In diesem Abschnitt werden typische IT-Sicherheitsthemen aufgeführt, welche mit der IT-Abteilung abgestimmt werden müssen. Abhängig von den Resultaten der in den letzten zwei Kapiteln beschriebenen Abklärungen kann festgelegt werden, welche der folgenden Themen relevant sind.

Physischer Zugang zu IP-Netzwerken

Orte, an welchen ein Zugang zum GA-VLAN/Subnetzwerk benötigt wird:

  • Technikräume im Keller und auf dem Dach
  • Verteilte Automationsstationen
  • Raumautomationsstationen
  • IP-basierte Raumbediengeräte
  • Managementstation/-plattform

Anzahl IP-Adressen pro Standort/Router oder Managed-Switch Port.

Resultierende LAN-Struktur inklusive Hubs und Switches (unmanaged).

Verwendung statischer IP-Adressen oder Hostnames

Die GA-Komponenten können projektabhängig für die Verwendung statischer IP-Adressen oder Hostnames konfiguriert werden.

Geräte mit aktiver BBMD-Funktionalität benötigen ebenfalls eine statische IP-Adresse (kein IT-Sicherheitsthema)

Statische IP-Adressen sind einfacher zu verwenden, da sie keinen Domain Name Server (DNS) benötigen. Manche Managementstationen und Webserver verlangen nach diesen. Der Zugang über URL ist auch möglich, wenn ein lokaler DNS verfügbar ist.

Die Anzahl Adressen ist pro LAN-Subnetzwerk festzulegen.

VLAN-Setup

Es müssen die Geräte definiert werden, auf welche aus anderen VLANs (z.B. aus dem Büro-VLAN) oder aus dem Internet (via VPN) zugegriffen werden muss.

Die Liste der in den Zugriffskontrolllisten zu öffnenden Ports muss sehr restriktiv definiert werden z.B. Port 443 für den Zugriff auf die Webserver. Das Öffnen von Ports für Remote-Desktop-Dienste muss vermieden werden, da dies Tür und Tor für Angriffe öffnet.

Es muss definiert werden, welche Geräte an zwei VLANs oder zwei physische LANs, z.B. eine Managementstation mit zwei Netzwerkkarten, anzuschliessen sind.

VPN-Zugang

Zusammen mit der IT-Abteilung klären, ob der Zugang zum GA-System über den allgemeinen VPN-Zugang der Firma oder separat erfolgen soll.

Festlegen, welche Geräte über den VPN-Tunnel erreichbar sein müssen, d.h. welche Geräte in welchem VLAN und LAN-Segment.

Benötigte Anzahl von VPN-Nutzern für GA-Systemzwecke festlegen.

Festlegung der Anzahl von VPN-Tunnels, die gleichzeitig verwendet werden können. Diese Anzahl sollte möglichst tief sein, d.h. die Anzahl der normalen Benutzer, für welche paralleler Zugriff benötigt wird, zusätzlich 1 oder 2 für Support.

Methode zur Authentifizierung der VPN-Benutzer

Standard-Ports nach Möglichkeit vermeiden und Ports aus dem privaten Port-Bereich für das VPN verwenden.

Wenn der Internet-seitige Router VPN nicht unterstützt:

  • Router austauschen.
  • Anderen Router zwischen bestehendem Router und Internet einsetzen und diesen Router das VPN terminieren lassen.
  • Port-Forwarding am Internet-Router zu dem Gerät, das Endpunkt für den Tunnel ist (Router oder VPN Software auf der Managementstation).

Abstimmung mit der IT-Abteilung, so dass die Benutzer VPN-Zugriff erhalten und deren Geräte (Computer, Tablets) die nötigen Informationen erhalten.

Will der Kunde den VPN-Zugang nicht permanent aktiviert haben, sind die Prozesse zur Aktivierung/Deaktivierung des VPN-Zugangs zu definieren.

Falls der Standort nur mittels dynamischer IP-Adresse im Internet erreichbar ist, ist ein DDNS-Dienst einzurichten. Fragen sind: Welcher DDNS-Provider, welche URL? Bei mehr als einem VPN-Zugang müssen die URLs pro Zugang abgestimmt werden.

Bei einem komplexeren Szenario (z.B. GA-Domäne/Subnetzwerk nicht direkt mit Router zum Internet verbunden) müssen Sie sicherstellen, dass der Kunde die verschiedenen Router und Firewalls verwaltet, oder ziehen Sie einen IT-Experten zurate.

Malware-Schutz

Welche Server und PCs werden für das GA-System benötigt: Pro PC müssen das Betriebssystem, Virenscanner und persönliche Firewalls definiert werden.

Verantwortung für Wartung während der Nutzungsphase für Virenscanner (Software und Signaturen) und persönliche Firewalls klären (bei nicht-Microsoft-Produkten). Kontinuierliche Systembetreuung sicherstellen.

Sicheres Aufsetzen von Servern und Clients

Abgleich der IT-Richtlinien für das sichere Aufsetzen von Servern und Clients für den Einsatz mit dem GA-System.

Kümmert sich das GA-Personal um die Basisinstallation der PCs und Server, müssen Richtlinien zur IT-Sicherheit umgesetzt werden.

Absichern der Standardinstallation des Betriebssystems. Verschiedene Regierungsorganisationen geben entsprechende Leitlinien heraus.

Abgelehnte Massnahmen zur IT-Sicherheit

Weist ein Kunde die Umsetzung IT-sicherheitsrelevanter Massnahmen zurück oder verlangt, dass Sicherheitsfunktionen in Desigo/Apogee deaktiviert werden (z.B. aus Kostengründen oder Bequemlichkeit), ist es empfehlenswert, einen autorisierten Vertreter des Kunden ein Memo unterschreiben zu lassen, welches mögliche Konsequenzen aufgrund des Verzichts auf IT-sicherheitsrelevante Massnahmen beschreibt.

Je nach Land kann es notwendig sein, Kunden bezüglich Gefahren und möglichen Konsequenzen aufzuklären und diese Aktivität zu dokumentieren, um eine Haftung auszuschliessen.

Lassen Sie sich diesbezüglich von Juristen in Ihrem Land beraten.

IT-sicherheitsrelevante Gerätekonfiguration

Die Konfiguration von IT-Geräten wie Routern und Switches, speziell auch IT-Sicherheitsfunktionen, ist herstellerspezifisch. Es empfiehlt sich daher, eine Produktlinie auszuwählen, die bezüglich guter Skalierbarkeit (Grösse und Leistungsfähigkeit), Features und Preis für die meisten Projekte genutzt werden kann.

Kann die IT-Infrastruktur frei gewählt werden, ist es sinnvoll, diese Produkte zu verwenden, um das Risiko falscher Konfigurationen wegen mangelnder Erfahrung zu reduzieren.

Mangelnde Erfahrung

Mangelt es dem GA-Personal an der erforderlichen Erfahrung, empfehlen wir, einen vertrauenswürdigen IT-Spezialisten zu beauftragen, um Fehler mit kritischen Auswirkungen zu vermeiden.