OT (Operation Technology) und IT wachsen immer mehr zusammen. Waren ­Produktionsnetzwerke früher abgeschottet, wird heute durch die Vernetzung mit der IT der Zugriff von außen erleichtert. Was bedeutet das konkret für die OT-Sicherheit?

Steffen Ullrich: OT-Umgebungen sind betriebskritischer als IT-Umgebungen. Verglichen mit der IT ist die Änderungsrate in der OT deutlich geringer und somit auch das Alter der eingesetzten Geräte und Software deutlich höher als in der IT. Technologien und Design stammen oft aus einer Zeit, als Cyber-Sicherheit eine geringe Priorität in der Entwicklung hatte. Entsprechend breit ist die Angriffsfläche.

Zusätzlich muss man von einer unzureichenden Sicherheit der IT-Umgebungen ausgehen. Das betrifft nicht nur die Office-IT mit den typischen Angriffsvektoren über Phishing, Malware und Ransomware. Auch Cloud-Dienste oder eine vom Dienstleister betreute Fernwartung führen dazu, dass Betreiber immer weniger Kon­trolle über ihre eigenen Netzwerke haben.

Eine direkte Vernetzung von OT und IT exponiert also die breite Angriffsfläche der OT in eine potenziell unsichere IT. Dies führt nicht nur zu einer Gefährdung der zuverlässigen Produktion. In gefährlichen Bereichen wie zum Beispiel dem Chemiesektor kann es auch zu einer Gefährdung der Safety und damit von Menschenleben führen.

Wie können produzierende Unternehmen mit diesen Unsicherheiten umgehen?

S. Ullrich: Zum einen ist es wichtig, die potenzielle Angriffsfläche so weit wie möglich zu verkleinern. Ausgehend von einen Minimalitätsprinzip, bei dem nur das wirklich notwendige möglich sein sollte, schränken Zero-Trust-Konzepte wie Mi­krosegmentierung oder Software-Defined Perimeter proaktiv die möglichen Kommunikationswege ein und reduzieren damit die Angriffsfläche auf ein Minimum. Dabei ist zunächst konkret festzulegen, welcher Zugriff und welche Kommunikation für wen erlaubt sein soll. Nur diese werden konsequent sowohl auf Applikations- als auch auf Netzebene zugelassen. Zusätzlich gilt es, die Komplexität zu verringern. Je weniger Features eine Software hat und je klarer die Schnittstellen sind, desto verständlicher, leichter und wirksamer ist eine Absicherung.

Dennoch: Keine Sicherheitskomponente ist hundertprozentig zuverlässig. Daher ist es wichtig, mehrschichtige Sicherheitsarchitekturen aufzubauen, bekannt unter dem Begriff Defense in Depth. In der Praxis bedeutet dieses, Zugriffsbeschränkungen auf mehreren Ebenen durchzusetzen, zum Beispiel durch die Beschränkung des Zugangs zum Netz, die Beschränkung der Kommunikation im Netz und die Zugriffskontrolle an dem Dienst bzw. Gerät. Versucht ein Angreifer dann, in ein Netzwerk einzudringen, kommt er nicht weit.

Zusätzlich zu den proaktiven Maßnahmen sollten auch reaktive eingesetzt werden. Ausführliches Monitoring ist die Voraussetzung für eine frühzeitige Angriffserkennung sowie für eine zeitnahe Reaktion im Angriffsfall. Wichtig sind auch eine Sensibilisierung von Mitarbeitern und funktionierende Notfallpläne.

Was bedeutet das Zero-Trust-Paradigma?

S. Ullrich: Der traditionelle Ansatz zur Absicherung von Geschäfts- und Produktionsprozessen ging davon aus, dass sich alle Geräte, Applikationen sowie die Kommunikation zwischen diesen unter der eigenen Kontrolle befinden. Es wurde sich daher auf die Absicherung des Netzes am Perimeter fokussiert. Innerhalb des Netzes selbst war überwiegend unbeschränkte Kommunikation möglich. Heutige Infrastrukturen sind in ihrer Komplexität wesentlich größer und erstrecken sich oft über mehrere Netze. Hinzu kommen immer mehr fremdverwaltete Systeme wie Cloud-Umgebungen oder ferngewartete Maschinen. Gleichzeitig werden immer kritischere Geschäftsprozesse digitalisiert und vernetzt. Dadurch steigen die Anforderungen an die Verfügbarkeit und Zuverlässigkeit sowie den Datenschutz. Der einfache Ansatz der netzfokussierten Sicherheit skaliert in der heutigen Zeit immer schlechter. Das Zero-Trust-Paradigma fokussiert daher auf die Absicherung der einzelnen Prozesse, statt die Absicherung der kompletten Netze.

Mit dem Zero-Trust-Paradigma entfernt man sich von der Idee, dass eine Kontrolle am Netzperimeter ausreichend möglich ist. Statt das komplette Netz zu sichern, fokussiert man sich auf die Absicherung der an einem Geschäfts- oder Produktionsprozess beteiligten Endgeräte, Nutzer und Dienste sowie der Kommunikationspfade zwischen diesen.

Komplexe Netzwerkinfrastruktur aus ­Unternehmenszentrale (unten) sowie zwei Unternehmensstandorten und ­Remote Clients, die über VPN angebunden werden. Der Schwerpunkt der IT-Sicherheit liegt traditionelle auf der Absicherung des Netzperimeters.

Welche Ansätze gibt es in der Produktions­welt, Zero Trust Networking zu implementieren?

S. Ullrich: Zero Trust Networking Access nach Forrester bedeutet eine Mikrosegmentierung. Das heißt, in einem vorhandenen Netz werden an strategisch sinnvollen Stellen Zugriffskontrollen und Analysen implementiert. Dies kann man zum Beispiel mittels einer Next Generation Firewall oder unserem Cognitix Threat Defender realisieren. Letzterer erlaubt es, das gesamte interne Netz kleinteilig zu segmentieren, einzelne Geräte voneinander abzutrennen und die Kommunikationspfade nach dem Minimalitätsprinzip zu reglementieren und zu überwachen.

Der zweite ZTNA-Ansatz ist der Software-defined Perimeter. Hier wird nicht ein vorhandenes Netz abgesichert, sondern der externe Zugang zu einzelnen Diensten. Konzeptionell ist das ähnlich zu einem klassischen Virtual Private Network, wobei jedoch bei einem Software-defined Perimeter nur Zugriff auf spezifische Dienste und nicht das komplette Netz erlaubt wird. Dies ist zum Beispiel wichtig bei einer Fernwartung, die nur einen Zugriff auf einzelne Dienste bzw. Systeme ermöglichen sollte, nicht aber einen Zugriff auf das komplette Produktionsnetz.

Das dritte ZTNA-Konzept, das im Industrieumfeld wahrscheinlich weniger relevant ist, ist unter dem Begriff BeyondCorp beziehungsweise BeyondProd bekannt und wurde von Google propagiert. Hier geht es darum, den Zugang zu einem einzelnen Dienst abzusichern.

Wie können Mikrosegmente nach Forrester konkret bestimmt werden?

S. Ullrich: Dafür gibt es verschiedene Wege, je nachdem, wie viel man investieren möchte und wo die Angriffsflächen und Sicherheitsprobleme liegen. Zum Beispiel könnte man die Clients, IoT Devices und Server voneinander isolieren. In der OT können das fremdgesteuerte Maschinen sein, bei Servern sind es vielleicht kritische Umgebungen. Die Clients sind am wenigsten verwundbar. Wenn man diese Kategorien voneinander trennt, ist bereits einiges erreicht. Man kann aber auch so weit gehen, jedes Gerät von jedem zu trennen.

Wie finden Anwender den für sie richtigen Zero Trust Ansatz?

S. Ullrich: Dieser ist abhängig vom konkreten Use Case. Möchte man potenziell verwundbare Geräte in einem existierenden Netz besser schützen, so ist die Mikrosegmentierung das Mittel der Wahl. Möchte man zum Beispiel einzelne Dienste im lokalen Netzwerk oder in der Cloud von außen erreichbar machen, wie zum Beispiel bei der Fernwartung, dann eignet sich der Software-defined Perimeter. Geht es aber darum, die Anbindung an einzelne Web-basierte Anwendungen skalierbar zu schützen, zum Beispiel im Industrial IoT-Bereich, dann sind Konzepte wie BeyondCorp gut geeignet.

Allen ZTNA-Ansätzen ist gemein, dass sie Sicherheits-Policies auf der Basis von Identitäten benutzen. Das betrifft Identitäten von Geräten, Nutzern und Diensten.

Exemplarische Implementierung eines Software-Defined Perimeter für sichere Fernwartung, umgesetzt mit der Fernwartungslösung von genua. Der Fernwarter authentifiziert sich über einen Rendezvous-Server und kann dann nach Freigabe nur auf den benötigten Dienst im Betreibernetzwerk zugreifen. Im Gegensatz zu VPN-basierten Ansätzen findet hierbei keine Netzkoppelung statt.

Eine typische IT-OT-Anwendung ist die Fernwartung. Wie wird hier das Zero-Trust-Verfahren implementiert?

S. Ullrich: Exemplarisch lässt sich das an unserer Fernwartungslösung Genubox zeigen, die ein Software-defined Perimeter implementiert. Das heißt, ein oder mehrere interne Dienste sollen von außen nur nach entsprechend starker Authentifizierung erreichbar sein. Bei der Genubox Fernwartung haben wir das so umgesetzt, dass zunächst eine hochsichere Verschlüsselung und Authentifizierung mittels eines SSH-Tunnels stattfindet. Dieser Ansatz ermöglicht nur einen dedizierten Zugang zu explizit definierten Services. Das heißt, im Gegensatz zu häufig eingesetzten VPN-Lösung findet hier keine Netzkopplung statt. Zusätzlich zur Zugangskontrolle werden die Aktivitäten auf dem Remote Desktop sowie die Terminal Session (SSH-Verbindung) per Video aufgezeichnet und die übertragenen Dateien auf Viren überprüft. Und der Mitarbeiter in der Produktionsanlage hat die Möglichkeit, die entsprechende Session jederzeit physisch zu erlauben beziehungsweise zu unterbrechen, indem er den entsprechenden Schlüsselschalter umdreht. Er behält also zu jeder Zeit die Kon­trolle über seine Anlage.

Autor: Steffen Ullrich, Technology Fellow, Genua