Fernwartungslösung genubox: Sichere und komfortable Fernwartung
Als Hersteller oder Dienstleister möchten Sie Ihren Kunden komfortablen Service bieten und deren Anlagen oder IT-Systeme per Fernzugriff überwachen und warten? Oder stehen Sie auf der anderen Seite, nutzen als Anlagenbetreiber zahlreiche Fernwartungs-Services und müssen deren Zugriffe in Ihr Netzwerk zulassen?
Für beide Anwendungen gelten diese zentralen Anforderungen: Die Fernwartungslösung sollte zuverlässige IT-Sicherheit gewährleisten, alle Aktionen des Services revisionsoptimiert aufzeichnen, in verschiedenen Umgebungen flexibel einsetzbar sowie einfach zu bedienen sein.
Top Highlights
- Anwendungsspezifische, minimal-invasive Fernwartungszugriffe ohne Netzkopplung durch Nutzung von gehärtetem SSH
- Fernwartung für VS-NfD-Szenarien möglich durch Zugriff über VS-konforme Verbindung
- Umfassende Governance mit vollständiger Kontrolle über alle Fernzugriffe
Erfüllt alle BSI-Empfehlungen zur sicheren Fernwartung im industriellen Umfeld
Ihre Vorteile auf einen Blick
- Fernzugriff, VPN und Firewalling in einer Lösung
- Zentrale Verwaltbarkeit mit jederzeit vollständiger Kontrolle über Wartungsaktion, Zugriffszeitpunkt, Ziel und zugreifende Instanz
- Hohe Betriebssicherheit durch Bestätigung der Verbindungsaufnahme von innen, z. B. per Windows-App oder Schlüsselschalter
- Einfache und einheitliche Bedienung einer Vielzahl von Services und Integration von Fremdlösungen möglich
- Viren-/Malware-Schutz durch Datenprüfung mittels externer Virenscanner über ICAP-Schnittstelle
- Konform zur NIST-Empfehlung (National Institute of Standards and Technology/USA)
- Konform zu Grundschutz-Anforderungen bis zu hohem Schutzbedarf durch Erfüllung der verschärften Vorgaben des IT-Grundschutz-Kompendiums 2022
- Sicherheitsniveau an Bedarf anpassbar, „offener“ und fortlaufender Zugriff bis hin zu vollständiger Kontrolle
- Ausgefeiltes Corporate-ready Rechte- und Rollensystem für Hunderte Fernwarter weltweit
- Höchste Sicherheit und Kontrolle durch portgenauen Zugriff auf das vom Rest der Anlage isolierte Zielsystem sowie Rendezvous-Punkt in der DMZ oder in der Cloud
- Video-Aufzeichnungsfunktion und Logging
- Die Infrastruktur-Komponenten der Lösung sind als Hardware- und virtualisierte Appliances (z. B. für den Betrieb in Azure) erhältlich, Servicebox-Hardware ist auch als Industrial-Variante mit zweckgemäßem Temperaturbereich und Formfaktor sowie Komfort-Features wie z. B. Schlüsselschalter verfügbar
- Hochsicherer Update-Mechanismus schützt vor Angriffen mit Quantencomputern
-
Grundlegende Informationen zur Fernwartungslösung für Unternehmen, die Remote Services nutzen
-
Grundlegende Informationen zur Fernwartungslösung für Hersteller und Dienstleister, die Remote Service anbieten
Fernwartung mit genubox
genubox ermöglicht Ihnen hochsichere Fernwartungszugriffe an nahezu jedem Ort.
Als robuste Appliance kann sie beispielsweise an Industrierobotern, Windrädern oder auch einfach in Serverräumen installiert werden, die von Herstellern oder Dienstleistern per Fernzugriff überwacht und betreut werden. Im Wartungsfall sorgt genubox hier für Sicherheit: Sie baut eine verschlüsselte Verbindung für die Datenübertragung auf und beschränkt mit ihrer Firewall-Funktion den externen Zugriff ausschließlich auf das betreute System – andere sensible Netzbereiche beim Kunden sind somit über den Wartungszugang nicht erreichbar.
Sicherer Wartungszugriff in sensible Netze
Unternehmen mit größeren Maschinenparks und auch die Fernwartungsanbieter müssen eine ständig steigende Anzahl von Fernwartungsverbindungen einrichten. Dabei ist zu beachten, dass die betreuten Maschinen zumeist in die lokalen Netzwerke (LAN) eingebunden sind. Sollten über diesen Wartungszugang Unbefugte oder Schadcode in das LAN eindringen, kann dies gravierende Folgen haben – nicht zuletzt für die Beziehung zwischen Fernwarter und Kunden. Hier muss eine Fernwartungslösung eingesetzt werden, die ein hohes Sicherheitsniveau gewährleistet. Weitere Anforderungen an Fernwartungslösungen sind eine komfortable Bedienung und Administration sowie eine einfache Integration.
Sichere Lösung: Rendezvous Server zur Kopplung der Verbindungen
genua bietet eine Fernwartungslösung, die hohe Anforderungen erfüllt: ein hohes Sicherheitsniveau, eine komfortable Bedienung und Administration sowie eine einfache Integration.
Unser Konzept: Es werden keine einseitigen Zugriffe vom Fernwartungsservice in Kundennetze zugelassen. Stattdessen laufen alle Wartungsverbindungen über einen Rendezvous Server. Dieser kann sich z. B. als Appliance lokal beim Dienstleister oder beim Kunden in einer Demilitarisierten Zone (DMZ) oder als virtuelle Instanz in der Cloud befinden.
Hierhin bauen sowohl der Wartungs-Service als auch der Kunde zum verabredeten Zeitpunkt Verbindungen auf. Erst mit dem Rendezvous auf dem Server entsteht die durchgängige Wartungsverbindung. Über diese kann jetzt der Service die Maschinenanlage oder das IT-System im Kundennetz ansprechen. So gewährleistet die Rendezvous-Lösung Kunden die vollständige Kontrolle über Wartungszugriffe in ihre Netze.
Durch die Möglichkeit, einen Virenscanner an den Rendezvous Server anzubinden, lassen sich die vom Dienstleister gesendeten Daten auf Schadcode überprüfen. Diese Option bietet zusätzlichen Schutz vor Angriffen und sichert die Anlagenverfügbarkeit.
Umfassende Übersicht, Kontrolle und Nachvollziehbarkeit
genubox verfügt über eine Schnittstelle zu SIEM-Systemen (Security Information and Event Management) zur zentralen Erfassung aller sicherheitsrelevanten Meldungen der Fernwartungslösung. Damit lassen sich diese mit Meldungen weiterer Systeme intelligent verknüpfen und Angriffsversuche nachvollziehen, die bei isolierter Betrachtung einzelner Systeme unerkannt bleiben.
Während eines Wartungszugriffs gilt das Vier-Augen-Prinzip: Anlagenbetreiber können alle Aktionen der Wartungs-Services live über die Bedienoberfläche mitverfolgen. Für eine spätere Nachvollziehbarkeit ist ebenfalls gesorgt – Videomitschnitte ermöglichen eine revisionsoptimierte Dokumentation aller Wartungsarbeiten.
So haben Anlagenbetreiber die externen Zugriffe stets unter Kontrolle und können rückwirkend einfach feststellen, wer wann was in ihrem Netzwerk gemacht hat. Falls kritische Vorfälle auftreten sollten, lassen sich Ursachen, Verantwortlichkeiten und ggf. auch Regressforderungen mit dieser umfassenden Dokumentation klären.
Privileged Access Management (PAM)
genubox kombiniert die Vorteile für sichere Fernwartung mit den Schutzfunktionen einer Privileged-Access-Management-Lösung. Dabei werden Zugriffe auf kritische Ressourcen überwacht und unbefugte Handlungen im Netzwerk abgewehrt. Die Vorteile des Privileged Access Managements im Einzelnen:
Granulare Zugriffskontrolle: genubox bietet eine präzise Steuerung des Zugangs – nur autorisierte Fernwarter können nur auf spezifische Anlagen zugreifen.
Vollständige Sitzungskontrolle und Protokollierung: genubox überwacht, wer wann auf welche Systeme zugreift. Sitzungen können revisionsoptimiert aufgezeichnet, archiviert und bei Bedarf nachvollzogen werden, um verdächtige Aktivitäten zu erkennen.
Sichere Zugriffsmethoden: Die Fernwartungslösung von genua beinhaltet einen Rendezvous Server, der als zentrale Sicherheitskomponente dem Anlagenbetreiber jederzeit vollständige Kontrolle über den Wartungsvorgang bietet.
Kein Netzwerkzugriff: Autorisierte Fernwarter greifen direkt auf die betroffene Anwendung zu, ohne Zugang zum Netzwerk zu erhalten. Dadurch wird das Risiko, Schadsoftware oder Sicherheitslücken in das Netzwerk des Anlagenbetreibers einzuschleusen, erheblich reduziert.
Support von Zero-Trust-Konzepten
Beim Zero-Trust Networking wird das Vertrauen in die Sicherheit des Gesamtnetzes durch das Vertrauen in die Sicherheit spezifischer Kommunikationsendpunkte ersetzt, d. h. in Geräte, Dienste und Anwendungen.
Eine Kompromittierung einzelner Endpunkte ist damit auf die erlaubten Kommunikationsbeziehungen beschränkt und gefährdet nicht mehr das Gesamtnetz. Dieses Vorgehen gibt dem Betreiber die Kontrolle über seine Anlagen zurück und verringert proaktiv die Angriffsfläche.
Die Fernwartungslösung von genua unterstützt Zero-Trust-Konzepte. In diesem Zusammenhang übernimmt der Rendezvous Server die Rolle des Software-defined Perimeter und erlaubt authentisierten externen Anwendern den Zugriff nur auf spezifische Dienste. Hierhin verbindet sich das Zielsystem von innen. Der Fernwarter wiederum baut ebenfalls eine verschlüsselte Kommunikation zu diesem Perimeter auf. Nach erfolgreicher Authentisierung wird ein Zugriff ausschließlich auf spezifisch benötigte Dienste ermöglicht, wie z. B. auf den Desktop der zu wartenden Maschine, das Terminal oder auf ausgewählte Ports.
Das geschieht nach dem Principle of Least Privileges: Nur das gewünschte Protokoll der Software bestimmt also die Verbindung, alle anderen Anwendungen oder gar beide Netze werden nicht gekoppelt.
Eine Schnittstelle zu Identitäts- und Zugriffsmanagementsystemen ermöglicht die flexible Anbindung der Fernwartungslösung an eine zentrale Benutzer- und Rechteverwaltung. genubox unterstützt Keycloak, Microsoft Active Directory, Microsoft Entra ID (vormals Azure Active Directory), OKTA und RADIUS (Remote Authentication Dial-In User Service).
Revisionsoptimierte Videoarchivierung mit genuview
Remote Sessions können aufgezeichnet und zur Dokumentation archiviert werden. So lässt sich rückwirkend einfach feststellen, wer wann was im Netzwerk gemacht hat. Die Access- und Storage-Management-Lösung genuview erweitert diese Möglichkeit.
Die anwenderfreundliche Bedienungsoberfläche von genuview erleichtert hierbei die Übersicht, Verwaltung und Archivierung der Videos. genuview ist zudem komfortabel auf große Datenmengen und viele dauerhafte Verbindungen skalierbar.
Die Access- und Storage-Management-Lösung wird direkt mit der Fernwartungslösung verbunden. Die Serviceboxen an den Zielsystemen leiten die Daten der Video-Aufzeichnungen an externe genuview-Server weiter, z. B. auf einen Kunden-Server zur dortigen Speicherung und Archivierung.
Flexibilität und Effizienz durch Virtualisierung
Sowohl Rendezvous Server als auch Servicebox sind nicht nur als Appliance in verschiedenen Hardware-Varianten, sondern auch virtualisiert einsetzbar.
Die sichere Fernwartungslösung ist vollständig virtualisiert oder im Mischbetrieb flexibel einsetzbar, z. B. in Private und Public Clouds wie z. B. Azure sowie auf spezieller Industrie-Hardware in der Produktion. Zudem werden die häufigsten Hypervisoren unterstützt. Dabei überzeugt genubox Virtual durch eine besonders einfache Inbetriebnahme, unter anderem durch effizientes Shipping, Deployment und zentrales Management aller Instanzen. Die Software-Anwendung ist kompatibel zur Access- und Storage-Management-Lösung genuview – für eine revisionsoptimierte Verwaltung und Archivierung von Remote-Session-Aufzeichnungen.
Benutzerfreundliche Bedienung mit Windows App, Webbrowser und zentralem Management
Den sicheren Fernzugriff initiiert der Service-Mitarbeiter via benutzerfreundlicher Windows App, für deren Anwendung keine Administratorrechte notwendig sind, oder flexibel in einem Standard-Webbrowser. Baut der Anlagenbetreiber jetzt ebenfalls seinen Teil der Wartungsverbindung zum Rendezvous Server auf, kann der Service-Mitarbeiter direkt auf das betreute Zielsystem zugreifen.
Die Administration der Fernwartungslösung erfolgt über eine Central Management Station. Diese ist auch für den Betrieb großer Installationen mit zahlreichen Wartungsverbindungen geeignet. So lässt sich mit geringem Aufwand eine einheitliche Lösung betreiben, über die alle Fernwartungsverbindungen laufen.
Einsatzszenario: Rendezvous-Server beim Anlagenbetreiber
Mit der Rendezvous-Architektur können sowohl Service-Anbieter als auch Betreiber großer Maschinenparks beliebig viele Fernwartungsverbindungen komfortabel und hochsicher administrieren.
Verschlüsselung Made in Germany
Für die Zugriffe auf den Rendezvous Server werden stark verschlüsselte und authentisierte Punkt-zu-Punkt-Verbindungen erzeugt – es findet keine Netzkoppelung statt.
Die vom deutschen Hersteller genua verwendeten Verschlüsselungs- und Authentisierungsverfahren sind mit heutiger Technologie nicht zu knacken.
So ist sichergestellt, dass ausschließlich berechtigte Teilnehmer Zugang zu dem Server erhalten und die Datenkommunikation weder abgehört noch manipuliert werden kann.
Bei dem betreuten System im Netz des Kunden muss nur die Fernwartungslösung genubox installiert werden. Sie dient als Gegenstelle für die verschlüsselte Verbindung und schirmt mit ihrer integrierten Firewall im Wartungsfall das betreute System vom restlichen Kundennetz ab. So führt die Verbindung ausschließlich zum Wartungsobjekt, Zugriffe auf andere Systeme im Kundennetz sind nicht möglich. Diese Maßnahmen garantieren ein sehr hohes Sicherheitsniveau.
Einfache Integration
Flexibler Betrieb wird durch Cross-Platform-Funktionalität und Deployment in der Cloud, on Premises, auf Rack-Hardware oder als robuste Industrie-Appliance ermöglicht.
Bei dem betreuten System wird als Gegenstelle die Fernwartungslösung genubox installiert. Hier lässt sich genubox einfach in Betrieb nehmen: Die vorkonfigurierte Lösung wird lediglich noch ans Netzwerk angeschlossen. Da Firewalls in der Regel ausgehende Verbindungen zulassen, kann vom Netzwerk aus jetzt auf den Rendezvous Server zugegriffen werden – damit ist die Fernwartungslösung fertig eingerichtet.
Für zusätzliche Effizienz sorgen eine schnelle Inbetriebnahme in Wartungszyklen, Sicherheits-Updates, eine zentrale Administration sowie Massenkonfiguration.
Post-Quanten-Kryptografie: genua erfüllt zukünftige Sicherheitsanforderungen
Mit Produkten von genua gelingt Ihnen der Übergang in die Post-Quanten-Kryptografie. Unser Update-Mechanismus gewährleistet heute und in Zukunft vertrauenswürdige Produktaktualisierungen: Neben einer digitalen Signatur für höchste Sicherheit nach aktuellen Maßstäben schützt die Erweiterung um eine quantenresistente Signatur schon jetzt wirksam vor Angriffen mit Quantencomputern.
Eine sichere Investition gemäß BSI-Empfehlung
Experten gehen davon aus, dass Quantencomputer in einigen Jahren derzeit verbreitete kryptographische Verfahren schwächen oder gar brechen können. Die Sicherheit des von genua in Kooperation mit der TU Darmstadt und der TU Eindhoven entwickelten Verfahrens XMSS ist heute wohlverstanden. Durch dessen Anwendung erfüllen wir die Empfehlungen für zukunftssichere Software-Updates gemäß Bundesamt für Sicherheit in der Informationstechnik (BSI) und National Institute of Standards and Technology (NIST).
Trainings
Produkttrainings genubox
Die genubox kann vieles – damit unsere Kunden die Möglichkeiten voll ausschöpfen können, bieten wir ihnen das Produkt-Training. Unsere Trainings beschäftigen sich stets mit den aktuellen Releases der Sicherheitslösungen und finden an unserem Firmensitz in Kirchheim bei München statt.