OT-Umgebungen wirkungsvoll absichern
Cybersecurity im Einklang mit NIS-2
Bei der OT-Security geht es nicht nur um die Datensicherheit, sondern auch um die Aufrechterhaltung der Produktion. Wie können Unternehmen ihre OT-Umgebung vor Bedrohungen schützen, welche Vorgaben macht NIS-2 dazu, und welche Rolle spielen das Zero-Trust-Prinzip und Segmentierungsansätze dabei?
Industrie-4.0-Techniken beschleunigen und verbessern mittlerweile die Produktionsabläufe zahlreicher Unternehmen. Durch das Zusammenwachsen von OT- und IT-Umgebungen im Zuge der Digitalisierung wächst aber auch der Bedarf an geeigneten Sicherheitsmaßnahmen, um bisher isoliert betriebene Fabriken und Produktionstätten gegen Cyberbedrohungen aus der IT-Welt abzusichern. Infolge der EU-Richtlinie NIS-2, die strengere Sicherheitsrahmen für kritische Infrastrukturen festlegt, wächst der Druck zur Einführung effektiver Schutzmaßnahmen.
Herausforderungen für die OT-Security
OT-Umgebungen waren in der Vergangenheit nicht Teil der allgemeinen IT, sondern wurden separat von der Produktionsleitung oder den OT-Security-Fachleuten betrieben. Früher wurden Endgeräte und Maschinen direkt in das Netzwerk integriert, ohne umfassende Sicherheitsstrategien zu berücksichtigen. Das Problem entsteht, wenn sich die Maschinenparks hinsichtlich ihrer Sicherheit nicht nachrüsten lassen. Weil solche Umgebungen eine lange Lebensdauer aufweisen, sind die Maschinen nicht selten seit 30 oder 40 Jahren in Betrieb. Aufwendige Veränderungen in diesen Netzwerken lassen sich oft nur schwer umsetzen, weil die Produktion keinen Stillstand duldet.
Ausfallzeiten, die beispielsweise für das Einspielen von Updates oder Upgrades erforderlich wären, sind in großen, rund um die Uhr betriebenen Fertigungslinien nur schwer realisierbar. Dementsprechend scheuen viele Unternehmen die aus Sicherheitsgründen notwendigen Modernisierungen. Durch das Zusammenwachsen von IT- und OT-Umgebungen entstehen allerdings neue Risikofaktoren, denn Malware, die durch das Internet in IT-Umgebungen eingeschleust wird, kann durch laterale Bewegung auf Produktionsumgebungen übergreifen und dort zu Ausfällen führen.
Sicherheitsrisiken durch Dritte
Neben der Integration von IT und OT liegt ein weiterer Risikofaktor für den Betrieb von OT-Umgebungen in den zu Wartungszwecken notwendigen Zugriffsberechtigungen von Drittanbietern auf Produktionsanlagen. Organisationen wollen aufgrund des Sicherheitsrisikos vermeiden, dass Drittparteien, die via VPN auf OT-Umgebungen zugreifen müssen, darüber auch Zugang zu ihren IT-Netzwerken bekommen. Drittanbieter benötigen abgesicherten Zugang zu spezifischer betriebsrelevanter Software, oder sie müssen per Fernzugang auf bestimmte Systeme zugreifen, um Wartungsarbeiten durchzuführen. Segmentierung tut Not.
Beide Szenarien bergen Risiken, besonders wenn der Dienstleister kompromittiert wurde oder nicht die erforderlichen Sicherheitskontrollen implementiert hat. Unternehmen suchen daher nach Lösungsansätzen, die den Ausbreitungsradius einer Malware auf OT-Umgebungen einschränken können. Klassische Segmentierungsmodelle greifen für Produktionsstätten allerdings nicht, weil sie mit großem Implementierungsaufwand und Stillstand der Maschinen einhergehen würden.
Implikationen der NIS-2-Richtlinie
Die NIS-2-Richtlinie stellt konkrete Anforderungen an die OT-Sicherheit. Organisationen - besonders solche, die kritische Infrastrukturen wie etwa in der Energie- oder Wasserversorgung betreiben - müssen ab Oktober strenge Sicherheitsmaßnahmen umsetzen, um die Resilienz ihrer Systeme zu gewährleisten. Dazu zählen unter anderem:
• Risikomanagement: Unternehmen sind aufgefordert, umfassende Risikobewertungen durchzuführen und geeignete Maßnahmen zu ergreifen, um identifizierte Risiken abzuschwächen. Dazu zählt beispielsweise, die laterale Bewegung von Malware als bekanntes Risiko zu unterbinden, indem die Angriffsfläche auf OT-Umgebungen reduziert wird.
• Incident Management: Unternehmen müssen in der Lage sein, Sicherheitsvorfälle schnell zu erkennen, darauf zu reagieren und sie zu melden.
• Sicherheitsvorkehrungen: Unternehmen müssen technische und organisatorische Maßnahmen umsetzen, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten. Dazu kann das Zero-Trust-Modell mit dem Prinzip des am wenigsten privilegierten Zugriffs beitragen.
Zero Trust und granulare Segmentierung
Weil sich die Bedrohungslandschaft ständig weiterentwickelt, die Zahl der Angriffe auf Produktionsanlagen laut dem jüngsten Ransomware-Report von Zscaler zunimmt und IT und OT immer mehr verschmelzen, sind geeignete Maßnahmen zur Risikominimierung notwendig. Gefordert sind einerseits Zero Trust mit dem Prinzip der granularen Zugriffskontrollen auf Applikationsebene durch den Least Privileged Access und andererseits neue Ansätze der Segmentierung für Produktionsanlagen und Maschinenparks. Bisher standen Unternehmen vor der Herausforderung, die Produktion stilllegen zu müssen, um ein umfangreiches Re-Design der Anlagen mit granularer Segmentierung der ??? zu ermöglichen.
Die nachträgliche Segmentierung des Ost-West-Datenverkehrs von Fabriken oder Campus-Umgebungen ohne Downtime der Produktionsanlagen ist notwendig und möglich. Herkömmliche NAC-Firewalls (Network Access Control) und netzwerkbasierte Firewalls auf Basis statischer Access Control Lists (ACLs) zur Kontrolle des Ost-West-Verkehrs wurden allerdings nicht dafür entwickelt, moderne Bedrohungen an der lateralen Ausbreitung innerhalb eines Local Area Network (LAN) zu hindern. Airgap Networks hat auf Basis einer intelligenten DHCP-Proxy-Architektur einen agentenlosen Segmentierungsansatz entwickelt (Dynamic Host Configuration Protocol), mit dessen Hilfe jedes Gerät isoliert werden kann. Der Zugriff wird dynamisch auf der Grundlage von Identität und Kontext ermöglicht und kann dadurch das Geschäftsrisiko für Unternehmen mit kritischen Infrastrukturen verringern. Mit Hilfe dieses Ansatzes lassen sich einzelne IoT/OT-Geräte segmentieren, ohne den laufenden Betrieb zu beeinträchtigen.
Zudem kann durch die Nutzung von Machine Learning (ML) der Datenverkehr analysiert werden, um festzustellen, welche Geräte miteinander kommunizieren müssen. Dies ermöglicht eine granulare Netzwerksegmentierung, bei der jedes Gerät in ein eigenes Subnetz verschoben wird. Durch diese Mikrosegmentierung verringert sich das Risiko lateraler Bewegungen durch Malware im Netzwerk erheblich. Außerdem lassen sich Zugriffsrichtlinien automatisch verwalten – dabei werden anhand der Analyse des Datenverkehrs Profile erstellt, die genau definieren, welche Geräte miteinander kommunizieren dürfen. Diese Automatisierung vereinfacht die Verwaltung und reduziert den Aufwand für IT-Teams beträchtlich. Durch die Integration von Airgap in die Zero-Trust-Exchange-Sicherheitsplattform entsteht eine Symbiose aus Zero Trust und granularer Netzwerksegmentierung, die sowohl IT- als auch OT-Umgebungen abdeckt.
Neue Wege für mehr Resilienz
Die Absicherung von OT-Umgebungen erfordert einen anderen Ansatz als herkömmliche IT-Sicherheitsstrategien. Durch neue Technologien für die Segmentierung in Kombination mit einer Zero-Trust-Architektur können Unternehmen ihre Angriffsfläche reduzieren und die Gefahr lateraler Bewegungen minimieren, weil Drittparteien ausschließlich auf die benötigten Anlagen zugreifen dürfen. Damit können Infrastrukturberteiber die Resilienz ihrer OT-Umgebungen erheblich steigern, den Anforderungen der NIS-2-Richtlinie gerecht werden und ihre digitale Infrastruktur vor den zunehmenden Cyberbedrohungen schützen.
Lesen Sie mehr zum Thema
