# Fernwartung bei Kritis-Unternehmen



## MFreiberger (14 Juni 2022)

Moin Zusammen,

hat jemand von Euch schon Erfahrungen mit dem Thema "Fernwartung bei Kritis-Unternehmen" gemacht?

Konkret geht es bei uns um ein Projekt in einer Logistikanlage für pharmazeutische Produkte. Diese lehnen einen "Fernzugriff über eigene VPN Lösungen [..]" ab. Wir wollten eigentlich gerne einen VPN-Router (cosy von eWON) installieren.

Was für Alternativen verwendet ihr so?

VG

MFreiberger


----------



## NicoSch (14 Juni 2022)

Moin. Wir bauen relativ viele Anlagen im Lebensmittel/Pharmazeutischen Bereich. Bisher gab es immer die Vorgabe, entweder keine feste VPN einzubauen, oder es wurde vom Kunden festgelegt ( z.B meiner Erfahrung nach nutzen viele eigene Lösungen mit Zertifikaten die nur begrenzt gültig sind). Sonst nutzen wir von uns aus Phoenix mGuard bzw Weidmüller uLink.

Grüße Nico


----------



## Blockmove (14 Juni 2022)

Das Thema Fernwartung muss immer mit dem Kunden abgestimmt sein.
Ganz unabhängig von Kritis.


----------



## MFreiberger (14 Juni 2022)

Blockmove schrieb:


> Das Thema Fernwartung muss immer mit dem Kunden abgestimmt sein.
> Ganz unabhängig von Kritis.


Das stimmt natürlich. Trotzdem hätte es mich interessiert, ob bestimmte Arten der Fernwartung gemäß Kritis nicht zulässig sind.
Gibt es irgendeine Aufstellung, wo dies aufgeführt ist? 

Ich stelle mir die Vorgehensweise in einem Unternehmen grundsätzlich so vor, dass das Unternehmen ein Fernwartungssystem auswählt, es genehmigen/zertifizieren o.ä. lässt und dann lässt die IT des Unternehmens nur noch Ferwartungen über dieses System zu und prüft ggf. gar keine anderen Varianten mehr.

Das Doofe ist halt, dass, wenn man div. VPN-Clients auf dem Rechner installieren muss, diese sich z.T. gegenseitig stören, das eigene (Firmen-)Netzwerk abtrennen, solange man den Tunnel aufgebaut hat usw. usw.
Man muss halt auch sehr viele unterschiedliche Passwörter bzw. Zugangsdaten bereit halten. Das führt dazu, dass sich Kollegen eine (unsichere) Liste mit den ganzen Passwörtern anlegen. Das Ablaufen von Zugangsdaten kann ich ja nachvollziehen, zieht aber einen großen, administrativen Aufwand nach sich. Im Zweifel ist der Zugang eines Kollegen abgelaufen und der dringend benötigte Support in der Nacht oder am WE kann nicht stattfinden, da Niemand zu dieser Zeit den Zugang wieder freischalten kann.

Das Schöne am VPN-Router ist (je nach Ausführung und Konfiguration) ja, das man die Verbindung über einen Hardwareeingang (z.B. mit Anschluß eines Schlüsselschalters) unterbrechen kann. So hat der Kunde ja die Hoheit über den Zugang.
Aber ich schweife ab...

Es ist einfach ärgerlich, dass jeder Kunde sein eigenes Süppchen kocht. Das wird wohl so einfach nicht in den Griff zu bekommen sein 

VG

MFreiberger


----------



## Blockmove (14 Juni 2022)

MFreiberger schrieb:


> Es ist einfach ärgerlich, dass jeder Kunde sein eigenes Süppchen kocht. Das wird wohl so einfach nicht in den Griff zu bekommen sein


Da hast du sicherlich recht.
Vorallem beisen sich auch noch manche Lösungen, so dass du auch noch getrennte VMs verwenden musst.
User / Passwort reicht bei vielen Lösungen nicht mehr. Es werden zeitlich begrenzte Zertifikate verwendet.
Teilweise auch Hardware-Tokens. Lustig (für beide Seiten) wird's, wenn es Probleme bei der Anmeldung gibt.


----------



## DeltaMikeAir (14 Juni 2022)

MFreiberger schrieb:


> Es ist einfach ärgerlich, dass jeder Kunde sein eigenes Süppchen kocht.


Für manche Kunden ist es aber auch ärgerlich, das jeder Hersteller sein eigenes Süppchen kocht.


----------



## maxder2te (14 Juni 2022)

Wir bewegen und genau in diesen Branchen. Der Ansatz ist hier brschrieben:





						Fernwartung - Kundenlösungen nutzen statt der eigenen
					

Meine letzte Fernwartung lief über BeyondTrust von Bomgar. Da reicht bei mir auf dem Rechner ein Browser (kann aber auch ein Client installiert werden). Upload/Download von Daten problemlos möglich. Der "Programmier-PC" mit den richtigen Softwareversionen läuft beim Kunden in einer Vm. Finde ich...




					www.sps-forum.de


----------



## sunny22 (14 Juni 2022)

Wir nutzen bei uns eine VPN Verbindung mit aktivem Verbindungsaufbau aus unserer DMZ zu unserem Dienstleister. Die Verbindung kann nur in diese Richtung aufgebaut werden und wird permanent aufrecht erhalten. Eine gesonderte Zertifizierung gibt es für das System nicht. Bislang gab es keine Beanstandungen seitens unserer IT-Sicherheits-Spezialisten.


----------

