Fernzugriffe auf Anlagen

Um Sicherheitsrisiken zu vermeiden, muss eine VPN-Verbindung über robuste Funktionen wie Multi-Faktor-Authentifizierung, Verschlüsselung, Firewall, zentralisierte Verwaltung des Benutzerzugriffs verfügen.

Hinzu kommt der Anwendungsbereich der VPN-Verbindung. Zugriffe auf (dezentrale) Anlagen oder zentrale Infrastrukturbereiche müssen sorgfältig freigegeben werden, damit Tür und Tor nicht ungewollt offen stehen.

OT-Sicherheit

Aus Sicht der OT-Sicherheit sollte ein VPN in der Lage sein, verschiedene Protokolle wie OPC UA, Modbus und DNP3 zu verarbeiten, um eine nahtlose Kommunikation zwischen verschiedenen Geräten und Systemen zu ermöglichen. 

IT-Sicherheit

Aus Sicht der IT-Sicherheit sollte ein VPN über zentralisierte Verwaltungs- und Überwachungsfunktionen verfügen, um sicherzustellen, dass der gesamte Netzwerkverkehr sicher ist.

Mehrere Anlagen und Standorte

Wenn es um ein VPN für mehrere Benutzer, Anlagen und Standorte geht, ist eine ordnungsgemäße Netzwerksegmentierung von zentraler Bedeutung, um zu verhindern, dass sich Cyberangriffe auf das gesamte Netzwerk ausbreiten.

Erkennung von VPN-Zugriffsanomalien

Die ist ebenfalls unerlässlich. Über das Feststellen von Anomalien von Benutzer, Zugriffszeiten, Dauer, Datenmenge und Aktivitäten kann frühzeitig festgestellt werden, ob ein potentielles Risiko vorhanden ist, das Handlungsbedarf notwendig macht.

Multi-Faktor-Authentifizierung

In erster Linie sollte ein sicheres VPN über eine Benutzerauthentifizierung und -autorisierung verfügen, um sicherzustellen, dass nur befugtes Personal auf das Netzwerk zugreifen kann. Mit Benutzername und Passwort ist dies allerdings nicht getan, eine weitere Authentifizierung ist zwingend notwendig, gängig ist die Verwendung einer Authenticator App für die Eingabe eines 2.ten Codes.

Rollenbasiertes Zugriffsmanagement

Zugriffsberechtigungen von Funktionen müssen nach Rollen unterteilt und unterschieden werden können. Mit dieser Grundvoraussetzung können sowohl die zentralisierte Benutzerverwaltung mit entsprechenden Rollen, als auch die priviligierten Zugriffe auf Anlagen und Systeme über PAM sauber implementiert werden.

Zentralisierte Verwaltung der Benutzer

Idealerweise erfolgt die Benutzerverwaltung für die Zugriffe über VPN durch das zentrale Benutzerverwaltungssystem des Unternehmens (z.B. Azure AD). Mit der Synchronisation (z.B. Azure-Sync) werden die Benutzer der Software welche die Zugriffsverwaltung über VPN durchführt automatisch synchronisiert und aktualisiert.

Dadurch entfällt das manuelle Nachführen und regelmässige Überprüfen von Benutzerrollen und Berechtigungen

Industrielle Firewall

Außerdem sollte ein VPN über eine industrielle Firewall verfügen, um unbefugten Zugang zu blockieren und vor Cyber-Bedrohungen zu schützen.

Die Zugriffsdefinition auf Ebene Ziel IP-Adresse, Port und Protokoll sind für die Verwaltung von mehreren Benutzern, Anlagen und Standorten absolut essentiell.

Zugriff auf Anlage muss einfach, intuitiv und schnell erfolgen

Trotz all der Sicherheitsvorkehrung soll der Fernzugriff über eine VPN-Verbindung für Mitarbeiter als auch externe Dienstleister so intuitiv, einfach und schnell wie möglich erfolgen. Dabei sollen möglichst viele Endgeräte mit Betriebssystemen die von Benutzern für den Fernzugriff benutzt werden unterstützt werden.