Aus Sicht der Fertigungsindustrie
Cyberbedrohungen - und wie man ihnen begegnet
Eine Authentifizierungslösung kann die Grundlage für den Schutz auch vor komplexen Cyberbedrohungen bilden – aber nur, wenn sie dem neuesten Stand der Sicherheitstechnik entspricht. Doch welchen Kriterien muss eine geeignete Authentifizierungslösung genügen?
Ransomware, Phishing und Man-in-the-Middle-Angriffe (MiTM): Viele Organisationen der Fertigungsbrache haben große Mühe, ihre OT-Infrastruktur vor Cyberangriffen zu schützen. Dem aktuellen Security-Report von IBM zufolge zielten 30 Prozent der Ransomware-Angriffe im vergangenen Jahr auf die Fertigungsbranche. Für die meisten Unternehmen ist es eine Mammutaufgabe, ihre OT-Infrastruktur gegen solche Attacken zu verteidigen. Die Folgen erfolgreicher Angriffe sind riesig und leider oftmals unterschätzt: Denn neben den Kosten riskieren die betroffenen Organisationen auch den Verlust von Produktionszeit, geistigem Eigentum und Produktintegrität.
Die aktuellen Authentifizierungs- und Sicherheitslösungen, einschließlich Benutzernamen und Passwörtern sowie mobilfunkbasierter Authentifikatoren, reichen nicht mehr aus, um Unternehmen vor raffinierten Cyberbedrohungen zu schützen. Fertigungsunternehmen haben die Notwendigkeit erkannt, die Authentifizierung und Sicherheit von IT- und OT-Umgebungen an das gestiegene Niveau der Bedrohungen anzupassen, um einerseits den Zugriff auf wichtige Daten und Systeme weiterhin zu gewährleisten, aber andererseits auch die Integrität und das geistige Eigentum aller Komponenten zu schützen.
Die spezifischen Herausforderungen in der Fertigung haben jedoch dazu geführt, dass viele Hersteller mit der Entwicklung der Cybersicherheit nicht Schritt halten können: Hier werden häufig ältere Produktionsanlagen und Anwendungen eingesetzt, die die Skalierbarkeit und Interoperabilität von Sicherheitslösungen einschränken können. Darüber hinaus ist die herkömmliche Trennung der Fertigungssysteme von den IT-Systemen des Unternehmens und den externen Netzwerken bei den aktuellen integrierten Fertigungssystemen nicht mehr gegeben. Gemeinsam genutzte Workstation-Umgebungen sind in der Fertigung weit verbreitet, wobei häufig nicht-unterstützte Betriebssysteme mit minimalen Kontrollen durch das Unternehmen und einem Mangel an definierten Zugriffsberechtigungen verwendet werden. Die Authentifizierung kann eine erste Verteidigungslinie zum Schutz vor raffinierten Cyberbedrohungen darstellen. Allerdings setzt das nach wie vor große Vertrauen auf veraltete Authentifizierungsmethoden wie Benutzername und Kennwort sowie mobilfunkbasierte Authentifizierung Produktionsunternehmen einem hohen Risiko aus, Opfer von Sicherheitsverletzungen zu werden.
Fertigungsunternehmen benötigen Lösungen, die moderne Sicherheitsfunktionen bieten und den Übergang zu einem sichereren, passwortlosen Workflow unterstützen, um die Benutzerfreundlichkeit und die Gesamteffizienz zu verbessern. Darüber hinaus benötigen sie Lösungen, die sich schnell und einfach implementieren lassen, um die Qualität, die Integrität und das geistige Eigentum (IP) aller Komponenten im End-to-End-Prozess zu unterstützen – von der Produktion und Montage bis hin zu Reparatur und Austausch. Um sicherzustellen, dass eine Montagelinie nur aus echten Teilen und Produkten besteht, müssen vertrauenswürdige Lösungen vorhanden sein.
Fünf Kriterien für die Auswahl einer geeigneten Authentifizierungslösung
Bei der Auswahl einer Authentifizierungslösung zur Optimierung der Sicherheit von IT- und OT-Systemen in der Fertigung ist es wichtig, zu analysieren, wie effektiv die Lösung vor externen Cyberangriffen und Insider-Bedrohungen schützt, wie sie sich auf die Benutzerproduktivität auswirkt und wie zuverlässig sie in unterschiedlichen Umgebungen ist. Zu den wichtigsten Kriterien zählen demnach Sicherheit, Produktivität, Zuverlässigkeit, Nachhaltigkeit und Kosten.
Kriterium 1: Die Sicherheit
Wie lässt sich sicherstellen, dass nur autorisierte Benutzer auf gemeinsam genutzte Geräte zugreifen können? Wie werden gemeinsam genutzte Terminals und Geräte mit wechselnden Benutzern geschützt? Und wie lässt es sich bewerkstelligen, dass Benutzer nur Zugriff auf die Ressourcen erhalten, die sie wirklich benötigen?
Administratorkonten oder gemeinsam genutzte Workstations mit Zugang zu privilegierten Informationen müssen mit einem Authentifizierungsmechanismus geschützt werden, der gegen Identitätsdiebstahl resistent ist. Gemeinsam genutzte Workstations sollten sich in hohem Maße auf Benutzerberechtigungen und Zugriffskontrollen stützen (keine gemeinsamen, Gast- oder anonymen Anmeldungen) und Beschränkungen aufweisen, die das Speichern von Passwörtern verhindern. Darüber hinaus ist es wichtig, dass die Administratorkonten individuell und nicht gemeinsam genutzt werden, um die Fehlerbehebung vor Ort oder aus der Ferne zu unterstützen.
Kriterium 2: Die Produktivität
Wie kann sichergestellt werden, dass Benutzer sich nahtlos über mehrere Geräte und Anwendungen hinweg authentifizieren können? Nicht alle Formen der MFA bieten das optimale Gleichgewicht zwischen starker Sicherheit und einer schnellen und einfachen Benutzererfahrung, die eine hohe Produktivität ermöglicht. Mobile Authentifikatoren erhöhen die Anzahl der Schritte im Authentifizierungsprozess, so dass Benutzer auf OTP- oder Push-App-Codes warten oder Handschuhe für die Interaktion ausziehen müssen. Außerdem unterliegen diese Prozesse den Einschränkungen von Umgebungen mit Mobilitätsbeschränkungen. Bei hohen Effizienzanforderungen empfiehlt es sich, eine passwortlose Authentifizierung oder die Vorteile eines NFC-Tap-and-Go-Verfahrens in Verbindung mit mobilen Geräten in Betracht zu ziehen, besonders bei gemeinsam genutzten Arbeitsplätzen.
Kriterium 3: Die Zuverlässigkeit
Wie stellen Unternehmen eine konsistente Authentifizierung sicher, die selbst in schwierigen Umgebungen mit unterschiedlichen Fehlerquellen durchgängig funktioniert? Eine Authentifizierungslösung darf nicht auf häufige Fehlerquellen wie Connectivity, Gerätebatterie, Mobilfunkempfang oder Batterie des Hardtokens angewiesen sein. Darüber hinaus sollte sie auch über Funktionen wie NFC verfügen, die für Umgebungen wie die industrielle Fertigung, Reinräume oder funkenfreie Zonen geeignet sind. Eine Authentifizierungslösung, die auf etwas beruht, das man kennt (etwa ein Passwort), unterliegt menschlichen Fehlern – verlorene, vergessene oder falsch eingegebene Details erschweren die Authentifizierung und schließen Benutzer möglicherweise von ihren Konten aus. Mobilfunkbasierte Authentifizierungslösungen sind in Umgebungen mit gemeinsam genutzten Arbeitsplätzen, in denen die Mobilfunkabdeckung nur sporadisch oder gar nicht vorhanden ist, nicht immer zuverlässig.
Kriterium 4: Die Nachhaltigkeit
Wie lässt sich sicherstellen, dass das Produkt den harten Bedingungen in der Fertigung standhält? Der Einsatz von beweglichen und schweren Geräten, harten Oberflächen und dicken Handschuhen erhöht das Risiko von Schäden an Authentifizierungslösungen, die am Arbeitsplatz eingesetzt werden. Daher ist es wichtig, darauf zu achten, dass die gewählte Authentifizierungslösung äußerst haltbar und bruchfest ist und einer regelmäßigen Desinfektion standhält.
Kriterium 5: Die Kosten
Wie lässt sich die Anzahl der Support-Tickets im Zusammenhang mit der Authentifizierung reduzieren? Selbst die einfachsten Formen der mobilen Zwei-Faktor- und Multi-Faktor-Authentifizierung (2FA und MFA), etwa OTP, verursachen einen enormen Supportaufwand, wenn sich Codes verzögern, Benutzer aus ihren Konten ausgesperrt werden oder neue Geräte registriert werden müssen. Je schneller ein Mitarbeiter sich authentifizieren und seine Arbeit sicher erledigen oder bei Bedarf sogar ein Self-Service-Passwort zurücksetzen kann, desto besser ist die Rendite der Investition.
Die Zukunft ist passwortlos
Die Umstellung von herkömmlicher MFA auf Phishing-resistente MFA ist wichtig im Hinblick auf die Sicherung gemeinsamer OT- und IT-Umgebungen in der Fertigung. Doch der nächste Schritt in der modernen MFA ist die Einführung der passwortlosen Authentifizierung, weil die größte Schwachstelle bei der klassischen Authentifizierung der Mensch ist und die mehrstufige Authentifizierung in hohem Maße zur Unzufriedenheit der Benutzer beiträgt.
Herkömmliche Smartcards sind eine Form des passwortlosen Zugangs: Sie bieten eine hohe Sicherheit, erfordern jedoch meist hohe Investitionskosten für Smartcard-Lesegeräte, Karten und Backend-Verwaltungsplattformen. Die Smartcard-Technologie wird vor allem in On-Prem-Umgebungen implementiert. Je nach den individuellen Bedürfnissen eines Fertigungsunternehmens könnten Smartcards eine geeignete Lösung darstellen.
Die gesamte Branche bewegt sich auf einen passwortlosen Anmeldefluss zu, der moderne Authentifizierungsstandards wie FIDO2/WebAuthn nutzt, die gut mit der Cloud funktionieren. Der Authentifizierungsstandard FIDO (Fast IDentity Online) ermöglicht eine starke Zwei-Faktor-, Multi-Faktor- und passwortlose Authentifizierung. Der FIDO-Standard wurde von der FIDO Alliance entwickelt, einem offenen Industrieverband, dessen Ziel es ist, die Abhängigkeit von Passwörtern zu verringern. FIDO2/WebAuthn ist der jüngste FIDO-Standard und verwendet Public-Key-Kryptografie für hohe Sicherheit, wobei die privaten Schlüssel den Authentifikator nie verlassen. Für Fertigungsunternehmen, die über veraltete OT-Systeme und eine geringe Toleranz gegenüber unproduktiven Aufgaben verfügen, bieten FIDO2-Hardware-Sicherheitsschlüssel eine Multi-Faktor- und passwortlose Authentifizierung mit der hohen Sicherheit und Benutzerfreundlichkeit, die bisher nicht gegeben war. FIDO2-basierte Hardware-Sicherheitsschlüssel können eine tragbare Vertrauensbasis darstellen, die sowohl für gemeinsam genutzte Arbeitsstationen als auch für Umgebungen mit eingeschränkter Mobilität geeignet ist.
Der Autor:
Alexander Koch ist VP Sales EMEA bei Yubico.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
