eingebunden. Windows-Updates sowie alle relevanten Software-Updates werden automatisch und zwingend eingespielt. Ein Abbruch oder Verzögern von Updates durch den Nutzer ist nicht möglich. Der Malwareschutz wird zentral verwaltet und aktuell gehalten.

Organisatorische Schutzmaßnahmen

Vertragliche Vertraulichkeitsverpflichtung

Alle Mitarbeiter der Krantz GmbH, die Fernwartungsaufgaben wahrnehmen, unterzeichnen im Rahmen ihres Arbeitsvertrages eine Vertraulichkeitsvereinbarung. Die Weitergabe von Zugangsdaten, Anlagendaten oder Konfigurationsinformationen an Dritte ist vertraglich untersagt.

Tätigwerden ausschließlich auf Kundenauftrag

Fernwartungszugriffe durch Krantz-Techniker erfolgen grundsätzlich nur auf Veranlassung und im Auftrag des Kunden. Eigeninitiierte, unabgestimmte Zugriffe auf Kundenanlagen sind nicht vorgesehen und werden durch das beschriebene Zugangs- und Protokollierungssystem nachvollziehbar dokumentiert.

Optionale Erweiterung: Physische Freigabesteuerung per Schlüsselschalter

Der Leitfaden KAS-51 empfiehlt für sicherheitsrelevante OT-Systeme ergänzend eine physische Zugangssteuerung, die eine aktive Freigabe durch den Anlagenbetreiber vor Ort erfordert. Dies kann durch den Einsatz eines Schlüsselschalters realisiert werden, der am Digitaleingang D1+ des ER1601-Routers angeschlossen wird und den Aufbau der VPN-Verbindung physisch freigibt oder sperrt.

Krantz bietet diese Erweiterung als optionale Maßnahme an, um eine vollständige Erfüllung der KAS-51-Anforderungen hinsichtlich der physischen Zugangssteuerung sicherzustellen und die Kontrolle über den Fernwartungszugang vollständig beim Betreiber zu belassen. Für Ihre Anlage unterbreiten wir Ihnen hierzu gerne ein gesondertes Angebot.

Fazit

Die von der Krantz GmbH eingesetzte Fernwartungslösung erfüllt durch die Kombination aus verschlüsselter VPN-Kommunikation, Zwei-Faktor-Authentifizierung, namentlicher Benutzerverwaltung, lückenloser Protokollierung, gehärteter Hardware sowie organisatorischer und vertraglicher Maßnahmen die wesentlichen Anforderungen des Leitfadens KAS-51 an den Schutz vor unbefugten Eingriffen im Bereich der Fernwartung.