TXOne Networks auf der Hannover Messe
Schutz von OT-Umgebungen durch OT Zero Trust
Wie in der IT-Welt beruht Cybersecurity auch in der OT-Welt auf kontinuierlicher Kontrolle und Verifizierung. Beim OT-Cybersecurity-Konzept »OT Zero Trust« liegt der Schwerpunkt jedoch auf den Geräten, nicht auf den Menschen. Dr. Terence Liu, CEO von TXOne Networks, erläutert die Methode näher.
In der IT-Welt beruht das Kernprinzip von Zero Trust in der kontinuierlichen Überprüfung und Verifizierung, die sicherstellt, dass jeder Zugriff auf miteinander verbundene Dienste von einer autorisierten Identität, zur richtigen Zeit, von der erwarteten Quelle und über registrierte Geräte erfolgt. »Dies ist ein sehr personenzentrierter und kontextbezogener Prozess«, erläutert Terence Liu. »Weil ein hohes Maß an Interaktion zwischen Menschen über verschiedene Dienste stattfindet, kann jeder kompromittierte Mitarbeiter eine Bedrohung für die gesamte Organisation darstellen.«
In der OT-Welt dagegen sind Geräte und Anlagen nur selten an bestimmte Personen gebunden. Trotz der Ähnlichkeiten in der Schadensausbreitung mit der IT-Welt sind die OT-Abwehrmaßnahmen völlig unterschiedlich. »Wir bei TXOne Networks verfolgen die OT-Zero-Trust-Methode, bei der es sich ebenfalls um einen Prozess der kontinuierlichen Kontrolle und Verifizierung handelt«, führt Terence Liu aus. »Dabei liegt der Schwerpunkt jedoch auf den Geräten und nicht auf den Menschen, und es werden alle Phasen des Lebenszyklus der Anlagen abgedeckt. Jedes Gerät wird überprüft, bevor es an die Produktionslinie gelangt, und alle Geräte sollten während des Herstellungsprozesses kontinuierlich überwacht und geschützt werden.« IT-Mitarbeiter könnten durchaus einen Teil der Serviceverfügbarkeit für ein Plus an Sicherheit in einem bestimmten Zeitraum opfern. OT-Mitarbeiter hingegen müssten den umgekehrten Weg gehen, denn in OT-Umgebungen stehe die Systemverfügbarkeit an erster Stelle.
Die OT-Zero-Trust-Methodik ist ein Rahmenkonzept, in dem jede Anlage während ihres gesamten Lebenszyklus durch mindestens eine Sicherheitsmaßnahme abgedeckt ist. Der Lebenszyklus einer Anlage umfasst die Prüfung vor der Inbetriebnahme, den Endpunktschutz und die Netzwerkverteidigung.
Die praktische Umsetzung der OT-Zero-Trust-Methode
»Unserer Erfahrung nach liegt die größte Hürde für OT-Security-Manager nicht in begrenzten Budgets oder in mangelndem Fachwissen über Cybersecurity, die sie daran hindern, ein höheres Sicherheitsniveau zu erreichen«, betont Terence Liu. »Es ist ein Mangel an Manpower. Man denke an eine Fabrikanlage mit Tausenden von Geräten, die über mehrere Hektar verstreut sind und nur von zwei professionellen OT-Security-Managern verwaltet wird. Das sollte ein klares Bild vermitteln, warum ausgefallene IT-Security-Funktionen nicht die Lösung sind.«
Laut Terence Liu ist OT Zero Trust nur dann sinnvoll, wenn es auf praktische Sicherheitsimplementierungen angewendet wird. »Man muss vermeiden, beim Versuch, eine Frage zu beantworten, weitere Fragen aufzuwerfen«, stellt er klar. »Stattdessen ist es wichtig, dem Benutzer den genauen Weg aufzuzeigen, dem er folgen soll. Die Antwort liegt nicht in den geringfügig unterschiedlichen Erkennungsraten von ungeeigneten Lösungen, sondern in einer Umgebung, die auf die OT-spezifische Sicherheitsanforderungen und -bedingungen zugeschnitten ist.«
Ein erhöhter Bedarf an OT Zero Trust
In der jüngsten Umfrage von TXOne Networks unter 300 Führungskräften und Verantwortlichen für die OT-Sicherheit gaben 94 Prozent der Befragten an, dass sie mit OT-Vorfällen konfrontiert waren, die ihren Ursprung in der IT hatten. »Wir sehen einen klaren Trend, dass es sich bei immer mehr Ransomware-basierten Attacken im OT-Bereich um gezielte Angriffe handelt«, sagt Terence Liu. »Wenn es Hackern gelingt, die mehrschichtigen IT-Sicherheitsmaßnahmen zu durchbrechen und alle Anmeldeinformationen abzurufen, um Ransomware im OT-Bereich zu verbreiten, ist es unwahrscheinlich, dass der Einsatz derselben Lösungen im OT-Bereich dazu beiträgt, bösartige Handlungen abzufangen. Die einzige Lösung ist ein umfassendes OT-Security-Bewusstsein – ein kontextbezogenes, situationsbezogenes Verständnis, das einen tiefen Einblick in die OT-Aktivitäten ermöglicht.«
Neben der Prüfung des Sicherheitsniveaus mit OT-spezifischer Signaturintelligenz reagiert »Extended OT Zero Trust« auch auf Elemente, die auf dem Wissen über die alltäglichen Betriebsnormen in der OT beruhen. So kann Extended OT Zero Trust beispielsweise zuverlässig Alarm auslösen, wenn es einen alltäglichen Befehl über gängige Protokolle sieht, wenn der Betriebskontext noch nie solche Protokolle enthielt.
»Dieses kontextbezogene Verständnis geht über herkömmliche Sicherheitsansätze hinaus und erfordert ein hohes Maß an Industriewissen und Technologien wie KI«, legt Terence Liu dar. Das Erreichen dieses Bewusstseins sei das ultimative Ziel von OT Zero Trust: Niemals vertrauen, immer überprüfen - und das im industriellen Kontext.
»OT Zero Trust ist ein neues, aber bedeutendes Sicherheitsparadigma, auf das wir uns einstellen müssen«, resümiert Terence Liu. »Wir sind gespannt darauf, wie es sein Potenzial entfalten wird.«
TXOne Networks auf der Hannover Messe: Halle 16, Stand A04
Lesen Sie mehr zum Thema
