miho IT-Richtlinien (Stand: 21.04.2021)

Einleitung

Erfolgreiche Fernwartung ist der Schlüssel zu mehr Kundenzufriedenheit durch Kostenminimierung und geringere Maschinenstillstandszeiten, schont aber auch die Ressourcen des jeweiligen Maschinenherstellers.

Internetbasierte Technologien haben sich als Standard etabliert, mit folgenden Vorteilen:

• Ähnlich weit verbreitet wie das Telefonnetz
• Universelles und ausbaubares Netzwerk, sehr ausfallsicher
• Gefahr von Verbindungsabbrüchen minimal
• Geschwindigkeit ist skalierbar und häufig nur eine Preisfrage
• Flexibilität: Verbindung kann durch das bereits vorhandene Netzwerk des Kunden geleitet werden, es kann aber ebenso ein autarker Zugang eingerichtet werden bei ähnlicher Einfachheit wie die eines Modemanschlusses

Allerdings sind auch folgende Nachteile zu beachten:

• Sicherheit:
  Durch das Internet geleitete Informationen werden prinzipbedingt über ungesicherte und teils anonyme Verbindungswege geleitet. Deshalb ist eine Verschlüsselung der übermittelten Daten/Informationen obligatorisch.    
  Daneben gilt es zu verhindern, dass unautorisierte Personen Zugang zur Maschine des Kunden erhalten. Hierfür müssen geeignete Methoden zur Authentifizierung des Servicetechnikers – aber auch der kundenseitigen Maschine – gewählt werden
• Die zugrundeliegende Netzwerktechnologie setzt ein deutlich hohes Fachwissen zu deren Beherrschung voraus

Zum Thema Sicherheit sollte prinzipiell angemerkt werden, dass es keine 100%ige Sicherheit gibt, ja geben kann – weder über das Internet, noch ganz ohne externe Anbindung. Wenn ein Zugriff auf eine Maschine gewünscht wird, kann er erfolgen – und sei es durch Ausnutzung des schwächsten Gliedes vor Ort, z.B. durch Bestechung eines Mitarbeiters. Letztlich ist es eine Frage der Einschätzung des Risikos und der adäquat verwendeten Hürden, die man einem potentiellen Angreifer in den Weg legt.

Zusammengefasst lässt sich sagen, dass die internetbasierten Fernwartung spätestens für komplexere Systeme wie die der Bildverarbeitung obligatorisch ist, man aber die richtige Absicherung dieses Mediums umsetzen muss.

Technische Umsetzung

Für die Verschlüsselung und die Authentifizierung wird das Programmsuite OpenVPN gewählt.

Es bietet folgende entscheidende Vorteile:

• Authentifizierung dem Stand der Technik entsprechend über ein „public key“ Verfahren
• Modulare, als sicher geltende, Verschlüsselung der übertragenen Daten
• Komplette Kommunikation über einen Port
• NAT-fähig
• Leicht über Netzwerke zu routen
• Erfahrungen im Hause miho über Jahre vorhanden, da zur eigenen Fernwartung im Einsatz
• Open source, keine Lizenzgebühren, kein „Vendor lock in“, schnelle und vor Allem transparente Abhilfe bei Sicherheitsproblemen

Die praktische Implementierung sieht so aus, dass im Hause miho ein ausschließlich für Fernwartung bestimmter Server eingerichtet wurde (RA1), der internetseitig und firmenseitig jeweils durch Firewalls gesichert ist.

Zu diesem Fernwartungsserver baut nun der Kunde bei Bedarf einen VPN-Tunnel auf. D. h. es besteht nun, ausgelöst durch den Kunden, eine Punkt-zu-Punkt-Verbindung zwischen der kundenseitigen Maschine und unserem Fernwartungsserver. Dabei erhält jede einzelne Maschine ein eigenes Zertifikat, mit dem sie sich unserem Fernwartungsserver gegenüber ausweist. Bei Missbrauch kann dieses Zertifikat sehr leicht in unserem Hause zurückgezogen werden, wodurch ein weiterer Zugriff auf den Fernwartungsserver verhindert wird.

Gleichzeitig erhält ein Servicetechniker unseres Hauses nach Eingang des Fernwartungsauftrages die Möglichkeit, ebenso einen VPN-Tunnel von seinem Arbeitsplatz (bei Bedarf weltweit!) zum Fernwartungsserver aufzubauen. Hierdurch „klinkt“ er sich in das gleiche virtuell private Netzwerk (VPN) ein, indem sich die Kundenmaschine schon befindet und kann mit der Fernwartung beginnen.

Natürlich muss sich auch der Servicetechniker mit einem entsprechenden Zertifikat authentifizieren.

Der Fernwartungsserver hat eine dynamisch aufgelöste Adresse im Internet, was eine weitere Hürde gegen einen Angriff darstellt.

Die Kundenmaschine erfragt zunächst via DNS-Abfrage (Port 53 UDP oder TCP) die Adresse des miho-Fernwartungsservers (ra1.miho.de, ra1-miho.dyndns.org, ra1-miho.ignorelist.com).

Zwar existieren auch statische Adressen, diese sollte jedoch nicht verwendet werden, da sie bei einem eventuellen Wechsel des Internetproviders oder bei Nutzung eines anderen Zugangs nicht gültig/aktuell wäre!

Anschließend wird die verschlüsselte Kommunikation durch Kontaktierung des Fernwartungsservers über Port 5850 (UDP) initiiert. Die eigentliche verschlüsselte Kommunikation erfolgt dann über eine Socket-Verbindung mit Client-seitig dynamisch zugewiesener Portnummer (wie üblich bei Socket-Verbindungen).

Bedingt durch die Tatsache, dass die Kundenmaschine die Verbindung initiiert, muss bei einfachen Strukturen (Kunde hat für die Maschine einen DSL-Anschluss geschaltet) noch nicht einmal eine Portweiterleitung in der kundenseitigen Firewall (hier: im DSL-Router und in der miho-Maschine) eingerichtet werden.

Beispielkonfiguration:

Technische Voraussetzung

Möglichkeit 1 – Stand-alone:
Separater Internet (z. B. DSL) Anschluss für miho Geräte

Möglichkeit 2 – Integration in bestehendes IT System:
Separates Netzwerk mit Zugriff auf das Internet über Ports 53 (TCP&UDP) & 5850 (UDP) für die Etablierung der Socket-Verbindung zum Fernwartungsserver auf Client-seitig dynamisch zugewiesenem Port. Es werden pro miho Gerät eine IP Adresse zuzüglich einer Reserve IP Adresse für Servicezwecke aus diesem Netzwerk benötigt.

Für Upgradeaktionen muss zusätzlich auch noch der Port 5851 (UDP) ausgehend (und der Client-seitig dynamisch zugewiesene Port eingehend) freigegeben sein.

Alternative: Teamviewer
Hat ein Kunde bereits eine Teamviewer-Lizenz, kann auch diese für unsere Fernwartung eingesetzt werden. Wir weisen aber darauf hin, dass unsere auf OpenVPN basierte Lösung die bei unseren Kunden verbreitetste und damit am besten unterstützte Lösung darstellt und dass bei der Verwendung von Teamviewer Datenverkehr teils über Server der Fa. Teamviewer geleitet wird, für deren Sicherheit wir keine Gewährleistung übernehmen können (proprietäre Software).

Administratorzugang für Kunden

Der Administratorzugang für miho Maschinen und PCs ist normalerweise dem Kunden nicht zugänglich, um Fehlkonfigurationen und damit verbundene Geräte- und Produktionsausfälle zu vermeiden.

Außerdem wird damit sichergestellt, dass nicht durch die Installation von Fremdsoftware Viren oder andere Schadsoftware auf miho-Geräte oder gar das kundenseitige Netz gelangen können.

Wünscht der Kunde explizit die Herausgabe der Administratorkennung oder das Anlegen eines eigenen Administratorkontos von miho-Geräten oder PCs, kann dies gegen Unterschrift dieser Erklärung und der damit verbundenen Beweislastumkehr erfolgen.

In diesem Fall liegt die Beweislast zur Benennung der verursachenden Partei eines ggf. eintretenden Schadens, also z. B.:

• Datenverluste
• Produktionsausfälle
• Ausbreitung von Viren oder anderer Schadsoftware
• auftretende Softwareinkompatibilitäten

nicht bei miho sondern beim Kunden.

Wir verstehen o. g. Ausführungen und erklären hiermit, dass die Herausgabe der Administratorzugänge/ das Anlegen eines kundenseitigen Administratorkontos der miho-Geräte und PCs auf eigenen Wunsch und unter ausdrücklicher Inkaufnahme der genannten Beweislastumkehr gewünscht wird.

Fernwartung

Die Fernwartung der durch miho gefertigten Maschinen und Geräte wird aus Sicherheitsgründen idealerweise nur über eine direkte Ankopplung über einen eigenständigen Internetzugang (Kunde stellt geeigneten Internetzugang zur Verfügung) realisiert.

Bei dieser Architektur wird jegliche Verbindung zum kundenseitigen Netzwerk vermieden.

Damit wird sichergestellt, dass weder Viren oder andere Schadsoftware von miho-Geräten das kundenseitige Netz stören können, noch umgekehrt o.g. Software Einfluss auf miho-Geräte nehmen kann.

Wünscht der Kunde explizit eine Anbindung der miho-Geräte in seine Netzwerkinfrastruktur, kann dies technisch umgesetzt werden.

In diesem Fall kann miho aber keinerlei Verantwortung für Schäden, die mittelbar oder unmittelbar durch die Vernetzung entstanden sind und nicht durch miho verursacht werden übernehmen, explizit also z. B.:

• Datenverluste
• Produktionsausfälle

durch die Ausbreitung durch Viren oder anderer Schadsoftware oder auch nur durch Softwareinkompatibilitäten.

Die Beweislast liegt in diesem Fall beim Kunden.

Wir verstehen o. g. Ausführungen und erklären hiermit, dass die Herausgabe der Administratorzugänge/ das Anlegen eines kundenseitigen Administratorkontos der miho-Geräte und PCs auf eigenen Wunsch und unter ausdrücklicher Inkaufnahme der genannten Beweislastumkehr gewünscht wird.

Betriebsdatenerfassung

Die Übermittlung von Betriebsdaten der durch miho gefertigten Maschinen und Geräte wird aus Sicherheitsgründen bevorzugt nur über folgendes Mittel ausgeführt:

• direkte Ankopplung eines Auswertesystems ( PC )  über eine eigene Netzwerkverbindung