In meinem letzten Beitrag zum Thema Sicherheit in Windchill habe ich einige allgemeine Tipps zur Schaffung einer sichereren Serverumgebung gegeben und Beispiele für bestehende Bedrohungen genannt. Die Schlussfolgerung war, dass wir mit guten Routinen und einem vollständigen Backup die meisten Situationen meistern können. Seit der Veröffentlichung meines letzten Beitrags wurde weltweit in den Schlagzeilen über einen Virus namens WannaCry berichtet. Dabei handelte es sich um eine so genannte Ransomware, die Festplatten verschlüsselte und den Besitzer zur Zahlung einer Geldsumme zwang, um sie zu entsperren. Glücklicherweise konnte dieser Virus schnell gestoppt werden, aber er gab einen Hinweis darauf, wie ernst diese Art von Angriff sein kann.
In diesem Beitrag geht es jedoch eher darum, was wir in Windchill tun können, um uns vor Bedrohungen von außen und innerhalb unseres Unternehmens zu schützen. Vor allem geht es darum, zu verhindern, dass Unbefugte an wichtige Informationen wie Zeichnungen und interne Dokumente gelangen.
HTTP/HTTPS – Access Windchill
Das Risiko des üblichen HTTP-Protokolls besteht darin, dass es die gesendeten Informationen nicht verschlüsselt. Wenn sich Benutzer über HTTP anmelden, können Dritte die gesendeten Informationen lesen. Einschließlich Passwörtern und Benutzernamen. Ein guter erster Schritt zur Erhöhung des Sicherheitsniveaus ist die Verschlüsselung von Informationen, die zwischen Client und Server übertragen werden, durch Verwendung von HTTPS.
Mit dem HTTPS-Protokoll werden alle Daten verschlüsselt übertragen und können von Dritten nicht gelesen werden. Dies verhindert z.B., dass Passwörter in die falschen Hände geraten. Die Einrichtung von HTTPS ist eine relativ einfache Konfiguration und erfordert im Wesentlichen nur ein signiertes SSL-Zertifikat.
Diese können von verschiedenen Anbietern erworben werden und kosten nicht mehr als hundert Euro pro Jahr. Wenn es Pläne gibt, Benutzern außerhalb des Unternehmens Zugang zur Windchill-Umgebung zu gewähren, z. B. Lieferanten, Partnern usw., sollte das Unternehmen darüber nachdenken, wie sich diese Benutzer bei Windchill anmelden werden. Kann jemand zuhören und ihre Anmeldeinformationen stehlen, wenn wir kein HTTPS verwenden?
Login
In der einfachsten Variante von Windchill befinden sich die Benutzer lokal in der Windchill-eigenen Benutzerdatenbank. Das Passwort wird beim Anlegen des Benutzers festgelegt. In der Regel wird das Passwort nicht regelmäßig geändert oder kann sogar mit dem Benutzernamen identisch sein. Ich habe das schon oft bei verschiedenen Kunden erlebt. Ich empfehle, keine Passwörter zu verwenden, die dem Benutzernamen entsprechen, denn das ist zu leicht zu erraten. Es besteht die Möglichkeit, Passwörter zeitlich zu begrenzen, Sonderzeichen vorzuschreiben oder die Wiederverwendung von Passwörtern einzuschränken. Dies ist jedoch etwas, das in der Regel bereits durch das Active Directory (AD) des Unternehmens verwaltet wird, so dass eine langfristige Lösung eine Verbindung zwischen Windchill und Ihrem Active Directory (AD) sein könnte.
Active Directory Connection (AD)
Anstatt Windchill die Verwaltung aller Benutzer, Passwörter und Richtlinien zu überlassen, kann Windchill mit dem AD des Unternehmens verbunden werden. Dies ermöglicht die Wiederverwendung bestehender Frameworks, die auch eine größere Kontrolle der Nutzer erlauben.
Beispielsweise können Konten bei zu vielen fehlerhaften Anmeldeversuchen gesperrt werden, und Konten können deaktiviert werden, wenn Benutzer kündigen. Außerdem können die Benutzer dasselbe Kennwort verwenden, z. B. für Microsoft Windows und Windchill. Ich kann mir vorstellen, dass dies ein Risiko beseitigt, wenn sich Benutzer nicht mehrere Passwörter merken müssen.
Benutzerrechte in Windchill
Die Grundlage aller Windchill-Installationen sind die Rechte, die die Benutzer haben. Die Rechte regeln alles, von der Frage, wer was sieht, bis hin zu der Frage, wer was z.B. für die Produktion freigibt. Sie können aber auch die Sicherheit so beeinflussen, dass der Benutzer zu viele Rechte hat. Das hat zur Folge, dass Personen Informationen sehen können, zu denen sie nicht berechtigt sind. Schlimmstenfalls verbreiten sie diese außerhalb des Unternehmens.Diebstahl geistigen Eigentums kommt immer häufiger vor. Die Unternehmen sollten darauf achten, welche Rollen was können sollten. Berücksichtigen Sie aber auch unterschiedliche Rechte für verschiedene Standorte in der Welt. Insbesondere für Unternehmen, die in mehreren Regionen vertreten sind. Eine Möglichkeit, eine flexiblere, aber dennoch sichere Lösung durchzusetzen, wird im nächsten Abschnitt erläutert.
Sicherheits-Label
Eine immer häufiger verwendete Funktion in Windchill ist die Verwendung von Sicherheits-Labeln. Der Zweck besteht darin, einen zusätzlichen Schutz hinzuzufügen und die Möglichkeit zu bieten, Dokumente mit verschiedenen Sicherheitsklassen zu kontrollieren.
Das ist eine einfache, aber effiziente Lösung und dient als Ergänzung zu den allgemeinen Rechten in Windchill. Ein Problem, das bei restriktiven Zugriffsrechten auftreten kann, ist, dass es die Möglichkeit der Zusammenarbeit einschränkt, wenn allgemeine Rechte festgelegt werden müssen. Aber mit Sicherheitsetiketten (SL) können wir den Zugang für jedes Objekt individuell festlegen.
Die Objekte werden dann auf der Grundlage einer Reihe von benutzerdefinierten Klassen klassifiziert, z. B. „Geheim“ und „Öffentlich“ oder „Hoch“ und „Niedrig“. Wir verbinden diese Objekte mit einer Mischung aus jeder Klassifizierung und einer Gruppe.
Das hat zur Folge, dass alle Mitglieder der Gruppe, die mit „Secret“ assoziiert sind, die mit dieser SL gestempelten Artikel sehen können. Damit ist das Thema Sicherheit abgeschlossen.
Zusammenfassend kann ich sagen, dass mit relativ geringem Aufwand das Risiko, dass Informationen verloren gehen oder in die falschen Hände geraten, verringert wird. Denken Sie daran, ständig zu prüfen, wer Zugang zum System hat und welche Schutzmaßnahmen vorhanden sind, um Angriffe von außen zu verhindern. Überprüfen Sie außerdem regelmäßig, ob die Backups ordnungsgemäß durchgeführt werden. Ich habe schon zu oft erlebt, dass seit der letzten Sicherung Jahre vergangen sind, was zu einem Datenverlust führen kann.
Mit freundlichen Grüßen
Jesper Lundgren
Lesen Sie mehr über PTC Windchill, der Markenname von PTC bezüglich Produktlebenszyklusmanagement (PLM).
