• Test Title

    Teil 2 – Sicherheit in PTC Windchill

Nov

03

Teil 2 – Sicherheit in PTC Windchill

In meinem vorigen Beitrag zum Thema Sicherheit in Windchill gab ich Ihnen einige allgemeine Tipps, wie Sie eine sicherere Windchill Serverumgebung schaffen können, und nannte einige Beispiele für unterschiedliche Bedrohungen. Die Schlussfolgerung war, dass wir mit guten Routinen und einem vollständigen Windchill Backup mit den meisten Situationen zurechtkommen können. Seit der Veröffentlichung meines letzten Beitrags gab es weltweit viele Schlagzeilen über ein Virus mit Namen WannaCry. Dabei handelte es sich um sogenannte Ransomware, welche Festplatten verschlüsselt und die Besitzer zwang, für das Entsperren Geld zu bezahlen. Zum Glück konnte dieses Virus schnell gestoppt werden, aber es wurde deutlich wie folgenreich eine solche Attacke sein kann.

In diesem Beitrag geht es jedoch vor allem darum, was wir in Windchill tun können, um uns vor Bedrohungen von innerhalb und außerhalb unserer Organisation zu schützen. In erster Linie geht es darum zu verhindern, dass nicht autorisierte Personen an wichtige Informationen wie Zeichnungen und interne Dokumente gelangen.

HTTP/HTTPS - Access Windchill

Das Risiko des gebräuchlichen HTTP Protokolls ist, dass es die zu übertragende Information nicht verschlüsselt. Wenn sich Benutzer über HTTP einloggen ist es für Dritte möglich, die gesendete Information zu lesen. Dies umfasst auch Passwörter und Benutzernamen. Ein guter erster Schritt, um die Sicherheitsniveaus anzuheben, ist es, die zwischen Client und Server gesendete Information mittels HTTPS zu verschlüsseln.

Mit dem HTTPS Protokoll werden alle übermittelten Daten verschlüsselt und können nicht von Dritten gelesen werden. Dies verhindert z.B., dass Passwörter in falsche Hände gelangen. Das Einrichten von HTTPS ist eine relative einfache Konfiguration und benötigt eigentlich nur ein qualifiziertes SSL Zertifikat.

Dies kann von einer Reihe verschiedener Lieferanten bereitgestellt werden und kostet nicht mehr als ein paar Hundert Euro im Jahr. Wenn Sie planen, Benutzern außerhalb Ihrer Organisation Zugriff auf die Windchillumgebung zu geben, (z.B. Händlern, Partner, usw.), sollten Sie darüber nachdenken, wie sich diese in Windchill einloggen. Kann irgendjemand zuhören und ihre Anmeldedaten stehlen wenn wir kein HTTPS verwenden?

Anmeldung

In der einfachsten Konfiguration von Windchill sind Benutzer in der Benutzerdatenbank von Windchill gespeichert. Das Passwort wird eingerichtet, wenn der Benutzer erstellt wird. Gewöhnlich wird das Passwort nicht regelmäßig geändert oder es mag sogar mit dem Benutzernamen identisch sein. Ich habe dies oft bei den unterschiedlichsten Kunden gesehen. Ich empfehle ausdrücklich, dass Benutzername und Passwort nicht identisch sind, es ist zu einfach dies zu erraten. Es gibt Möglichkeiten, das Passwort zeitlich zu begrenzen, spezielle Schriftzeichen verpflichtend zu machen oder die Wiederbenutzung vorheriger Passwörter zu verhindern. Dies wird doch normalerweise schon vom Active Directory (AD) des Unternehmens verwaltet, deshalb bietet sich als langfristige Lösung ein Link zwischen Windchill und Ihrem Active Directory (AD) an.

Active Directory (AD) Verbindung

Anstatt Windchill die Verwaltung aller Benutzer, Passwörter und Policies zu erlauben, kann Windchill mit dem AD der Organisation verbunden werden. Damit können bestehende Strukturen wiederverwendet werden, was auch eine bessere Kontrolle der Benutzer ermöglichet.

Zum Beispiel können Konten bei zu vielen falschen Anmeldeversuchen gesperrt und die Konten ehemaliger Benutzer deaktiviert werden. Dies ermögliche auch, dass Benutzer dieselben Passwörter für z.B. Microsoft Windows und Windchill verwenden.

Anwenderrechte in Windchill

Die Grundlage aller Windchill Installationen sind die Rechte der Anwender. Diese Rechte steuern alles - davon wer was sehen kann zu wer etwas genehmigen darf, z.B. in der Produktion. Doch es kann die Sicherheit beeinflussen, wenn Anwender zu umfassende Rechte besitzen. Es kann dazu kommen, dass manche Personen Informationen sehen können, für welche sie keine Berechtigung haben sollten. Im schlimmsten Fall können diese außerhalb der Organisation verbreitet werden. "Diebstahl von geistigem Eigentum"  kommt immer häufiger vor. Organisationen sollten daran denken, welcher Rolle welche Rechte und Aufgaben zugeordnet werden sollen. Gleichzeitig muss beachtet werden, dass für unterschiedliche Standorte weltweit unterschiedliche Rechte gelten können oder erteilt werden müssen. Dies gilt vor allem für Organisationen, die in mehreren Regionen tätig sind. Wie flexiblere aber dennoch sichere Lösungen durchgesetzt werden können, wird im nächsten Abschnitt vorgestellt und erklärt

Sicherheitsetiketten

Eine Funktion in Windchill, die mehr und mehr genutzt wird, sind Windchill Sicherheitsetiketten. Die Absicht ist, einen weiteren Schutz hinzuzufügen und die Lenkung von Dokumenten mit verschiedenen Sicherheitsklassen zu ermöglichen.

Dies ist eine unkomplizierte, aber mächtige Lösung und dient als eine Ergänzung zu den gewöhnlichen Rechten in Windchill. Ein mögliches Problem der restriktiven Zugangsrechte ist, dass die Möglichkeiten zur Zusammenarbeit eingeschränkt werden, wenn Rechte allgemein festgelegt werden müssen. Mit den Sicherheitsetiketten (Security Labels, SL) können wir jedoch jeden Zugriff individuell für jedes Windchill Objekt definieren.

Die Objekte werden dann basierend auf einer Anzahl kundenspezifischer Klassen klassifiziert, wie z.B. "Vertraulich" und "Öffentlich” oder "Hoch" und "Gering". Wir verbinden diese Objekte mit einem Link zwischen jeder Klasse und einer Gruppe.

Das führt dazu, dass alle Mitglieder der Gruppe die zu "Vertraulich" gehören in der Lage sein werden, die Elemente zu sehen, die mit diesem Etikett versehen sind. Damit beenden wir das Thema Sicherheit.

Ich kann zusammenfassen, dass mit relativ geringem Aufwand sowohl das Risiko des Informationsverlusts als auch das Risiko, dass Informationen in falsche Hände gelangt, verringert wird. Denken Sie daran ständig auszuwerten, wer Zugang zum System hat und welcher Schutz vorhanden ist, um Angriffen von außen zu verhindern. Überprüfen Sie auch zusätzlich in regelmäßigen Intervallen, ob Backups so ausgeführt werden wie sie ausgeführt werden sollten. Ich habe es zu oft gesehen, dass das letzte Backup vor Jahren ausgeführt wurde, was einen möglichen Datenverlust zur Folge haben kann.

Viele Grüße
Jesper Johansson

Lesen Sie mehr über PTC Windchill, dem Markennamen von PTC für Product Lifecycle Managment (PLM).