1 34 Table of Contents 36 52

NET 4/2023

35 www.net-im-web.de 4/23 Mehr Sicherheit auf Applikations- als auch auf Netzebene zugelassen. Zusätzlich gilt es, die Komplexi- tät zu verringern. Je weniger Features eine Software hat und je klarer die Schnittstellen sind, desto verständlicher, leichter und wirksamer ist eine Absicherung. Dennoch: Keine Sicherheitskom- ponente ist hundertprozentig zuverlässig. Daher ist es wichtig, mehrschichtige Sicher- heitsarchitekturen aufzubauen, bekannt unter demBegriffDefense in Depth. In der Praxis bedeutet dies, Zugriffsbeschränkun- gen auf mehreren Ebenen durchzusetzen, z. B. durch die Beschränkung des Zugangs zumNetz, die Beschränkung der Kommu- nikation imNetz und die Zugriffskontrolle an dem Dienst bzw. Gerät. Versucht ein Angreifer dann, in ein Netz einzudringen, kommt er nicht weit. Zusätzlich zu den proaktiven Maßnahmen sollten auch reaktive ein- gesetzt werden. Ausführliches Monitoring ist die Voraussetzung für eine frühzeitige Angriffserkennung sowie für eine zeitnahe Reaktion imAngriffsfall.Wichtig sind auch eine Sensibilisierung vonMitarbeitern und funktionierende Notfallpläne. Zero-Trust-Paradigma Der traditionelle Ansatz zur Absicherung von Geschäfts- und Produktionsprozes- sen ging davon aus, dass sich alle Geräte, Applikationen sowie die Kommunikation zwischen diesen unter der eigenen Kon- trolle befinden. Der Fokus lag daher auf der Absicherung des Netzes am Perime- ter. Innerhalb des Netzes selbst war über- wiegend unbeschränkte Kommunikation möglich. Dieser Ansatz passt nicht mehr zur Realität. Heutige Infrastrukturen sind in ihrer Komplexität wesentlich größer und erstrecken sich oft über mehrere Netze. Hinzu kommen immer mehr fremd ver- waltete Systeme wie Cloud-Umgebungen oder ferngewarteteMaschinen. Gleichzeitig werden immer kritischere Geschäftsprozesse digitalisiert und vernetzt. Dadurch steigen die Anforderungen an die Verfügbarkeit und Zuverlässigkeit sowie denDatenschutz. Der einfache Ansatz der netzfokussierten Sicherheit skaliert in der heutigen Zeit immer schlechter. Mit dem Zero-Trust-Paradigma entfernt man sich von der Idee, dass eine Kontrolle am Netzperimeter ausreichend möglich ist. Statt das komplette Netz zu sichern, fokussiert man sich auf die Ab- sicherung der an einem Geschäfts- oder Produktionsprozess beteiligten Endgeräte, Nutzer und Dienste sowie der Kommuni- kationspfade zwischen diesen. Zero Trust in der Produktion Es gibt drei wesentliche Ansätze, ZeroTrust Networking zu implementieren. Sie unter- scheiden sich primär darin, an welcher Stelle die Sicherheitsregeln durchgesetzt werden. Zero Trust Networking Access nach Forrester bedeutet eine Mikroseg- mentierung (Bild 2). Das heißt, in einem vorhandenen Netz werden an strategisch sinnvollen Stellen Zugriffskontrollen und Analysen implementiert, die die Kommu- nikation innerhalb des Netzes beschränken und überwachen. Dies kann man z. B. mittels einer Next Generation Firewall oder CognitixThreat Defender von Genua realisieren. Letzterer erlaubt es, das gesamte interne Netz kleinteilig zu segmentieren, einzelne Geräte voneinander zu trennen und die Kommunikationspfade nach dem Minimalitätsprinzip zu reglementieren und zu überwachen. Machine-Learning-Algo- rithmen helfen dabei, die Netzkommuni- kation über einen bestimmten Zeitraum im Betrieb zu analysieren und so die passenden Regeln zu erstellen. Der zweite ZTNA-Ansatz ist der Software-Defined Perimeter. Hier wird nicht ein vorhandenes Netz abgesichert, sondern der externe Zugang zu einzelnen Diensten. Konzeptionell ist das ähnlich zu einem klassischen VPN, wobei jedoch bei einem Software-Defined Perimeter nur Zu- griff auf spezifische Dienste und nicht das komplette Netz erlaubt wird. Dies ist z. B. wichtig bei einer Fernwartung, die nur einen Zugriff auf einzelne Dienste bzw. Systeme ermöglichen sollte, nicht aber einen Zugriff auf das komplette Produktionsnetz. Das dritte ZTNA-Konzept, das im Indust- rieumfeld wahrscheinlich weniger relevant ist, ist unter dem Begriff BeyondCorp bzw. BeyondProd bekannt und wurde von Goo- gle propagiert. Hier geht es darum, den Zugang zu einem einzelnen Dienst abzu- sichern. BeyondCorp ist primär fürWeban- wendungen gedacht. Für alles andere eignet es sich weniger. Im Industriekontext ist es z. B. für die Anbindung eines IIoT-Geräts an einen cloudbasierten Dienst nutzbar. Mikrosegmente nach Forrester Für die Bestimmung der Mikrosegmente nach Forrester gibt es verschiedeneWege, je nachdem, wie viel man investieren möchte und wo die Angriffsflächen und Sicherheits- probleme liegen. ZumBeispiel könnte man die Clients, IoT-Devices und Server von- einander isolieren. In der OT können das fremdgesteuerteMaschinen sein, bei Servern Bild 1: Klassische Kopplung von OT (links) und IT (rechts): Beide Netze werden am Netz-Perimeter bzw. -Übergang von einer Firewall geschützt. Eine Kompromittierung in der IT kann zu einer Kompromittierung des kompletten OT-Netzes führen

RkJQdWJsaXNoZXIy MjE2Mzk=