Die Wartung wichtiger Platinen, Controller und anderer Komponenten von Transport- und Staplerfahrzeugen erfolgt heutzutage in der Regel digital. Das macht sie aber anfällig für Cyber-Angriffe. Ein Szenario, das vermieden werden muss! So half die FB Pro mit einer angepassten Systemhärtung.
Über HUBTEX
HUBTEX entwickelt und produziert Seitenstapler, Flurförderzeuge und Sonderfahrzeuge. Das Unternehmen aus dem hessischen Fulda steht für wartungsarme Technik, Langlebigkeit und hohe Qualitätsstandards.
Die Ausgangslage
Die Fahrzeuge von HUBTEX kommen weltweit zum Einsatz. Zu den Kunden zählen auch Unternehmen, die im Bereich KRITIS (= Kritische Infrastruktur) aktiv sind. Für ein wichtiges und zeitlich dringendes Projekt lieferte HUBTEX angepasste Fahrzeuge für den Einsatz in einer speziellen Umgebung.
Das für diese Fahrzeuge relevante Service-Gerät, ein Notebook mit Windows 10, war ebenfalls Bestandteil des Auftrages. Dieses Service-Gerät musste entsprechend gesichert werden.
Die Absicherung der Service- und Wartungsinfrastruktur ist wichtig, da die Stapler- und Sonderfahrzeuge beispielsweise per Netzwerkverbindung und USB-Stick von Technikern gewartet werden können. In diesen Situationen müssen stets die Aspekte Informationssicherheit und Datenschutz gewährleistet sein.
Das Ziel von HUBTEX war es, die Angriffsvektoren initial und auch während des Betriebs so weit wie möglich zu minimieren. Und das unter der Prämisse, dass weiterhin die einfache, digitale Wartung der Fahrzeuge möglich bleibt.
Die Lösung
Was ist die ideale Lösung für die Anforderungen von HUBTEX? Eine Systemhärtung! Um diese auf höchstem Standard und voll automatisiert durchführen zu können, kommt das Enforce TAP zum Einsatz.
In mehreren Gesprächen mit HUBTEX und dem Endkunden hat man sich darauf geeinigt, die Härtung nach allgemein anerkannten Hardening-Empfehlungen umzusetzen.
Zudem galt es, verschiedene technische Lösungen auf Basis bekannter Use Cases zu erarbeiten, diese mit den involvierten Ansprechpartnern abzustimmen und technisch zu testen.
Umsetzung und Herausforderungen
Es zeigte sich bald, dass die Hardening-Standards für den Einsatzzweck angepasst werden mussten. Hierfür kamen unter anderem die SiSyPHuS-Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) für Windows 10 zum Einsatz.
Zudem erforderte der Endkunde eine strikte Durchsetzung des “clean source principle”. Das bedeutet, die Installation der Service- und Wartungs-Infrastruktur erfolgte in einer abgeschotteten Umgebung ohne Internet-Zugang. Ausschließlich geprüfte Installationsdateien (zum Beispiel über Malware-Scans und Hashwert-Prüfungen) waren zugelassen. Dies erforderte eine akribische Vorbereitung, da ein Software-Download aus dem Internet “eben mal schnell” in solch einer kritischen Umgebung nicht möglich ist.
Zusätzlich lieferten wir über das Audit TAP die für einen externen Auditor wichtigen Nachweise. Derart konnten wir transparent aufzeigen, an welchen Stellen die Empfehlungen des BSI eingehalten wurden. Für die Abweichungen half uns der Enforce Administrator. Er erzeugte die schnelle und automatische Ausnahmendokumentation.
Neben den besonderen Anforderungen des Endkunden spielte auch der enge Zeitrahmen des Projektes eine wichtige Rolle. Von der Kontaktaufnahme über erste Absprachen, gefolgt von Konzeption und Tests bis hin zur Vorbereitung und Durchführung der Installation inklusive der finalen Systemhärtung vergingen nur rund zwei Wochen.
Das Ergebnis
Das Enforce TAP sorgt nun für eine fortwährende Härtung der Service-Infrastruktur. Damit kann sie bei der kritischen Infrastruktur des HUBTEX-Kunden zum Einsatz kommen. Und die Techniker haben weiterhin die Möglichkeit, wie gewohnt die Fahrzeuge zu warten.
Informationssicherheit auf höchstem Niveau, “just in time” und mit bester Praktikabilität: So lässt sich das Ergebnis des Projektes zusammenfassen.
Über die Enforce Suite
Enforce TAP und Enforce Administrator sind Bestandteile der Enforce Suite. Damit sichern Unternehmen ihre IT-Systeme durch die technische Maßnahme “Systemhärtung” ab, basierend auf gesetzlichen Anforderungen.
Die FB Pro setzt seit Jahren erfolgreich Enforce TAP und Enforce Administrator ein, um besonders komplexe Systemlandschaften zu härten. Die Implementierung wie auch die dauerhafte Betreuung kann im Rahmen eines Managed Service erfolgen.
Sie interessieren sich für Systemhärtung? Sie stehen vor einer Einstufung als KRITIS-relevantes Unternehmen? Schreiben Sie uns eine Mail, wir freuen uns!