IoT-Security Zero Trust für IT- und OT-Infrastrukturen

Autor / Redakteur: Nathan Howe* / Stefan Guggenberger

Die jüngsten Ransomware-Angriffe auf kritische Infrastrukturen, wie Wasser- oder Energieversorger, zeigen die deutlichen Folgen des Zusammenwachsens von IT und OT-Systemen. Wie Zero-Trust-Konzepte die geforderte Sicherheit durch Isolation ermöglichen.

Firmen zum Thema

Beim Zusammenwachsen von IT und OT sollte es weniger um Verschmelzung gehen, sondern vielmehr um die geregelte Konnektivität und Sicherheit.
Beim Zusammenwachsen von IT und OT sollte es weniger um Verschmelzung gehen, sondern vielmehr um die geregelte Konnektivität und Sicherheit.
(Bild: gemeinfrei // Pixabay)

IT- und OT-Systeme wachsen immer stärker zusammen und das zeigt sich auch bei Attacken auf eines der beiden Systeme: Obwohl die Angriffe auf die IT-Infrastruktur ausgerichtet waren, entschied sich der größte Ölversorger in den USA zum Abschalten seiner OT-Systeme und kappte damit die Treibstoffverteilung an der amerikanischen Ostküste. Engpässe an Benzin und Diesel mit langen Schlangen an den Zapfsäulen waren die gravierende Folge und 17 Staaten riefen den Notstand aus. Deutlicher hätte nicht vor Augen geführt werden können, wie eng die IT-Umgebung heute mit der Steuerung von Produktionsanlagen verwoben ist. Zero-Trust-Konzepte können die geforderte Sicherheit durch Isolation beider Welten bereitstellen und dennoch für die nötige abgesicherte Konnektivität sorgen.

Zusammenwachsen von IT und OT birgt neue Gefahren

Die Forderung nach der Konvergenz von Informationstechnologie (IT) und Operationstechnologie (OT) erhält durch die Digitalisierung zunehmend mehr Nachdruck. Die Dualität zweier getrennter Systeme lässt sich im Zeitalter der Cloud nur noch bedingt aufrechterhalten. Auch wenn Unternehmen traditionell bestrebt waren, ihre Steuerung von Produktionsanlagen und Maschinen getrennt von den IT-Infrastrukturen zu betreiben, wird der Ruf nach einer Integration deutlich vernehmbarer. Nicht zuletzt durch die Bereitstellung von flächendeckenden 5G Netzwerken mit der nötigen Durchsatzperformanz und Geschwindigkeit setzt das Umdenken ein. Der geforderte Druck kommt auch durch das Streben nach zukunftsfähiger Ausgestaltung von Produktion und Vertriebskanälen zustande. Durch das Zusammenwachsen entsteht allerdings auch ein neues Gefahrenpotenzial, wie der Ransomware-Angriff auf den Pipeline-Betreiber veranschaulichte.

Durch das Abschalten der IT-Systeme der Ölpipeline gingen wichtige Funktionen im gesamten Betriebsablauf verloren, die die enge Vernetzung der eigentlich getrennten Systeme aufzeigen. Unabhängig davon, ob die beiden Welten der IT und OT im gleichen Netzwerk vorgehalten wurden oder nicht, beeinflussen sie sich gegenseitig. Bei der Forderung nach Konvergenz der beiden Systemwelten sollte es aus Sicherheitsgründen nicht vorrangig darum gehen, die Isolation zweier getrennter Umgebungen aufzuheben. Es sollte vielmehr die gesicherte Verbindung miteinander im Mittelpunkt stehen, die auf den gleichen Kontrollmechanismen in punkto Security für die Datenströme beruhen.

Jedes System, das heute mit dem Internet verbunden ist, stellt einen potenziellen Angriffsvektor für Malware-Akteure dar. Durch Cloud-basierte Steuerungs- und Kontrollmechanismen der OT-Infrastruktur muss das Umdenken also im Hinblick auf Sicherheit erfolgen und da kann sich die OT-Umgebung viel von den modernen Mechanismen aus dem Bereich der IT-Sicherheit abschauen. Mit dem Prinzip des Least Privilege der Zugriffsrechte stellt Zero Trust auch für Operational Technologie ein adäquates Sicherheitskonzept zur Verfügung.

Abschied von Legacy-Strukturen reduziert Angriffsfläche

In traditionell verwalteten Ökosystemen wird die OT-Umgebung von der IT-Infrastruktur isoliert vorgehalten. Erst wenn die Notwendigkeit für den externen Datenaustausch aus der OT-Infrastruktur besteht oder Zugriff darauf erforderlich ist, erfolgt das Verschmelzen mit den notwendigen IT-Systemen. Jede OT-Umgebung benötigt also Konnektivität für den administrativen Zugriff auf die Anlagen einerseits und andererseits müssen Daten aus den Produktionsumgebungen, die beispielsweise von Sensoren geliefert werden, von IT-Systemen analysiert und verarbeitet werden. Die Anbindung der meisten OT-Systeme zur IT funktioniert über ein Gateway, das für die Verbindung zwischen den Netzwerken sorgt. Diese Gateway-Funktionalität wird beispielsweise durch eine Firewall hergestellt, die zwischen den beiden Netzwerkwelten übersetzt. Um miteinander zu kommunizieren, öffnen sich die voneinander isolierten Netzwerke untereinander. Jedes im Internet exponierte Gateway kann allerdings eine potenzielle Angriffsfläche darstellen, über die die Systeme mit Malware infiltriert werden können. Hat ein Angreifer einmal die Hürde genommen und konnte beispielsweise in ein IT-System eindringen, ist durch laterale Bewegung innerhalb der gesamten Infrastruktur auch die OT-Umgebung potenziell gefährdet.

Dass die Angriffsfläche von Unternehmen bedeutsam ist, zeigte die jüngste Studie des Cloud-Security-Anbieters Zscaler: aufbauend auf 1500 Datensätzen wurden potenzielle Einfallstore für Angreifer ausgemacht, denen sich eine Vielzahl der Unternehmen nicht einmal bewusst waren. Der Report deckte mehr als 202.000 Schwachstellen und Gefährdungen (CVEs) auf, von denen 49 Prozent als „kritisch“ oder „hoch“ eingestuft wurden. Bei den untersuchten Unternehmen gibt es 400.000 Server, die über das Internet offen auffindbar waren, wobei 47 Prozent der verwendeten Protokolle nicht auf dem aktuellen Stand und dadurch potenziell angreifbar waren.

Um Administratoren der beiden Umgebungen entweder über das physikalische Netzwerk am Datenaustausch teilhaben zu lassen oder via Remote Access Zugang zum Ökosystem zu erhalten, sind Hardware-Geräte notwendig, die den Datenverkehr regulieren. Traditionellerweise entstanden zur Anbindung von Produktionsstätten komplexe Konstrukte im Netzwerkaufbau, da unterschiedliche Fabriken und Standorte weltweit mit VPN-Mechanismen angebunden wurden. Komplexität ist dadurch vorprogrammiert, so dass Unternehmen im Zuge ihrer strategischen Digitalisierungsinitiativen heute versuchen, den Legacy-Infrastrukturen den Rücken zu kehren. Auf der Suche nach dem Ausweg aus dem Komplexitätsdilemma, das zusätzlich mit Schutzlücken durch die eingesetzten Hardwarekomponenten einhergehen kann, werden neue Wege der sicheren Konnektivität gesucht.

Zero Trust in OT-Umgebungen ersetzt Systemöffnung

Je mehr sich IT und OT-Systeme für den gegenseitigen Datenaustausch öffnen, desto mehr mögliche Risiken können potenziell eingeführt werden. Aus diesem Grund darf es im Zuge der Konvergenz nicht so sehr um die Verschmelzung der Netzwerke gehen, wenn Datenströme zwischen den Welten ausgetauscht werden, sondern vielmehr um die geregelte Konnektivität und Sicherheit. Für die Steuerung und die erforderlichen Zugriffsberechtigungen eignet sich dazu das Prinzip des Least Privilege, mit dessen Hilfe sich jeder Zugriff individuell kontrollieren lässt.

Aufbauend auf der Ausgangslage, dass Nichts und Niemand in der Lage sein sollte, eine Verbindung einzugehen, wird erst schrittweise berechtigter Zugang ermöglicht. Jeglicher Zugriff muss dabei zuerst validiert werden, sodass im Ergebnis isolierter Zugang aufgebaut wird. Zero-Trust-Lösungen nehmen sich dieses Prinzip zum Vorbild und erlauben ausschließlich Richtlinien-basierten Zugang für autorisierte Anwender. Es werden lediglich die auf das Notwendige limitierten Zugangsrechte auf Ebene der einzelnen Anwendung zu den OT-Umgebungen eingeräumt, die im Rahmen spezifischer Use Cases erlaubt werden.

Durch ein Zero-Trust-Sicherheitskonzept lassen sich nicht nur in IT-Infrastrukturen granulare Zugangsberechtigungen auf Applikationsebene gewährleisten, sondern auch in OT-Umgebungen. Aus Sicherheitsüberlegungen ist der entscheidende Faktor dabei, dass sich dadurch die Öffnung des gesamten Netzwerks für die erforderlichen Zugangsberechtigungen einschränken lässt. Eine logische Microsegmentierung durch getunnelten Datenverkehr vom Administrator oder Benutzer zu seiner Anwendung ersetzt in gewisser Hinsicht die Öffnung des Netzwerks.

Fazit: Zero Trust reduziert die Komplexität und erhöht die Sicherheit

Das Konzept der Gewährleistung von Zugriffsrechten auf Applikationsebene durch Zero Trust in einer Cloud-Umgebung überwindet nicht nur den Wildwuchs an Komplexität, sondern hilft auch bei der Reduktion der Angriffsflächen. Für die Erprobung eines solchen Ansatzes führte Siemens eigene Tests in typischen Produktionsumgebungen durch, um die spezifischen Anforderungen der diskreten Fertigung und der Prozessindustrie zu berücksichtigen. In diesen wird einerseits eine einfache und sichere Zugriffslösung zur Maschinenwartung dargestellt, bei der einem Mitarbeiter definierte Zugriffsrechte für eine spezifische Produktionsumgebung eingeräumt werden kann, andererseits auch die Möglichkeit der Segmentierung innerhalb des gesamten Ökosystems und wie sich die sichere Verbindung unterschiedlicher Maschinen innerhalb der Testumgebung herstellen lässt. Dazu kombiniert Siemens seine Local-Processing-Engine für die industrielle Kommunikation mit der Zero-Trust-Exchange-Plattform von Zscaler, die für die richtlinienbasierten Zugriffsberechtigungen aus der Ferne oder dem Unternehmensnetzwerk sorgt und erweckt damit die Vision der Interkonnektivität in OT-Umgebungen mit Zero Trust zum Leben.

* Nathan Howe arbeitet als VP Emerging Technology bei Zscaler.

(ID:47780051)