Danfoss legt weiterhin großen Wert auf IT-Sicherheit

CVE:

Abkürzung für Common Vulnerabilities and Exposures (Allgemeine Schwachstellen und Angriffspunkte) ist eine Liste öffentlich bekannter Computersicherheitslücken.  

DDOS:

Distributed Denial of Service (Dezentrale Dienstblockade): Mit diesem Begriff wird ein Angriff von 100.000 Remote-Geräten auf ein einzelnes Gerät im Internet bezeichnet. Dies ist ein hochwirksamer Angriff auf ein System. Selbst große Unternehmen und Sicherheitsorganisationen können den Betrieb während solcher Angriffe nicht aufrechterhalten. Diese Angriffe wurden mit 400+ Terabit/Sekunde Angriffsrate gemessen, was den Anschluss an das Gerät schlicht überflutet. Dies lässt sich auf keiner anderen Ebene als dem Internet-Backbone abschwächen.   

Es gibt keine kostengünstige Verteidigung gegen diese Art von Angriffen. Die einzig wirksame Möglichkeit, diese Angriffe abzuwehren, besteht darin, sie zu verhindern, indem man sich davor versteckt.   

Sicherheitslücke Fernzugriff:

Es ist davon auszugehen, dass jede Software, die mit dem Internet verbunden ist, Sicherheitslücken enthält. Daher suchen Experten ständig nach diesen Schwachstellen, und wenn sie diese gefunden haben, erstellen die Softwareanbieter Patches, um die Sicherheitslücke zu beheben. Daher ist es äußerst wichtig, die Software zu aktualisieren und auf dem neuesten Stand zu halten, um Schwachstellen im System zu vermeiden.  

Ältere Systemmanager verwendeten beispielsweise die Version 1.12.1 von Nginx, bei der mehrere Schwachstellen entdeckt und behoben wurden. Daher verwendet die neueste Systemmanager-Version 3.1.9 jetzt die Version 1.21.0 von Nginx, die derzeit keine bekannten Schwachstellen aufweist. Daher ist es wichtig, auf die neueste Danfoss-Version zu aktualisieren – nach dem Verfassen dieses Dokuments könnten die Versionsnummern höher sein, da ständig neue Sicherheitslücken entdeckt werden.

1. Der Systemmanager sollte stets vollständig auf die neueste von Danfoss zur Verfügung gestellte Softwareversion aktualisiert werden.In jeder neueren Version kann es einige Sicherheitsaktualisierungen geben, die im Anhang erläutert werden.
2. Stellen Sie sicher, dass das Gerät stets vor direktem Internetzugang geschützt ist.(Installieren Sie die Netzwerk-Geräte hinter einer Firewall)

Beginnen Sie mit der Aufteilung Ihres Netzwerks in Zonen/Segmente. Die Installation von Danfoss-Geräten in einem separaten Netzwerk reduziert die Angriffsfläche.

Dies ist eine allgemeine Praxis, die Sie in Ihrem Netzwerk berücksichtigen sollten, unabhängig davon, welche Geräte Sie verwenden.

Die Segmentierung ließe sich sogar auf Mikrosegmentierung ausweiten, sodass der Schaden an einem Gerät sich nicht weiter im Netzwerk ausbreiten kann.

Nachstehend ein typisches Beispiel für ein segmentiertes Netzwerk:

Setzen Sie vor Danfoss-Systeme und -Geräte stets eine Firewall und nutzen Sie weitere Sicherheitsvorrichtungen, die den Zugriff nur auf autorisierte Remote-Anschlüsse beschränken. Der Aufbau eines hochgeschützten Netzwerks, das dazu beiträgt, den Zugriff von außen zu verhindern, ist alles entscheidende Verteidigungslinie gegen Cyberangriffe.

Wir empfehlen Ihnen, die folgenden Hinweise zu befolgen:

• Beschränken Sie den Zugriff auf Netzwerke, in denen sich Danfoss-Geräte befinden.
• Stellen Sie sicher, dass Danfoss-Systeme und -Geräte nicht über das Internet zugänglich sind, es sei denn, sie werden hinter Firewalls und anderen Sicherheitsvorrichtungen platziert.
• Beschränken Sie die externe Netzwerkanbindung Ihrer Systeme und Geräte.
• Achten Sie stets aufmerksam auf Ereignisse, die auf einen versuchten unbefugten Zugriff hindeuten könnten.
• Beschränken Sie den Zugriff auf interne Netzwerke, in denen sich Geräte befinden.
• Trennen Sie Regel- und Sicherheitssystemnetzwerke und Remote-Geräte vom Unternehmensnetzwerk.

Für einen sicheren Anschluss/Zugang können Sie auch eine VPN-Verbindung verwenden.

Implementieren Sie für Ihr Netzwerk sichere Zugriffsmethoden für Remote-Benutzer. Alle Remote-Benutzer müssen sich über eine einzige, verwaltete Schnittstelle verbinden und authentifizieren, bevor Software-Upgrades, Wartung oder andere Systemsupport-Aktivitäten durchgeführt werden können.

Wenn von entfernten Standorten aus auf Geräte zugegriffen werden muss, ist es unabdingbar, die Exposition des Geräts so weit wie möglich zu begrenzen. Die folgenden Lösungen stellen Möglichkeiten zum Schutz des Geräts und des Netzwerks dar und bieten gleichzeitig die Flexibilität, aus der Ferne auf das Gerät zuzugreifen.

Feste IP auf den mobilen Geräten:

Die Verwendung fester IP-Adressen auf mobilen Remote-Geräten ist die einfachste Lösung, um den Fernzugriff auf das System aufrechtzuerhalten und gleichzeitig das Gerät vor feindlichen Angriffen zu schützen - es schützt das Gerät auch vor DDOS-Angriffen. 

Proxy-Lösungen sind etwas schwerer aufzusetzen, bieten jedoch mehr Sicherheit und die Möglichkeit, ein ordnungsgemäß gültiges SSL-Zertifikat (Secure Sockets Layer) für den Zugriff auf das System bereitzustellen. Das Proxy-System stellt einen authentifizierten Systemzugriff auf das Internet dar, und durch diesen werden schwerwiegendere Systemangriffe abgewehrt, was den Systemmanager vor einer Beschädigung schützt.  

Der Proxy kann Methoden wie Authentifikatoren, Zwei-Faktor-Authentifizierung und andere Sicherheitsmechanismen verwenden, um sicherzustellen, dass nur autorisierter Zugriff erlaubt ist.

Der Proxy ist eine an die Firewall gebundene IP, welche den Systemmanager und alle mobilen Clients schützt. Er verwendet zufällige IP-Adressen und authentifiziert sie am Proxy (in der Regel mit Zertifikaten, Zwei-Faktor-Authentifizierung oder Ähnlichem), was für eine robuste Validierung des Clients sorgt.

Allen feindlichen Clients wird von der Firewall und dem Proxy der direkte Zugriff verweigert, da sie nicht die erforderlichen Anmeldedaten angeben können, um sich mit dem Proxy zu verbinden.  

Das bedeutet, dass der Proxy den meisten Sicherheitsangriffen standhält, und schlimmstenfalls ist der Proxy DDOS und ein lokaler Zugriff auf den Systemmanager ist weiterhin möglich.

Alsense kann diese Lösung über einen VPN-basierten Anschluss (Virtual Private Network) oder über eine IP-gebundene Proxy-Lösung bereitstellen, bei der die Verbindung auf das Alsense-Cloud-System beschränkt werden kann – was wiederum die Exposition des Systems gegenüber dem Internet minimiert und es Alsense ermöglicht, das System zu schützen.

Alsense ist eine Cloud-Lösung von Danfoss für den Zugriff auf Systemmanager und viele weitere Funktionen. Diese Lösung bietet dasselbe wie die Proxy-Lösung, wird jedoch von Danfoss verwaltet und muss daher vom Kunden weder implementiert noch gewartet und betrieben werden.

Der Zugriff auf industrielle Netzwerke sollte über Authentifizierungs-/Auditprotokolle, z. B. VPN oder Firewalls, erfolgen, damit der Zugriff überwacht werden kann und somit Sicherheitsereignisse untersucht werden können, wenn eines eintritt. Minimieren Sie das Risiko von Datenschutzverletzungen durch Überwachung rund um die Uhr und Protokollierung von Systemereignissen. Nutzen Sie Eindringungserkennungssysteme, Eindringschutzsysteme, Antivirensoftware und Nutzungsprotokolle, um Datenverletzungen oder Vorfälle bereits frühzeitig zu erkennen.

Als bewährte Praxis empfehlen wir die Verwendung von Netzwerküberwachungssoftware für die Alarmierung bei ungewöhnlichem Traffic, erfolglose Zugriffsversuche usw. Die Richtlinien reichen von allgemeinen IT-Anforderungen gemäß ISO 27001 bis hin zu Spezifikationen gemäß IEC 62443 und sind in diesen internationalen Standards integriert.

Da Anlagen oder Maschinen in der Regel von mehr als einer Person bedient werden, empfiehlt sich eine zentrale Benutzerverwaltung.

Ändern Sie bei der Inbetriebnahme die Standardpasswörter und verwenden Sie das Produkt, um Benutzerzugriffsebenen zu erstellen.

Dies betrifft besonders Administratorkonten und Regelsystemgeräte. Nutzen Sie rollenbasierten Zugriff mit Multifaktor-Authentifizierung, um Sicherheitsverletzungen zu verhindern und ein Protokoll der Zugriffsaktivitäten bereitzustellen.

Benutzer sollten die Weitergabe von Passwörtern vermeiden, was für die Zugriffsprotokollierung hilfreich sein kann und verhindert, dass Passwörter in unbefugte Hände geraten. Ein gemeinsam genutztes Passwort ist schnell bekannt undverhindert die Überprüfung von Sicherheitsproblemen.

Erwägen Sie auch, Passwort-Sicherheitsfunktionen hinzuzufügen, wie z. B. eine Konto-Sperre, die aktiviert wird, wenn zu viele falsche Passwörter eingegeben werden.

Grundlagen:

• Whitelisting-Mechanismen bieten zusätzlichen Schutz vor unerwünschten Anwendungen oder Malware sowie vor unbefugten Änderungen an installierten Anwendungen.

• Eine Whitelisting-Software erstellt oder enthält eine Liste von Programmen und Anwendungen, die auf dem PC ausgeführt werden dürfen.

Mithilfe von Whitelisting als stärkster Form der Sicherheitskontrolle können Sie festlegen, welche Apps, IPs usw. zulässig sind, da es Versuche zur Umgehung der Kontrollen blockiert. Sollte Whitelisting jedoch aus irgendeinem Grund keine praktikable Option darstellen, implementieren Sie nach Möglichkeit eine Blacklist, um bekannte Sicherheitsprobleme zu blockieren – denken Sie jedoch daran, dass Blacklists leicht umgangen werden können.

Blacklisting ist eine grundlegende Regelung zur Zugriffskontrolle, die es ermöglicht, unerwünschte Elemente (E-Mail-Adressen, Benutzer, Passwörter, URLs, IP-Adressen, Domänennamen, Datei-Hashes usw.) außer den explizit genannten zu blockieren. Diese aufgelisteten Elemente erhalten keinen Zugriff.

Blacklisting kann dazu beitragen, bekannte Viren, Spyware, Trojaner, Worms und andere Arten von Malware daran zu hindern, auf Ihr System zuzugreifen.

Eine ideale Option ist häufig der gleichzeitige Einsatz von Blacklisting und Whitelisting. Sie können auf den einzelnen Ebenen Ihrer Infrastruktur verschiedene Ansätze nutzen oder auch beide auf derselben Ebene verwenden.

Viele Unternehmen nutzen sowohl Blacklisting als auch Whitelisting für verschiedene Elemente ihrer Sicherheitsstrategien. Die Kontrolle des Zugriffs auf einen Computer oder ein Konto mithilfe eines Passworts ist beispielsweise Whitelisting. Nur Personen mit dem Passwort haben Zugriff, alle anderen bleiben draußen. Viele dieser Unternehmen nutzen auch Anti-Malware-Programme, die eine Blacklist bekannter Malware verwenden, um schädliche Programme zu blockieren.

Bieten Sie Ihren Mitarbeitern Cybersicherheitsschulungen an, um Ihr Unternehmen zu schützen. Erläutern Sie darin Phishing-E-Mails, infizierte Anhänge, schädliche Websites und andere direkte Angriffsmethoden.

Doch auch zusätzlich zur Cybersicherheit ist es wichtig, physische Kontrollen zu implementieren, damit keine unbefugten Personen Zugang zu Ihren Geräten erhalten. Bewahren Sie alle Regler in verschlossenen Schränken auf und beschränken Sie den Zugang zu allen angeschlossenen Geräten.