SECURE CORNER - Blog #TosiboxSECURE CORNER - Blog #Tosiboxhttps://www.spy-corner.de/blogs/tag/TosiboxWed, 22 Apr 2026 10:57:51 +0200http://zoho.com/sites/<![CDATA[Sebastian Fieber auf der 15. IT-Trends Sicherheit 2019]]>https://www.spy-corner.de/blogs/post/sebastian-fieber-it-trends-sicherheit-2019Am 27. März 2019 fand auch in diesem Jahr die Erfolgsveranstaltung IT-Trends Sicherheit in der Ruhrmetropole Bochum statt. Als Veranstalter agieren hi ]]>
Am 27. März 2019 fand auch in diesem Jahr die Erfolgsveranstaltung IT-Trends Sicherheit in der Ruhrmetropole Bochum statt. Als Veranstalter agieren hier die networker NRW e. V., das größte IT-Netzwerk in Nordrhein-Westfalen, mit derzeit mehr als 190 Mitgliedern. Der Schwerpunkt liegt auf IT-Sicherheit und bietet neben Partner-Unternehmen auch den Kommunen und Behörden die Möglichkeit, sich zum aktuellen Stand der Technik aber auch zu brandaktuellen Themen zu informieren.

Unser Partner

Ein weiterer spannender Aspekt ist neben den Fachvorträgen die Begleitmesse. Hier können lokale Unternehmen Ihre aktuellen Lösungen präsentieren und stehen für Gespräche zur Verfügung. Hier konnte unser Partner JL-Automation GmbH individuelle Lösungen in Verbindung mit der Fernwartung von TOSIBOX® präsentieren.
 


Lokalität

Als Lokalität bestach die VIP-Lounge des VfL Bochum mit einem super Ausblick, hervorragendem Catering und anschließender Stadion-Tour.

 


Das Programm

Als Keynote sprach Herr Timo Gendrullis über das Thema Cyber Security im Bereich Automotive. Hier konnten neben einer allgemeinen Ansprache sehr anschauliche Beispiele aus der Industrie gezeigt werden, welche die Besucher abholte, sensibilisierte und auf die nächsten Vorträge vorbereitete. Diese fanden parallel im Forum Westkurve und Forum Ostkurve statt. 

Herausstellen möchte ich zwei Vorträge, welche ich als Besucher mit anhören durfte: 

Justiz 4.0 – Prosecution as a service mit Markus Hartmann, Oberstaatsanwalt als Hauptabteilungsleiter – Leiter der ZAC NRW (Die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen). Herr Hartmann veranschaulichte die Arbeit und Vorgehensweise im Bereich Aufklärung Cybercrime. Gerade die Zusammenarbeit mit externen Dienstleistern (Experten für Digitale Forensik) spielt hier eine wesentliche Rolle. Anhand von anschaulichen Beispielen konnte man sehen, dass es nicht nur um den digitalen Fußabdruck geht, sondern oftmals der auffällige Lebenswandel zu sogenannten Auffälligkeiten führt. Ein Beispiel, das sich bildlich direkt eingebrannt hat: eine Favela in Südamerika. In einer der Straßen sieht man ein ausfälliges, teures und neues Fahrzeug. Anhand der Beispielbilder hatte man den Eindruck, dass gerade das Thema schnelle und auffällige Autos immer wieder eine Spur für digitale Machenschaften ist. 

Nach der Kaffeepause ging es in Richtung praktischer Präsentation.


Die Firma @-yet GmbH, präsentiert durch Herrn Wolfgang Straßer und einem Kollegen, führten an das Thema Life Hacking heran. Dies unter dem Thema "zentrale Sicherheit im Rahmen von Industrie 4.0". Hier wurden anhand einer Siemens S7 aktuelle Szenarien und mögliche Einfalltore aufgezeigt. Neben dem Zugriff mit aktuell erster Browsertechnik und dem durch parallel in einer Website geöffneten Manipulation von Steuerungsvariablen wurden z.B. die Sensoren überlistet, bzw. außer Gefecht gesetzt. Im nächsten Beispiel wurde ein Man-in-the-Middle Angriff gefahren, der daraufhin den Austausch zwischen Steuerung und Anwendungssoftware nach extern übertragen konnte. Anhand der Beispiele konnte man sich ein gutes Bild davon machen, welche Auswirkung gerade im Umfeld der Digitalisierung das Thema Vernetzung hat und welche Chancen aber auch Risiken mitbringt.


Wir durften als Abschluss einige praktische Lösungswege mit unserer Tosibox Lösung präsentieren



In meinen Augen konnten die verschiedenen Themen von Industrie 4.0 über ein Jahr nach der Datenschutz-Grundverordnung bis hin zu Live Hacking sehr gut die Wege in Richtung unserer Lösung öffnen. So konnten wir mit unserem Vortrag zur "sicheren Kommunikation im Smart-Zeitalter – Industrie 4.0 / Smart Factory, Smart City oder auch Smart Home" einige Interessenten abholen und es ergaben sich noch einige spannende Diskussionen. Das direkte Feedback der Teilnehmer zeigt uns den aktuellen Trend und vor allem den aktuellen Kenntnisstand der potentiellen Kunden. Hierbei fällt auf, dass in vielen Unternehmen das Thema Sicherheit durch FritzBox noch immer als sicher wahrgenommen wird. 

Bei der Frage nach dem aktuellen Stand, bzgl. Zugriff von extern, erhält man antworten wie Fritz Connect, im Bereich Smart Home die Lösung von FritzBox (AVM). In diesen Fällen werden Smart-Netzwerk und sonstige Netzwerktechnik in einem Netzwerk betrieben. Das mag im ersten Moment unspektakulär klingen. Was aber, wenn der Zugriff über verschiedene kabellose Protokolle funktioniert, diese aber auch gleichzeitig im Heimnetzwerk sind? Und die dortigen Computer, Notebooks oder Tablets für das Online Banking genutzt werden? Oft mag es im ersten Augenblick keine Überschneidungen geben, aber gerade diese Zugriffe von extern sollten getrennt vor den inneren Bereichen ablaufen.

 

Hier konnten wir den Vorteil einer Trennung von WAN und LAN veranschaulichen und unsere neueste Lösung aus der TOSIBOX® Familie – den Lock 500 – präsentieren. Durch eine Firewall zwischen Internet und internem LAN hat man eine zusätzliche Sicherheitsfunktion und erhöht seine persönliche Sicherheit um ein Vielfaches.

Ich freue mich schon auf meine nächste Möglichkeit, einen Beitrag in Richtung sichere Datenkommunikation zu leisten. 

Haben auch Sie eine Event, bei dem wir Sie unterstützen können? Sprechen Sie mit uns!

Mit sonnigen Grüßen
Sebastian Fieber
]]>Fri, 12 Apr 2019 08:26:09 +0200<![CDATA[BSI zum Thema Fernwartung im industriellen Umfeld]]>https://www.spy-corner.de/blogs/post/bsi-zum-thema-fernwartung-im-industriellen-umfeldIndustrielle Netzwerke, Produktionsanlagen und Automatisierungssysteme fallen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) unter den ]]>
Industrielle Netzwerke, Produktionsanlagen und Automatisierungssysteme fallen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) unter den Begriff Industrial Control Systems (ICS). Mit Blick auf den Bericht zur Lage der IT-Sicherheit hat man hier eine separate Empfehlung zu dem Thema Fernwartung im Produktionsumfeld herausgegeben. Wir möchten uns dies gemeinsam anschauen und einige Fakten und Empfehlungen genauer unter die Lupe nehmen.



Für mich ist eine der ersten Auffälligkeiten in dieser Ausarbeitung, dass der Begriff „Wildwuchs“ also das Thema „Gewachsene Strukturen“ an mehreren Stellen beschrieben wird. Im Grunde das Unwort für IT-Abteilungen – aber in vielen Unternehmen der Standard. Verschiedenste Anlagen, dadurch eine Vielzahl von Herstellern, die alle eine eigene bevorzugte Fernwartungs-Lösung nutzen oder voraussetzen. Da hier ein hohes Maß an Know-how für Pflege und Administration aufgebracht werden muss und einige Lösungen sehr komplex erscheinen, vereinfachen sich die eigentlichen Anwender den Ablauf durch keine, gleiche oder zu kurze Passwörter. 

In der Empfehlung möchte man auf verschiedene Lösungen aus dem Umfeld Fernwartung im industriellen Umfeld eingehen, unabhängig von Anbieter und Lösungsweg. So werden verschiedene Lösungen wie VPN, Cloud-basiert, Provider- und M2M-Lösungen angesprochen. Ich werde mir hier einen direkten Bezug auf die von uns eingesetzten Lösungen erlauben. Festzuhalten aber ist, dass wir die Empfehlung, Speicherprogrammierbare Steuerungen (SPS) nicht direkt per Modem oder sonstiger Komponenten direkt mit den World Wide Web zu verbinden, nur unterstützen können.
 

Aufbau und Architektur

Im Bereich Architektur wird direkt auf eine einheitliche Lösung hingewiesen, also eine Lösung für alle Hersteller der Komponenten, um möglichst nur ein System auf dem aktuellen Stand halten zu müssen. Des Weiteren die Installation eines Fernwartungs-Zuganges in einer DMZ (Demilitarized Zone, Netzwerk mit technisch kontrollierten Zugriffsmöglichkeiten). Hier empfiehlt sich der Einsatz kombiniert mit einer eigenen Firewall und ein zielgerichteter Zugang auf direkte Komponenten (IP-Adressen oder gar kombiniert mit Ports). Der Zugriff sollte stets verschlüsselt und Punkt-zu-Punkt erfolgen. Die Fernwartung sollte genau diesen Punkt abdecken und nicht noch zusätzlich tausend weitere Funktionen übernehmen. Auch ein Aktivieren, falls benötigt, und abschalten, wenn nicht benötigt, kann hier schon Tore schließen.
 

Geschützte Kommunikation

Bei der Kommunikation soll auf sichere und etablierte Protokolle geachtet und bei der Verschlüsslung auf mind. 192Bit AES gesetzt werden.
 

Legitimation und Authentisierung

Bei der Authentisierung sollten ebenfalls einige Punkte beachtet werden, so z.B. ein Zugang je Benutzer und keine Misch-Accounts. Es sollte definitiv ein Zwei-Faktor-Verfahren genutzt werden. Eine erhöhte Passwortsicherheit sollte inzwischen in allen Bereichen zum Standard gehören. Hier gibt es viele Hilfsmittel und z.B. Webseiten welche solche Services bieten: https://www.passwort-generator.com/ ebenso wird eine Angriffserkennung und Alarmierung empfohlen.
 

Anforderungen an Planung, Umsetzung und Pflege

Gerade hier darf man sich nicht nur auf die Technik verlassen. Denn diese sollte nur als Unterstützung gesehen werden. Zudem gehören die Abläufe, Prozesse und nicht erst seit DSGVO die Übersicht, wer wo zugreifen darf oder muss, mit dazu. Gerade das Thema Dauerzugriff vs. Einsatz-Notwendigkeit sollte in der Planung mit beachtet werden. So kann z.B. im Unterstützungsfall per Button, Schlüsselschalter oder auch Zeitsteuerung die Fernwartung aktiviert werden. Auch sollten klare Regeln und Nutzungsempfehlungen ausgesprochen und definiert werden, welche auch das Thema Updates und Passwort-Sicherheit mit einbeziehen. Auch das Thema Analyse, Alarmierung und Logs der Datenzugriffe ist in einen Entscheidungs- und Umsetzungsplan zu berücksichtigen.
 

Sonstiges

Unter dem Punkt Sonstiges werden Beispiele aufgeführt, welche für mich aber eher unter dem Punkt ToDos für Projekte im Allgemeinen zu verbuchen sind. Gerade im IT-Umfeld ist es Voraussetzung, die Themen Skalierbarkeit, Investitionsschutz und Hochverfügbarkeit von Anfang an im Auge zu behalten. Im Abschluss der Empfehlung geht es noch einmal um das Thema Cloud-basierte Lösungen. Hier wird der Weg über eine Private-Cloud (nicht öffentliche Cloud, bzw. nur für bestimmte Anwendungen und Anwender genutzte Server-Infrastruktur) angesprochen und empfohlen.
 

Wie können diese Empfehlungen umgesetzt werden?

Wir möchten für diese Empfehlungen und Beispiele die Fernwartungslösung unseres Partners Tosibox Oy vorstellen und in Beziehung setzen. Hierzu nutzen wir die Einzelthemen aus der Empfehlung des BSI und erklären die Funktionen der Tosibox-Lösung in Bezug auf die einzelnen Punkte.
Hinweis: Tosibox hat keine spezielle Freigabe oder Empfehlung vom BSI.

1. Architektur

a. Einheitliche Lösung: Tosibox ist nicht auf Hersteller oder Protokolle limitiert, bietet aber dank seiner Funktionen von Feldbus-Systemen bis hin zu modernsten TCP/IP Anwendungen eine einfache Fernwartungs-Lösung. 

b. DMZ: Der Einsatz in einer bestehende DMZ wird von Tosibox empfohlen, das System kann aber auch autark beitrieben werden. 

c. Granularität der Kommunikationsverbindungen: Mit entsprechender Infrastruktur lässt sich die Tosibox-Lösung nicht nur auf Netzwerke, sondern auf IP-/Mac-Filter aber auch auf Port-Ebene beschränken. 

d. Verbindungsaufbau: Durch den begleitenden Verbindungsaufbau und die Punkt-zu-Punkt Verbindung werden nur Standard-Ports genutzt und es muss kein Eingriff in die Kunden-Firewall erfolgen. 

e. Dedizierte Systeme: Die Tosibox-Lösung ist für verschlüsselte Fernwartung und Fernübertragung gedacht und wird auch so genutzt.


2. Sichere Kommunikation

a. Sichere Protokolle: Die Basis der Verbindung ist ein VPN-Tunnel mit den aktuellsten Anforderungen und es werden nur etablierte Protokolle, welche sich über Jahre bewährt haben, eingesetzt. 

b. Sichere Verfahren: Es kann aktuell eine AES256 Bit Verschlüsslung genutzt werden.


3. Authentisierungsmechanismen

a. Granularität der Accounts: Der Zugriff erfolgt über persönliche Keys, kann somit schnell generiert, dokumentiert aber auch im Notfall deaktiviert werden. 

b. Starke Authentisierungsmechanismen: Tosibox setzt auf eine Zwei-Faktor-Authentifizierung und Tokens mit Krypto Prozessor. 

c. Passwortsicherheit: Die Passwörter können frei vergeben werden, es gibt keine Standard-Passwörter. Für jedes Gerät wird ein individuelles Passwort durch Tosibox vergeben, welches dann durch den Kunden angepasst werden kann. 

d. Angriffserkennung: Tosibox blockt unautorisierte Zugriffe und lässt den Verbindungaufbau nicht zu. Zudem wird eine eigene Firewall genutzt um nur berechtigte Anfragen zu bearbeiten.

4. Organisatorische Anforderungen:

a. Risikoanalyse: Hier unterstützen die Tosibox-Partner und Mitarbeiter. 

b. Minimalitätsprinzip: Hier unterstützen die Tosibox-Partner und Mitarbeiter, auch bei der Analyse oder mit der Erfahrung aus vielen Jahren und über tausende von internationalen Projekten. 

c. Prozesse: Auch hier unterstützt das Tosibox eigene Benutzermanagement, so ist das hinzufügen aber auch das entziehen von Rechten sehr einfach und schnell zu realisieren. 

d. Inventarisierung: Alle Tosibox Systeme können eindeutig identifiziert werden. 

e. Zeitfenster: Die ist über die Tosibox Rechte aber auch durch Maßnahmen wie Verbindungsaufbau über I/Os realisierbar. 

f. Funktionsprüfung: Die Tosibox-Infrastruktur überprüft die Funktionen und Erreichbarkeit regelmäßig um einen 24/7-Support zu realisieren. 

g. Vorgaben für Fernwartende: Für Zugriffe von Dritten, können Zugriffe mit limitierten Rechten realisiert werden, z.B. nur Zugriff auf eine bestimmte Komponente im Netzwerk.

h. Patchprozess: Tosibox bietet regelmäßig Updates an, welche Automatisch oder manuell ausgeführt werden können. 

i. Logging & Alerting: Die zentrale Server Komponenten (Central Lock und Virtual Central Lock) können als Log für die Zugriffe und auch als Alarmierungsoption genutzt werden, z.B. bei Verbindungsausfall usw.


5. Sonstiges

a. Skalierbarkeit: Tosibox kann von einer 1:1-Verbindung bis zu vielen tausenden Geräten eingesetzt werden. Das System wächst mit Ihren Anforderungen. 

b. Investitionsschutz: Auf die bestehende Hardware kann weiter aufgebaut werden, ein Upgrade oder das Skalieren heißt nicht neue Hardware, sondern erweitern der bestehenden Tosibox Lösung. 

c. Hochverfügbarkeit: Tosibox bietet einen 24/7-Zugriff und Projekte auf der ganzen Welt untermauern die Hochverfügbarkeit der Tosibox Lösung.



Wir freuen uns auch im Jahre 2019 auf viele neue Projekte und darauf, bestehende Partner weiterhin mit den Lösungen von Tosibox zu unterstützen. 

Mit freundlichen Grüßen 

Sebastian Fieber
]]>Wed, 16 Jan 2019 08:20:25 +0100