Fernwartung bei Kritis-Unternehmen

[MFreiberger]

Zuviel Werbung?
-> Hier kostenlos registrieren

Moin Zusammen,

hat jemand von Euch schon Erfahrungen mit dem Thema "Fernwartung bei Kritis-Unternehmen" gemacht?

Konkret geht es bei uns um ein Projekt in einer Logistikanlage für pharmazeutische Produkte. Diese lehnen einen "Fernzugriff über eigene VPN Lösungen [..]" ab. Wir wollten eigentlich gerne einen VPN-Router (cosy von eWON) installieren.

Was für Alternativen verwendet ihr so?

VG

MFreiberger

 

[NicoSch]

Moin. Wir bauen relativ viele Anlagen im Lebensmittel/Pharmazeutischen Bereich. Bisher gab es immer die Vorgabe, entweder keine feste VPN einzubauen, oder es wurde vom Kunden festgelegt ( z.B meiner Erfahrung nach nutzen viele eigene Lösungen mit Zertifikaten die nur begrenzt gültig sind). Sonst nutzen wir von uns aus Phoenix mGuard bzw Weidmüller uLink.

Grüße Nico

 

[Blockmove]

Zuviel Werbung?
-> Hier kostenlos registrieren

Das Thema Fernwartung muss immer mit dem Kunden abgestimmt sein.
Ganz unabhängig von Kritis.

 

[MFreiberger]

Das Thema Fernwartung muss immer mit dem Kunden abgestimmt sein.
Ganz unabhängig von Kritis.

Das stimmt natürlich. Trotzdem hätte es mich interessiert, ob bestimmte Arten der Fernwartung gemäß Kritis nicht zulässig sind.
Gibt es irgendeine Aufstellung, wo dies aufgeführt ist?

Ich stelle mir die Vorgehensweise in einem Unternehmen grundsätzlich so vor, dass das Unternehmen ein Fernwartungssystem auswählt, es genehmigen/zertifizieren o.ä. lässt und dann lässt die IT des Unternehmens nur noch Ferwartungen über dieses System zu und prüft ggf. gar keine anderen Varianten mehr.

Das Doofe ist halt, dass, wenn man div. VPN-Clients auf dem Rechner installieren muss, diese sich z.T. gegenseitig stören, das eigene (Firmen-)Netzwerk abtrennen, solange man den Tunnel aufgebaut hat usw. usw.
Man muss halt auch sehr viele unterschiedliche Passwörter bzw. Zugangsdaten bereit halten. Das führt dazu, dass sich Kollegen eine (unsichere) Liste mit den ganzen Passwörtern anlegen. Das Ablaufen von Zugangsdaten kann ich ja nachvollziehen, zieht aber einen großen, administrativen Aufwand nach sich. Im Zweifel ist der Zugang eines Kollegen abgelaufen und der dringend benötigte Support in der Nacht oder am WE kann nicht stattfinden, da Niemand zu dieser Zeit den Zugang wieder freischalten kann.

Das Schöne am VPN-Router ist (je nach Ausführung und Konfiguration) ja, das man die Verbindung über einen Hardwareeingang (z.B. mit Anschluß eines Schlüsselschalters) unterbrechen kann. So hat der Kunde ja die Hoheit über den Zugang.
Aber ich schweife ab...

Es ist einfach ärgerlich, dass jeder Kunde sein eigenes Süppchen kocht. Das wird wohl so einfach nicht in den Griff zu bekommen sein

VG

MFreiberger

 

[Blockmove]

Es ist einfach ärgerlich, dass jeder Kunde sein eigenes Süppchen kocht. Das wird wohl so einfach nicht in den Griff zu bekommen sein

Da hast du sicherlich recht.
Vorallem beisen sich auch noch manche Lösungen, so dass du auch noch getrennte VMs verwenden musst.
User / Passwort reicht bei vielen Lösungen nicht mehr. Es werden zeitlich begrenzte Zertifikate verwendet.
Teilweise auch Hardware-Tokens. Lustig (für beide Seiten) wird's, wenn es Probleme bei der Anmeldung gibt.

 

[DeltaMikeAir]

Zuviel Werbung?
-> Hier kostenlos registrieren

Es ist einfach ärgerlich, dass jeder Kunde sein eigenes Süppchen kocht.

Für manche Kunden ist es aber auch ärgerlich, das jeder Hersteller sein eigenes Süppchen kocht.

 

[maxder2te]

Wir bewegen und genau in diesen Branchen. Der Ansatz ist hier brschrieben:

Fernwartung - Kundenlösungen nutzen statt der eigenen

Meine letzte Fernwartung lief über BeyondTrust von Bomgar. Da reicht bei mir auf dem Rechner ein Browser (kann aber auch ein Client installiert werden). Upload/Download von Daten problemlos möglich. Der "Programmier-PC" mit den richtigen Softwareversionen läuft beim Kunden in einer Vm. Finde ich...

www.sps-forum.de

 

[sunny22]

Wir nutzen bei uns eine VPN Verbindung mit aktivem Verbindungsaufbau aus unserer DMZ zu unserem Dienstleister. Die Verbindung kann nur in diese Richtung aufgebaut werden und wird permanent aufrecht erhalten. Eine gesonderte Zertifizierung gibt es für das System nicht. Bislang gab es keine Beanstandungen seitens unserer IT-Sicherheits-Spezialisten.