Danfoss legt weiterhin großen Wert auf IT-Sicherheit

Netzwerkgebäude

Danfoss integriert bewährte Verfahren und Lösungen für Cybersicherheit in seine Produkte, Systeme und Dienstleistungen. Unser Security-by-Design-Ansatz macht unsere Produkte widerstandsfähiger gegen Cyberangriffe. Wir implementieren Mechanismen, um Bedrohungen zu mindern, ausnutzbare Schwachstellen zu reduzieren und uns zu einem frühen Zeitpunkt unserer Produktentwicklung vor vermeidbaren Datenschutzverletzungen und Cyberangriffen zu schützen.

Danfoss ist bestrebt, die Anforderungen von IEC-62443 zu erfüllen, indem selbstverständlich weitere Anforderungen aus zusätzlichen Sicherheitsstandards berücksichtigt werden.

Mehr lesen Weniger lesen

Danfoss Electronic Controllers verfolgt in seinen Entwicklungsteams eine sichere Entwicklung im Zeichen der IEC-62443

Empfehlungen für Kunden

Um die Sicherheit und den Schutz Ihrer Danfoss-Produkte zu gewährleisten, empfehlen wir Ihnen, die folgenden bewährten Verfahren zur Cybersicherheit zu implementieren.

Die Einhaltung dieser Empfehlungen kann dazu beitragen, dass sich das Cybersicherheitsrisiko Ihres Unternehmens erheblich verringert.

CVE:

Abkürzung für Common Vulnerabilities and Exposures (Allgemeine Schwachstellen und Angriffspunkte) ist eine Liste öffentlich bekannter Computersicherheitslücken.  

DDOS:

Distributed Denial of Service (Dezentrale Dienstblockade): Mit diesem Begriff wird ein Angriff von 100.000 Remote-Geräten auf ein einzelnes Gerät im Internet bezeichnet. Dies ist ein hochwirksamer Angriff auf ein System. Selbst große Unternehmen und Sicherheitsorganisationen können den Betrieb während solcher Angriffe nicht aufrechterhalten. Diese Angriffe wurden mit 400+ Terabit/Sekunde Angriffsrate gemessen, was den Anschluss an das Gerät schlicht überflutet. Dies lässt sich auf keiner anderen Ebene als dem Internet-Backbone abschwächen.   

Es gibt keine kostengünstige Verteidigung gegen diese Art von Angriffen. Die einzig wirksame Möglichkeit, diese Angriffe abzuwehren, besteht darin, sie zu verhindern, indem man sich davor versteckt.   

Sicherheitslücke Fernzugriff:

Es ist davon auszugehen, dass jede Software, die mit dem Internet verbunden ist, Sicherheitslücken enthält. Daher suchen Experten ständig nach diesen Schwachstellen, und wenn sie diese gefunden haben, erstellen die Softwareanbieter Patches, um die Sicherheitslücke zu beheben. Daher ist es äußerst wichtig, die Software zu aktualisieren und auf dem neuesten Stand zu halten, um Schwachstellen im System zu vermeiden.  

Ältere Systemmanager verwendeten beispielsweise die Version 1.12.1 von Nginx, bei der mehrere Schwachstellen entdeckt und behoben wurden. Daher verwendet die neueste Systemmanager-Version 3.1.9 jetzt die Version 1.21.0 von Nginx, die derzeit keine bekannten Schwachstellen aufweist. Daher ist es wichtig, auf die neueste Danfoss-Version zu aktualisieren – nach dem Verfassen dieses Dokuments könnten die Versionsnummern höher sein, da ständig neue Sicherheitslücken entdeckt werden.

  1. Der Systemmanager sollte stets vollständig auf die neueste von Danfoss zur Verfügung gestellte Softwareversion aktualisiert werden.In jeder neueren Version kann es einige Sicherheitsaktualisierungen geben, die im Anhang erläutert werden.
  2. Stellen Sie sicher, dass das Gerät stets vor direktem Internetzugang geschützt ist.(Installieren Sie die Netzwerk-Geräte hinter einer Firewall)

Danfoss empfiehlt dringend, alle Netzwerkgeräte neben einer Firewall mit sicheren Remote-Zugriffsprinzipien zu schützen.



Das Problem besteht darin, dass Systeme, die nicht auf dem neuesten Stand sind, bekannte Fernzugriff-Sicherheitslücken enthalten können, was nachteilige Folgen für das System haben kann. Bekannte Sicherheitslücken werden häufig in den CVE-Datenbanken und auf vielen Sicherheitsforschungsseiten veröffentlicht.



Das bedeutet, dass eine direkte Zuordnung der Geräte im Internet nicht empfohlen wird, aber wenn sie notwendig ist, sollten möglichst mehrere Sicherheitsvorkehrungen getroffen werden, um das System vor direkten Zugriffen aus dem Internet zu schützen.  

Die allgemeinen Bedenken für die Geräte lauten:

  • DDOS – keine Software-Patches können vor dieser Art von Angriffen schützen. (Daher ist ein Firewall-Schutz erforderlich.)
  • Auch bekannte Fernaufrufe können Angreifern den Gerätezugriff ermöglichen. Daher sind alle Softwareaktualisierungen erforderlich, um bekannte Sicherheitslücken zu beseitigen.
  • Die Ausnutzung verschiedener bekannter und unbekannter Sicherheitsschwachstellen kann zu Systemausfällen führen.

Beginnen Sie mit der Aufteilung Ihres Netzwerks in Zonen/Segmente. Die Installation von Danfoss-Geräten in einem separaten Netzwerk reduziert die Angriffsfläche.

Dies ist eine allgemeine Praxis, die Sie in Ihrem Netzwerk berücksichtigen sollten, unabhängig davon, welche Geräte Sie verwenden.

Die Segmentierung ließe sich sogar auf Mikrosegmentierung ausweiten, sodass der Schaden an einem Gerät sich nicht weiter im Netzwerk ausbreiten kann.

Nachstehend ein typisches Beispiel für ein segmentiertes Netzwerk:

Segmentiertes Netzwerk

Setzen Sie vor Danfoss-Systeme und -Geräte stets eine Firewall und nutzen Sie weitere Sicherheitsvorrichtungen, die den Zugriff nur auf autorisierte Remote-Anschlüsse beschränken. Der Aufbau eines hochgeschützten Netzwerks, das dazu beiträgt, den Zugriff von außen zu verhindern, ist alles entscheidende Verteidigungslinie gegen Cyberangriffe.

Wir empfehlen Ihnen, die folgenden Hinweise zu befolgen:

  • Beschränken Sie den Zugriff auf Netzwerke, in denen sich Danfoss-Geräte befinden.
  • Stellen Sie sicher, dass Danfoss-Systeme und -Geräte nicht über das Internet zugänglich sind, es sei denn, sie werden hinter Firewalls und anderen Sicherheitsvorrichtungen platziert.
  • Beschränken Sie die externe Netzwerkanbindung Ihrer Systeme und Geräte.
  • Achten Sie stets aufmerksam auf Ereignisse, die auf einen versuchten unbefugten Zugriff hindeuten könnten.
  • Beschränken Sie den Zugriff auf interne Netzwerke, in denen sich Geräte befinden.
  • Trennen Sie Regel- und Sicherheitssystemnetzwerke und Remote-Geräte vom Unternehmensnetzwerk.

Für einen sicheren Anschluss/Zugang können Sie auch eine VPN-Verbindung verwenden.

Internet-Firewall

Implementieren Sie für Ihr Netzwerk sichere Zugriffsmethoden für Remote-Benutzer. Alle Remote-Benutzer müssen sich über eine einzige, verwaltete Schnittstelle verbinden und authentifizieren, bevor Software-Upgrades, Wartung oder andere Systemsupport-Aktivitäten durchgeführt werden können.

Wenn von entfernten Standorten aus auf Geräte zugegriffen werden muss, ist es unabdingbar, die Exposition des Geräts so weit wie möglich zu begrenzen. Die folgenden Lösungen stellen Möglichkeiten zum Schutz des Geräts und des Netzwerks dar und bieten gleichzeitig die Flexibilität, aus der Ferne auf das Gerät zuzugreifen.

Feste IP auf den mobilen Geräten:

Die Verwendung fester IP-Adressen auf mobilen Remote-Geräten ist die einfachste Lösung, um den Fernzugriff auf das System aufrechtzuerhalten und gleichzeitig das Gerät vor feindlichen Angriffen zu schützen - es schützt das Gerät auch vor DDOS-Angriffen. 

Remote-Gateway

Proxy-Lösungen sind etwas schwerer aufzusetzen, bieten jedoch mehr Sicherheit und die Möglichkeit, ein ordnungsgemäß gültiges SSL-Zertifikat (Secure Sockets Layer) für den Zugriff auf das System bereitzustellen. Das Proxy-System stellt einen authentifizierten Systemzugriff auf das Internet dar, und durch diesen werden schwerwiegendere Systemangriffe abgewehrt, was den Systemmanager vor einer Beschädigung schützt.  

Der Proxy kann Methoden wie Authentifikatoren, Zwei-Faktor-Authentifizierung und andere Sicherheitsmechanismen verwenden, um sicherzustellen, dass nur autorisierter Zugriff erlaubt ist.

Der Proxy ist eine an die Firewall gebundene IP, welche den Systemmanager und alle mobilen Clients schützt. Er verwendet zufällige IP-Adressen und authentifiziert sie am Proxy (in der Regel mit Zertifikaten, Zwei-Faktor-Authentifizierung oder Ähnlichem), was für eine robuste Validierung des Clients sorgt.

Allen feindlichen Clients wird von der Firewall und dem Proxy der direkte Zugriff verweigert, da sie nicht die erforderlichen Anmeldedaten angeben können, um sich mit dem Proxy zu verbinden.  

Das bedeutet, dass der Proxy den meisten Sicherheitsangriffen standhält, und schlimmstenfalls ist der Proxy DDOS und ein lokaler Zugriff auf den Systemmanager ist weiterhin möglich.

Proxy-Lösungen

Alsense kann diese Lösung über einen VPN-basierten Anschluss (Virtual Private Network) oder über eine IP-gebundene Proxy-Lösung bereitstellen, bei der die Verbindung auf das Alsense-Cloud-System beschränkt werden kann – was wiederum die Exposition des Systems gegenüber dem Internet minimiert und es Alsense ermöglicht, das System zu schützen.

Alsense ist eine Cloud-Lösung von Danfoss für den Zugriff auf Systemmanager und viele weitere Funktionen. Diese Lösung bietet dasselbe wie die Proxy-Lösung, wird jedoch von Danfoss verwaltet und muss daher vom Kunden weder implementiert noch gewartet und betrieben werden.

Technische Anleitung und Erklärung zur Firewall-Einrichtung
TP Link 2

Der Zugriff auf industrielle Netzwerke sollte über Authentifizierungs-/Auditprotokolle, z. B. VPN oder Firewalls, erfolgen, damit der Zugriff überwacht werden kann und somit Sicherheitsereignisse untersucht werden können, wenn eines eintritt. Minimieren Sie das Risiko von Datenschutzverletzungen durch Überwachung rund um die Uhr und Protokollierung von Systemereignissen. Nutzen Sie Eindringungserkennungssysteme, Eindringschutzsysteme, Antivirensoftware und Nutzungsprotokolle, um Datenverletzungen oder Vorfälle bereits frühzeitig zu erkennen.

Als bewährte Praxis empfehlen wir die Verwendung von Netzwerküberwachungssoftware für die Alarmierung bei ungewöhnlichem Traffic, erfolglose Zugriffsversuche usw. Die Richtlinien reichen von allgemeinen IT-Anforderungen gemäß ISO 27001 bis hin zu Spezifikationen gemäß IEC 62443 und sind in diesen internationalen Standards integriert.

Unter dem folgenden Link erfahren Sie mehr über das Angebot von Danfoss in Bezug auf Überwachungslösungen.

Unsere Alsense Cloud-Lösung erfüllt bereits die Anforderungen von OWASP, NIST und natürlich der Datenschutz-Grundverordnung: Alsense IoT-Lösungen und Überwachung für HVAC/R | Danfoss
FAQ zu Alsense IoT

Da Anlagen oder Maschinen in der Regel von mehr als einer Person bedient werden, empfiehlt sich eine zentrale Benutzerverwaltung.

Ändern Sie bei der Inbetriebnahme die Standardpasswörter und verwenden Sie das Produkt, um Benutzerzugriffsebenen zu erstellen.

Hier ein Beispiel: Der Danfoss Systemmanager ist ein Produkt der Wahl, mit dem sich die Benutzerzugriffsebene auf dem Gerät für andere mögliche Benutzer definieren lässt.

Dies betrifft besonders Administratorkonten und Regelsystemgeräte. Nutzen Sie rollenbasierten Zugriff mit Multifaktor-Authentifizierung, um Sicherheitsverletzungen zu verhindern und ein Protokoll der Zugriffsaktivitäten bereitzustellen.

Benutzer sollten die Weitergabe von Passwörtern vermeiden, was für die Zugriffsprotokollierung hilfreich sein kann und verhindert, dass Passwörter in unbefugte Hände geraten. Ein gemeinsam genutztes Passwort ist schnell bekannt undverhindert die Überprüfung von Sicherheitsproblemen.

Erwägen Sie auch, Passwort-Sicherheitsfunktionen hinzuzufügen, wie z. B. eine Konto-Sperre, die aktiviert wird, wenn zu viele falsche Passwörter eingegeben werden.

Grundlagen:

  • Whitelisting-Mechanismen bieten zusätzlichen Schutz vor unerwünschten Anwendungen oder Malware sowie vor unbefugten Änderungen an installierten Anwendungen.

  • Eine Whitelisting-Software erstellt oder enthält eine Liste von Programmen und Anwendungen, die auf dem PC ausgeführt werden dürfen.

Mithilfe von Whitelisting als stärkster Form der Sicherheitskontrolle können Sie festlegen, welche Apps, IPs usw. zulässig sind, da es Versuche zur Umgehung der Kontrollen blockiert. Sollte Whitelisting jedoch aus irgendeinem Grund keine praktikable Option darstellen, implementieren Sie nach Möglichkeit eine Blacklist, um bekannte Sicherheitsprobleme zu blockieren – denken Sie jedoch daran, dass Blacklists leicht umgangen werden können.

Blacklisting ist eine grundlegende Regelung zur Zugriffskontrolle, die es ermöglicht, unerwünschte Elemente (E-Mail-Adressen, Benutzer, Passwörter, URLs, IP-Adressen, Domänennamen, Datei-Hashes usw.) außer den explizit genannten zu blockieren. Diese aufgelisteten Elemente erhalten keinen Zugriff.

Blacklisting kann dazu beitragen, bekannte Viren, Spyware, Trojaner, Worms und andere Arten von Malware daran zu hindern, auf Ihr System zuzugreifen.

Eine ideale Option ist häufig der gleichzeitige Einsatz von Blacklisting und Whitelisting. Sie können auf den einzelnen Ebenen Ihrer Infrastruktur verschiedene Ansätze nutzen oder auch beide auf derselben Ebene verwenden.

Viele Unternehmen nutzen sowohl Blacklisting als auch Whitelisting für verschiedene Elemente ihrer Sicherheitsstrategien. Die Kontrolle des Zugriffs auf einen Computer oder ein Konto mithilfe eines Passworts ist beispielsweise Whitelisting. Nur Personen mit dem Passwort haben Zugriff, alle anderen bleiben draußen. Viele dieser Unternehmen nutzen auch Anti-Malware-Programme, die eine Blacklist bekannter Malware verwenden, um schädliche Programme zu blockieren.

Bieten Sie Ihren Mitarbeitern Cybersicherheitsschulungen an, um Ihr Unternehmen zu schützen. Erläutern Sie darin Phishing-E-Mails, infizierte Anhänge, schädliche Websites und andere direkte Angriffsmethoden.

Ein Beispiel: Die IT-Abteilung von Danfoss ist ISO 27001-konform und hält jährlich eine obligatorische Online-Schulung für alle Mitarbeiter ab, um zu vermitteln, wie jeder Einzelne zur Cybersicherheit im Unternehmen beitragen kann.

Doch auch zusätzlich zur Cybersicherheit ist es wichtig, physische Kontrollen zu implementieren, damit keine unbefugten Personen Zugang zu Ihren Geräten erhalten. Bewahren Sie alle Regler in verschlossenen Schränken auf und beschränken Sie den Zugang zu allen angeschlossenen Geräten.

Allgemeine Informationen

Cybersicherheit kann nur dann effizient sein, wenn jeder zur sicheren Gestaltung des Installationssystems beiträgt.

Wie in der obigen Visualisierung für die Normenreihe IEC-62443 veranschaulicht, erfordert dies gemeinsame Anstrengungen und Aktivitäten, da Sicherheit die gemeinsame Verantwortung aller ist. Als Produktlieferant ist Danfoss bestrebt, die Normen IEC 62443-4-1 und IEC 62443-4-2 einzuhalten.

Gleichzeitig sind Verantwortung und Risikominderung durch den Systemintegrator und den Anlageneigentümer gefragt.

Prüfen Sie die Dokumentation auf produktspezifische Informationen

Danfoss liefert zu jedem Produkt detaillierte Informationen. Lesen Sie die Produktanleitungen auf der Website oder die Ihren Produkten beiliegenden Anleitungen mit Empfehlungen und bewährten Verfahren zur Cybersicherheit, die Ihre Danfoss-Produkte direkt betreffen.

Auch online halten wir Informationen bereit, z. B. auf unserer Danfoss FAQ-Seite, auf der dieser Praxisleitfaden veröffentlicht wurde.

FAQ zu elektronischen Reglern und Services | Danfoss

Weitere Informationen zu bewährten Verfahren im Bereich Cybersicherheit finden Sie den nachstehenden Quellen:

Haftungsausschluss

DIESES DOKUMENT DIENT DER BEREITSTELLUNG ALLGEMEINER SICHERHEITSEMPFEHLUNGEN UND WIRD OHNE JEGLICHE GEWÄHRLEISTUNG BEREITGESTELLT. DANFOSS LEHNT JEGLICHE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GEWÄHRLEISTUNG AB, EINSCHLIESSLICH DER GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK. IN KEINEM FALL HAFTET DANFOSS FÜR JEGLICHE SCHÄDEN, EINSCHLIESSLICH DIREKTER, INDIREKTER, BEILÄUFIGER, FOLGESCHÄDEN, ENTGANGENER GESCHÄFTSGEWINNE ODER BESONDERER SCHÄDEN, AUCH WENN DANFOSS AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE. DIE VERWENDUNG DIESES DOKUMENTS, DER DARIN ENTHALTENEN INFORMATIONEN ODER DER DAMIT VERBUNDENEN MATERIALIEN ERFOLGT AUF EIGENE GEFAHR. DANFOSS BEHÄLT SICH DAS RECHT VOR, DIESES DOKUMENT JEDERZEIT UND NACH EIGENEM ERMESSEN ZU AKTUALISIEREN ODER ZU ÄNDERN.