sematicon se.MIS 2.8.3
Wartungsfenster
Veröffentlicht in Ausgabe 10/2022 - TESTS
Im Vergleich zur Information Technology (IT) hat sich der Begriff der Operation Technology (OT) erst in jüngerer Vergangenheit etabliert. OT bezeichnet sämtliche Systeme und Technologien, die produktionsnahe Prozesse und sämtliche operativen Abläufe steuern. Dabei darf es sich um Anlagen in produzierenden Unternehmen, in Logistik und Transport und im Rahmen kritischer Infrastrukturen (KRITIS) etwa um Verkehrsleitsysteme oder Anlagen der Energie- und Wasserversorgung handeln.
Während die IT-Abteilung eines Unternehmens sich typischerweise um die Versorgung der Endanwender mit Standardsoftware kümmert, sind Aufgaben der OT traditionell in Fachbereichen angesiedelt. Mit dem Trend zur Automatisierung im Industrial Internet of Things (IIoT) nähern sich beide Welten zunehmend einander an. Doch sind die Innovationszyklen in der OT deutlich länger als in der schnelllebigen IT. Es ist keine Seltenheit, dass Anlagen spezielle Software oder auch Erweiterungskarten erfordern, die nur mit Win dows 7, XP oder noch älteren Versionen harmonieren und noch dazu oftmals weder regelmäßige Reboots noch Virenscanner mögen. Erlauben solche Systeme direkte Netzwerkverbindungen, sind sie leichte Beute für Angreifer.
Waren industrielle Steuerungen (Supervisory Control and Data Acquisition, SCADA) früher streng abgekapselt, sollen sie heute komfortabel aus der Ferne zu bedienen sein. Dass ein ungefilterter Fernzugriff auf SCADA-Systeme fatal enden kann, hat bereits vor über zehn Jahren der Wurm Stuxnet am Beispiel industrieller Steuerungen auf Basis von Siemens Simatic S7 bewiesen. Zur Steuerung der S7-Produktfamilie kommt mit dem Process Field Network (ProfiNet) ein Protokoll zum Einsatz, das Administratoren klassischer IP-Netze nicht unbedingt geläufig ist und dessen Absicherung neue Herausforderungen mit sich bringt.
Im Vergleich zur Information Technology (IT) hat sich der Begriff der Operation Technology (OT) erst in jüngerer Vergangenheit etabliert. OT bezeichnet sämtliche Systeme und Technologien, die produktionsnahe Prozesse und sämtliche operativen Abläufe steuern. Dabei darf es sich um Anlagen in produzierenden Unternehmen, in Logistik und Transport und im Rahmen kritischer Infrastrukturen (KRITIS) etwa um Verkehrsleitsysteme oder Anlagen der Energie- und Wasserversorgung handeln.
Während die IT-Abteilung eines Unternehmens sich typischerweise um die Versorgung der Endanwender mit Standardsoftware kümmert, sind Aufgaben der OT traditionell in Fachbereichen angesiedelt. Mit dem Trend zur Automatisierung im Industrial Internet of Things (IIoT) nähern sich beide Welten zunehmend einander an. Doch sind die Innovationszyklen in der OT deutlich länger als in der schnelllebigen IT. Es ist keine Seltenheit, dass Anlagen spezielle Software oder auch Erweiterungskarten erfordern, die nur mit Win dows 7, XP oder noch älteren Versionen harmonieren und noch dazu oftmals weder regelmäßige Reboots noch Virenscanner mögen. Erlauben solche Systeme direkte Netzwerkverbindungen, sind sie leichte Beute für Angreifer.
Waren industrielle Steuerungen (Supervisory Control and Data Acquisition, SCADA) früher streng abgekapselt, sollen sie heute komfortabel aus der Ferne zu bedienen sein. Dass ein ungefilterter Fernzugriff auf SCADA-Systeme fatal enden kann, hat bereits vor über zehn Jahren der Wurm Stuxnet am Beispiel industrieller Steuerungen auf Basis von Siemens Simatic S7 bewiesen. Zur Steuerung der S7-Produktfamilie kommt mit dem Process Field Network (ProfiNet) ein Protokoll zum Einsatz, das Administratoren klassischer IP-Netze nicht unbedingt geläufig ist und dessen Absicherung neue Herausforderungen mit sich bringt.
An dieser Stelle kommt der deutsche Hersteller sematicon mit se.MIS für das sichere Remotemanagement für Industrie- und Steuerungsanlagen ins Spiel. se.MIS ist kein einzelnes Produkt, sondern eine ganze Plattform aufeinander abgestimmter Bausteine, die es sowohl den internen Mitarbeitern eines Unternehmens als auch externen Technikern ermöglichen will, Wartungsarbeiten sowie die kontinuierliche Überwachung von Systemen auch aus der Ferne sicher durchzuführen.
| Produkt |
Remotemanagement und Wartungsbuch für Anlagenrechner und industrielle Steuerungen
|
|---|---|
| Hersteller |
sematicon AG
|
| Preis |
Für ein Beispielszenario mit 200 Maschinen/ Wartungsbüchern kostet die Lizenz im Subskriptionsmodell zwischen 25 bis 35 Euro pro Wartungsbuch und Monat. Projektpreise mit Unterstützung bei der Installation und Konfiguration auf Anfrage.
|
| Systemanforderungen |
- se.MIS Manager, Connector und Access Gateway: Kubernetes-Infrastruktur in einer Cloud oder on-premises; Virtualisierungsinfrastruktur (Microsoft Hyper-V, VMware ESXi, Proxmox, RedHat Virtualization, Citrix- Hypervisor)
- Remote-Protokolle: RDP ab Windows 2000 aufwärts, VNC unabhängig vom Typ des Servers (RealVNC, UltraVNC et cetera), SSH, IP mit Fokus auf Siemens Simatic S7 (TIA/STEP7)
|
| Technische Daten |
Lückenloses Wartungsbuch
Das zentrale Element von se.MIS bildet ein digitales Wartungsbuch, das konsequent sämtliche Fernzugriffe auf angeschlossene Systeme erfasst. Dazu baut se.MIS auf ein Zugriffs- und Berechtigungsmodell mit unterschiedlichen Rollen und Benutzergruppen, das genau definiert, wer zu welchem Zeitpunkt und wie lange auf ein bestimmtes Zielsystem zugreifen darf.
Das Berechtigungskonzept erlaubt es internen Anwendern, im Self-Service befristete Wartungssitzungen für externe Techniker freizuschalten. Auf Wunsch protokolliert se.MIS dabei nicht nur, wann und wie lange Benutzer mit einem Zielsystem verbunden waren, sondern erfasst mittels Videomitschnitt und Protokoll der ausgeführten Befehle detailliert, welche Aktionen der zugreifende Benutzer ausgeführt hat.
Lizenzierung pro Wartungsbuch
Der Hersteller hat die Plattform se.MIS als modulares System mit optionalen Bausteinen konzipiert. sematicon lizenziert das Produkt pro Wartungsbuch, also pro zu überwachende Maschine. Dabei darf eine Maschine aus mehreren Komponenten bestehen, etwa aus einem Win dows- Rechner, der per Microsoft RDP Sitzungen entgegennimmt, und zusätzlich einer per Secure Shell (SSH) administrierten Netzwerkkomponente oder auch einer per IP verbundenen S7-Steuerung.
Eine Lizenz bezieht sich immer auf eine Maschine als Ganzes und es fallen keine weiteren Kosten für einzelne Benutzer oder Client Access Licenses (CAL) an. Kunden dürfen zwischen einer kontinuierlichen Subskription oder dem einmaligen Kauf einer Lizenz zuzüglich einer jährlichen Pauschale für Wartung und Support wählen. Der Hersteller stellt im Rahmen der Wartung nicht nur Fehlerbehebungen bereit, sondern setzt auch Wünsche nach neuen Funktionen um, die dann ins Produkt einfließen und allen Kunden zugutekommen.
Kubernetes als Basis
Der se.MIS Manager bildet das Kernstück der Umgebung. Hier konfigurieren die Admins sämtliche Wartungsbücher für Maschinen und die Berechtigungen darauf. Der Manager ist wahlweise in einer Public Cloud, Private Cloud oder alternativ on-premises im internen Netz einer Organisation angesiedelt. sematicon hat das System als Cloud-native Anwendung auf Basis von per Kubernetes verwalteten Docker-Containern entwickelt. Laut sematicon betreiben die meisten Kunden se.MIS mittels der Microsoft Azure Kubernetes Services (AKS), doch se.MIS harmoniert grundsätzlich mit jeder Kubernetes- Umgebung.
Läuft der se.MIS Manager in einer Cloud ohne direkte Verbindung ins Maschinennetz, stellt der se.MIS Connector – ebenfalls ein Docker-Container – die Verbindung zu den Zielsystemen her. Manager und Connector kommunizieren ausschließlich verschlüsselt per HTTPS via TCP-Port 443 miteinander. Der Connector erübrigt damit herkömmliche VPN-Verbindungen zu den Zielsystemen.
In lokalen Infrastrukturen, in denen noch keine Kubernetes-Umgebung existiert, benötigen sowohl der se.MIS Manager als auch der Connector klassische virtuelle Maschinen als Basis. Als Hypervisor dürfen Microsoft Hyper-V, VMware ESXi, Proxmox, RedHat Virtualization oder der früher als XenServer bekannte Citrix- Hypervisor zum Einsatz kommen. Auf Wunsch ist der Connector laut sematicon auch als Hardware realisierbar. Hier integriert se.MIS sich mit den Edge-Gateways des Herstellers Welotec.
Im Idealfall ist der se.MIS Manager oder der Connector das einzige System mit Zugriff auf die Ziele in isolierten Maschinennetzwerken. Die Isolation erreichen Administratoren mithilfe üblicher Netzwerktechnologien, indem etwa eine Firewall ausschließlich dem se.MIS Manager über das gewünschte Protokoll Zugriff auf ein Zielsystem erlaubt (Bild 1).
RDP, VNC, SSH oder Hardware-KVM
Der se.MIS Manager versteht sich auf Microsoft RDP sowie Verbindungen mittels Virtual Network Computing (VNC). Im Hinblick auf RDP ist se.MIS abwärtskompatibel bis zu Windows 2000 und kann mit allen Spielarten von VNC umgehen. Für noch ältere Systeme und solche, die über keinerlei direkte Netzwerkverbindung verfügen, hat sematicon verschiedene Modelle von KVM-Extendern im Angebot. Diese integrieren auch Ziele unter MS-DOS, Windows 3.11 sowie Win - dows 95/98 oder eingebettete Systeme mit Windows CE.
Die analogen KVM-Extender binden Rechner mit VGA- sowie PS/2-Anschlüssen ein. Die digitale KVM-Erweiterung überträgt Grafik via DVI oder HDMI und steuert Tastatur sowie Maus per USB fern. Optional bietet der Hersteller mittels zusätzlicher Lizenz die Aktivierung einer USB-Virtual-Media-Unterstützung, die allerdings nur Massenspeicher durchreicht. Anderweitige USB-Geräte realisiert sematicon mit einem eigenen USB/IP-Client.
Linux-Systeme, Netzwerkkomponenten oder auch IoT-Geräte bindet se.MIS per Secure Shell an. In jedem Fall sorgt der se.MIS Manager für eine vollständige Isolation von Client und Zielsystemen in der Weise, dass Clients keine direkte Verbindung mehr zum Ziel aufbauen können. Stattdessen verbindet sich ein Client per Browser mit dem Webinterface des se.MIS Managers, der die grafischen Sitzungen per RDP oder VNC sowie auch SSH-Sessions in einem Webclient darstellt. Das funktioniert unabhängig vom Clientbetriebssystem und mit allen aktuellen Browsern unter Apple macOS sowie iOS, Google Android und ChromeOS sowie Windows.
Indirekte Dateitransfers für RDP und VNC
Durch Isolation und indirekte Verbindungen verhindert se.MIS Angriffe auf Remoteprotokolle sowie das Abgreifen von Zugangsdaten und bidirektional unkontrollierte Dateitransfers. Auch im Fall von SSH unterbindet se.MIS unerwünschte direkte Up- und Downloads von Dateien sowie Port-Forwarding. Stattdessen realisiert se.MIS indirekte und kontrollierte Dateiübertragung, indem Clients über das Webinterface Dateien zum se.MIS Manager hochladen, der sie archiviert und optional auch eine externe Malware-Scan- Engine einbindet.
Anschließend können Anwender die Dateien in einer Remotesitzung auf einem Zielsystem herunterladen. Das funktioniert für RDP-Verbindungen ohne Weiteres über die Verbindung eines virtuellen Clientlaufwerks. Für VNC-Verbindungen zu Windows-Systemen hat der Hersteller mit seiner File Transfer App ein separates Hilfsprogramm entwickelt, da VNC von Haus aus keine Option für Dateitransfers bietet. Die File Transfer App arbeitet auf Basis der klassischen Microsoft-Windows- API (Win32), ist abwärtskompatibel bis Windows XP und überträgt Dateien per TLS 1.3 verschlüsselt. Nutzer müssen das Tool nicht installieren, sondern lediglich auf das Zielsystem kopieren und dort ausführen. Für SSH-Sitzungen hat der Hersteller mangels Nachfrage seitens der Kunden die Übertragung von Dateien derzeit noch nicht implementiert.
Schutz und Isolation
Im Hinblick auf Anlagensteuerungen hat sich sematicon vor allem auf speicherprogrammierbare Steuerungen (SPS) der Siemens- Simatic-S7-Produktfamilie und das zu deren Steuerung und Programmierung verwendete ProfiNet spezialisiert. Der offene Industrial-Ethernet-Standard ProfiNet nutzt TCP/IP, ist echtzeitfähig und ermöglicht die Integration von Feldbus-Systemen. Ohne se.MIS würde das Total Integrated Automation (TIA) Programmierportal für SPS auf einem Client über einen modifizierten Netzwerkstack per VPN transparent auf die Programmable Logic Controller (PLC) der Anlagen zugreifen.
Die auf Clientcomputern installierte se.MIS Connect App leitet die TIA/STEP7-Kommunikation dagegen über den se.MIS Manager, der alle Aktionen mittels Packet Capture (PCAP) zur späteren Analyse in WireShark erfasst. Für die kommende Version 3.0 von se.MIS hat der Hersteller mit dem optional zu lizenzierenden PLCGuard in Kooperation mit Sicherheitsspezialisten der Alpha Strike Labs eine Erweiterung in Vorbereitung, die Maschinencode aus dem Netzwerkverkehr extrahiert, disassembliert und Änderungen mittels Vorher/ Nachher-Vergleich grafisch darstellt.
Das se.MIS AccessGateway als optionale Komponente in der DMZ ist nicht erforderlich, falls der se.MIS Manager in einer Cloud läuft. Ansonsten ermöglicht es das Gateway externen Benutzern, aus dem Internet auf einen se.MIS Manager on-premises und damit mittelbar auf die angeschlossenen Zielsysteme zuzugreifen. Die Kommunikation erfolgt in allen Fällen ausschließlich per HTTPS via TCP-Port 443, ohne dass aus dem internen Netz heraus die Firewall für direkte Verbindungen auf die Zielsysteme geöffnet werden müsste.
Setup mit VM-Vorlagen
Mangels S7-Steuerungen in unserer Infrastruktur konnten wir uns von der gelungenen IP-Anbindung solcher Systeme nur anhand einer Demoumgebung des Herstellers überzeugen. Wir haben se.MIS in unserem Netz in Verbindung mit dem Zugriff per RDP auf einige Windows-Systeme sowie per SSH auf Linux-Server ausprobiert. Zu diesem Zweck hatte uns der Hersteller passend zu unserer Virtualisierungsinfrastruktur unter VMware vSphere 7 Vorlagen für zwei VMs vorbereitet, eine für den se.MIS Manager im internen Netz sowie eine zweite für das se.MIS Access- Gateway in der DMZ. Gemeinsam mit dem technischen Support von sematicon nahmen wir die Maschinen in Betrieb, was mitsamt Konfiguration individueller SSLZertifikate zur Absicherung der Webinterfaces sowie der Kommunikation zwischen Manager und Gateway kaum eine Stunde in Anspruch nahm.
Daraufhin konnten wir uns bereits mit dem initialen Admin-Benutzer am Webfrontend des se.MIS Managers anmelden und uns an die weitere Konfiguration machen. Das intuitiv bedienbare Webinterface von se.MIS ist klassisch aufgebaut mit einem vertikalen Menü am linken Bildrand. Welche Menüpunkte ein Benutzer sehen kann, hängt von seinen Rollen und den damit verbundenen Berechtigungen ab. Der initiale Admin sieht in seiner Funktion als "Superuser" alle Einträge.
Vielseitige Benutzerverwaltung
Im ersten Schritt navigierten wir zum Punkt "Benutzerverwaltung" und legten einige Testbenutzer an. Diese existieren im einfachsten Fall nur innerhalb von se.MIS. Das System ist jedoch auch in der Lage, andere Identitätsprovider, wie etwa ein Active Directory (AD), einzubinden. Eine solche Konfiguration erfolgt allerdings nicht im grafischen Frontend, sondern wie bei Microservice-Architekturen üblich per Konfigurationsdatei im YAMLFormat. Das hat den Vorteil, dass ein vollständig automatisches Deployment von se.MIS lokal sowie in einer Cloud möglich ist. Im Rahmen des Tests beließen wir es bei lokalen Benutzern.
Pro Benutzer konnten wir wählen, ob der jeweilige Account neben seinem Passwort Multifaktor-Authentifizierung (MFA) per Time-based One-Time-Password (TOTP) verwenden und ob er Superuser- Berechtigungen erhalten soll. Alle weiteren Berechtigungen bindet se.MIS nicht an einzelne Benutzer, sondern an die Zugehörigkeit zu Benutzergruppen, die wir schließlich mit Maschinenrollen verknüpften.
Rollen getrennt nach System und Maschinen
Zuvor definierten wir im Bereich der "Rollenverwaltung" passende Rollen. se.MIS unterscheidet hier System- und Maschinenrollen. Erstere regeln sämtliche Berechtigungen zur Administration des Systems, wie die Verwaltung von Benutzern, Gruppen sowie der verschiedenen Rollen. Die ab Werk enthaltene Rolle "Applikation Administrator" ist mit der ebenfalls vorgefertigten Benutzergruppe der "Administratoren" verbunden und hat alle Berechtigungen inne. Für weitere Systemrollen ließen sich für jeden der Administrationsbereiche die Berechtigungen detailliert festlegen, etwa ob ein Benutzer Maschinenrollen lesen, erstellen, bearbeiten oder auch löschen darf.
Maschinenrollen steuern alle Berechtigungen im Hinblick auf die einzelnen Maschinen und ihre Wartungsbücher. Auch hier behandelt se.MIS die Elemente eines Wartungsbuchs getrennt nach Wartungsbucheinträgen, den einzelnen Bearbeitungsschritten innerhalb eines Wartungsbuchs, Anhängen und Fernwartungen. Im Rahmen unseres Tests entschieden wir uns für ein einfaches Berechtigungsmodell, bei dem wir neben den Administratoren lediglich zwei weitere Maschinenrollen unterscheiden wollen. Interne Benutzer sollten Maschinen, Wartungsbucheinträge, Bearbeitungsschritte sowie Anhänge lesen, erstellen und auch bearbeiten dürfen, jedoch im Sinne der Compliance keine Einträge löschen. Außerdem sollten interne Benutzer Fernwartungen starten und beitreten sowie im Nachgang deren Aufzeichnungen lesen dürfen.
Externen Benutzern erlaubten wir lediglich, Bearbeitungsschritte sowie Anhänge zu lesen und zu erstellen sowie Fernwartungen zu starten und ihnen beizutreten. Damit hatten wir die Voraussetzungen geschaffen, dass externe Benutzer nur auf Veranlassung eines internen Benutzers hin und nur im Rahmen eines ihnen zugewiesenen Wartungsauftrags tätig werden konnten.
Maschinen und deren Schnittstellen anlegen
Nun erstellten wir in der Benutzergruppenverwaltung pro Zielsystem jeweils zwei Gruppen, eine für interne und eine für externe Benutzer. Daraufhin begaben wir uns in den Bereich der "Maschinenverwaltung", wo wir zunächst Maschinengruppen für Linux- sowie Windows- Systeme anlegten. Die Maschinengruppen dienen rein der Strukturierung der Ansicht. Alle weiteren Einstellungen nahmen wir pro Maschine vor und fügten für jeden Zielrechner ein Objekt hinzu.
Für jede Maschine konnten wir neben ihrem Namen optional ein Foto einfügen sowie per Freitext Informationen zu Hersteller, Typ, Seriennummer und Software- Version hinterlegen. Die Konfiguration der Verbindung über einen se.MIS Connector übersprangen wir, da unser se.MIS Manager jeweils direkt mit den Zielsystemen kommunizieren konnte. Das Protokoll und seine Einstellungen konfigurierten wir im Bereich der "Einstellungen für den Remotezugang". Hier unterscheidet se.MIS die Anschluss-Typen VNC, RDP, SSH sowie IP. Pro Protokoll konnten wir festlegen, ob se.MIS Fernwartungen aufzeichnen soll, was im Fall von VNC, RDP sowie SSH in einer Videoaufzeichnung resultiert. Die zusätzliche Protokollierung aller Tastatureingaben ist optional und standardmäßig deaktiviert, da diese Funktion auch Passwörter mitschneiden würde. Im Fall von IP speichert se.MIS sämtliche Netzwerkkommunikation im PCAP-Format.
Für Verbindungen der Typen VNC, RDP und SSH konnten wir weiterhin protokollspezifische Einstellungen regeln, im Fall von RDP etwa Sicherheitseinstellungen, Bildschirmauflösung und die erweiterten RDP-Eigenschaften, wie Hintergrundbild, grafische Effekte oder Anzeige von Fensterinhalten beim Bewegen. Die Informationen zur Anmeldung am Zielsystem konnten wir bei den Einstellungen des Anschlusses fix hinterlegen, sodass ein Benutzer per se.MIS auch eine Fernwartung durchführen kann, ohne das Passwort zum Ziel zu kennen.
Alternativ dazu geben Benutzer die Anmeldeinformationen nach dem Aufbau der RDP-Sitzung selbst ein. Voraussetzung dafür ist allerdings, dass das Zielsystem keine Network Level Authentication (NLA) verwendet. Im Fall von SSH beherrscht se.MIS die Anmeldung per Passwort oder privatem Schlüssel.
Rollen und Benutzergruppen verknüpfen
Zu guter Letzt verknüpften wir dann in den Eigenschaften jeder Maschine im Bereich "Maschinenberechtigung Zuordnung" die Benutzergruppen mit den Maschinenrollen, in unserem einfachen Beispiel also die Rollen für interne und externe Zugriffe mit den jeweiligen Benutzergruppen, die wir pro Maschine vorbereitet hatten. Daraufhin meldeten wir uns mit einem internen Benutzerkonto am System an und sahen ein reduziertes Menü mit einer zunächst leeren Anzeige im Bereich "Meine Aufgaben". Im Bereich "Wartungsbücher" fanden wir die Einträge für unsere Testmaschinen wieder. In jedem Wartungsbuch durften wir einzelne Einträge hinzufügen, Daueraufträge anlegen oder eine Ad-hoc-Wartung initiieren (Bild 2).
Jeder reguläre Eintrag im Wartungsbuch erhält einen Titel und die Art des Vorgangs, wahlweise Wartung, Inspektion oder Fehlerbehebung, zusätzlich versehen mit niedriger, mittlerer oder hoher Priorität. Jeden Wartungsvorgang konnten wir einem verantwortlichen Benutzer zuweisen und so auch unsere externen Benutzerkonten berechtigen und zur Mitarbeit während der im Eintrag hinterlegten Bearbeitungsdauer einladen. Optional konnten wir jeden Vorgang auch per URL oder Ticket-ID einem Vorgang in einem externen Ticketsystem zuordnen.
Kein Fernzugriff ohne Auftrag
Daraufhin erschien der Wartungsauftrag im Webfrontend des zugeordneten Benutzers unter "Meine Aufgaben", wo wir ihn zunächst übernahmen und auf "in Arbeit" setzten und anschließend Bearbeitungsschritte erzeugten, um die eigentliche Fernwartung zu starten. Dazu mussten wir den Bearbeitungsschritt mit Titel und einer optionalen Beschreibung versehen. Über die Schaltfläche "Fernwartung starten" öffnete se.MIS die Remotesitzung im Browser, für RDP und VNC als grafische Sitzung und für SSH als textbasiertes Terminal. Nach getaner Arbeit setzten wir den Auftrag auf "Erledigt". Im Fall eines externen Benutzers war anschließend kein Fernzugriff mehr möglich, sodass se.MIS verlässlich dafür sorgte, dass Externe ohne weitere zugewiesene Arbeitsaufträge keine unautorisierten Aktionen durchführen konnten.
Sollen externe Techniker regelmäßig mit Wartungsarbeiten betraut werden, hilft ein Dauerauftrag, den se.MIS flexibel täglich, wöchentlich, monatlich, quartalsweise, halbjährlich oder jährlich vorsieht. Auch in diesem Fall ist außerhalb der konfigurierten Zeitfenster kein Zugriff möglich. Einfacher haben es Benutzer mit passenden Berechtigungen im Rahmen einer Ad-hoc-Wartung. Mit einem solchen Bearbeitungsschritt konnten wir spontan eine Fernwartungssitzung öffnen. Aber auch die blieb nicht ohne Spuren. se.MIS erzeugte dazu automatisch einen Eintrag im Wartungsbuch, den wir anschließend noch mit einem Titel und einer Beschreibung versehen konnten.
Den Austausch von Dateien protokollierte se.MIS ebenfalls lückenlos im Wartungsbuch. So konnten wir sowohl Dateien vom lokalen Computer zum se.MIS Manager hochladen und via RDP über ein virtuelles Clientlaufwerk auf die Zielmaschine herunterladen (Bild 3). Umgekehrt erschienen Dateien, die wir in dieses Laufwerk kopierten, im Download-Bereich des se.MIS Managers. Alle Up- und Downloads fanden wir anschließend auch im Wartungsbuch wieder. se.MIS unterbindet damit jeden unbemerkten Zu- oder Abfluss von Daten.
Fazit
sematicon se.MIS realisiert ein ebenso einfach zu konfigurierendes wie mächtiges Berechtigungsmodell, das Mitarbeitern befristet genau die Zugriffe erlaubt, die zur Lösung einer bestimmten Aufgabe erforderlich sind. Die Wartungsbücher unterstützen dabei lückenloses Auditing und Nachverfolgung aller Zugriffe, auf Wunsch mitsamt Aufzeichnung und Dokumentation aller Up- und Downloads.
Davon profitieren grundsätzlich alle Admins, die ältere oder nicht mit Updates versorgte Windows- und Linux-Systeme betreiben. Darüber hinaus ist se.MIS für Betreiber von Anlagen im Bereich von OT sowie IoT, insbesondere S7-Steuerungen, interessant. Hier bildet se.MIS einen sinnvollen Baustein zur Isolation der Systeme und integriert sich auch in IoT-Plattformen von Drittanbietern, wie etwa das Cumulocity IoT Cockpit der Software AG.
| Bewertung |
Die Details unserer Testmethodik finden Sie unter www.it-administrator.de/testmethodik
|
||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Dieses Produkt eignet sich |
optimal für Unternehmen, die den Fernzugriff auf ältere oder nicht gepatchte PCs sowie Siemens-Simatic-S7-Steuerungen absichern möchten.
bedingt für Unternehmen, die anderweitige Steuerungen als S7 per IP anbinden möchten.
nicht für Unternehmen, die keine Industrie- und Steuerungsanlagen betreiben.
|
(dr)