Zero Trust für OT in kritischen Infrastrukturen

Es ist eine relativ neue Entwicklung:  Operations Technologie (OT), also die Steuerung von Produktionsanlagen, hat sich bis vor kurzem wenig um Sicherheitskonzepte gekümmert, weil die Maschinen nicht mit dem Internet verbunden waren. Das hat sich im Rahmen der Digitalisierung geändert und jetzt müssen sich auch OT-Admins mit Fragen rund um die Sicherheit beschäftigen.

Warum Zero Trust für OT?

Inwiefern ist Zero Trust für kritische Infrastrukturen (Kritis) und die Operations Technologie relevant? Um diese Frage zu beantworten, hilft ein Blick auf die Definition. In der Cyberpedia wird Zero Trust wie folgt beschrieben: „Zero Trust ist eine strategische Initiative, die dazu beiträgt, erfolgreiche Datenschutzverletzungen zu verhindern, indem das Konzept des Vertrauens aus der Netzwerkarchitektur eines Unternehmens eliminiert wird. Zero Trust basiert auf dem Grundsatz ’never trust, always verify‘ und soll moderne digitale Umgebungen schützen, indem es die Netzwerksegmentierung nutzt, seitliche Bewegungen verhindert, Bedrohungen auf Layer 7 verhindert und die granulare Benutzerzugriffskontrolle vereinfacht.“

Das wichtigste Ziel bei der Cybersicherheit von kritischen Infrastrukturen besteht darin, schädliche physische Auswirkungen von Cyberangriffen auf Vermögenswerte, den Verlust kritischer Dienste und den Schutz der Gesundheit und Sicherheit von Menschen zu verhindern. Dennoch sind die Zero Trust-Grundsätze von großer Bedeutung. Es wird zunehmend deutlicher, dass kritische Infrastrukturen (Kritis, CI) mit OT aufgrund ihrer Zweckbestimmung und des entsprechend vorhersehbaren Netzwerkverkehrs (sowie der Tatsache, dass sie über lange Zeiträume ungepatcht bleiben und daher anfällig sind) ideal für Zero Trust sind.

Fünf Schritte zur Verwirklichung von Zero Trust in kritischen OT-Infrastrukturen

Im Folgenden sind von Palo Alto Networks fünf Schritte zur Verwirklichung von Zero Trust in kritischen OT-Infrastrukturen und einige der OT-bezogenen Überlegungen für jeden Schritt beschrieben:

Schritt 1: Definierung der zu schützenden Oberfläche

In diesem Schritt werden die „Kronjuwelen“ identifiziert, die für den Betrieb des Unternehmens entscheidend sind. IT- und OT-Teams sollten zusammenarbeiten, um diese Oberflächen zu identifizieren, die die ganzheitlichen Systeme/Netzwerke in Kontrollzentren, Umspannwerken, Kraftwerken, Produktionsstätten oder Fabrikhallen umfassen können. Sie können auch detailliert definiert werden, z. B. als spezifische verteilte Kontrollsysteme (Distributed Control Systems, DCS), Produktionslinien oder sogar spezifische Automatisierungsserver oder SPS. Eine risikobasierte Priorisierung der Flächen ist von entscheidender Bedeutung, da es nicht praktikabel ist, zu versuchen, jede Anlage zu sichern, für die nur begrenzte Ressourcen zur Verfügung stehen. In der Anfangsphase der Zero-Trust-Implementierung muss die Schutzfläche möglicherweise auf einer grobkörnigeren Ebene (z. B. DCS) als auf Geräteebene (z. B. SPS) definiert werden, um Fortschritte zu erzielen.

Schritt 2: Abbildung der Transaktionsflüsse

Der nächste Schritt besteht darin, die Transaktionen zu und von den Schutzoberflächen zu verstehen. So kann beispielsweise ein externer Supporttechniker in einem Kontrollzentrum mit Systemen in anderen Backup-Kontrollzentren und Umspannwerken interagieren. Dabei kann es vorkommen, dass er nur auf bestimmte Systeme in einer Untergruppe von Unterstationen zugreift, die mit Geräten dieses Drittanbieters ausgestattet sind. Außerdem stellen Systemtechniker vielleicht fest, dass nur bestimmte OT-Protokolle und Netzwerkdienstprogramme wie DNP3, ICCP und HTTPS während der normalen Arbeitszeiten verwendet werden. Die Next-Generation Firewall (NGFW) mit ihren Deep-Packet-Inspection-Funktionen kommt zum Einsatz, um Transparenz über OT/IIoT-Anwendungen, -Protokolle und -Geräte sowie Benutzer zu erhalten. Darüber hinaus kann die NGFW passiv eingesetzt werden, um diesen Lernprozess für risikoscheue Betriebsteams angenehmer zu gestalten, die neue Technologien nur ungern inline einsetzen, wenn sie den Nutzen besser kennen.

Schritt 3: Aufbau eines Zero Trust-Netzwerks für OT

Wenn die Transaktionsflüsse gut verstanden sind, kann man nun das eigentliche Zonenschema definieren, das die richtigen Inline-Kontrollen und die Abwehr von Bedrohungen ermöglicht. Das Segmentierungs-Gateway oder Conduit, das zur Erstellung von Zonen und der Interzonen-Richtlinie verwendet wird, wird wiederum durch die NGFW realisiert. Für das Beispiel in Schritt 2 kann die Zonenarchitektur das primäre Kontrollzentrum, das Backup-Kontrollzentrum sowie separate Zonen für die verschiedenen Unterstationen umfassen. Innerhalb jeder dieser Zonen kann je nach Anlagendefinition, Risikobewertung und Transaktionsströmen eine feinere Zonierung erforderlich sein. Man denke an eine nicht unterstützte Windows XP-HMI, die gehärtet werden muss, um das Cyberrisiko zu verringern. Auch hier ist es wichtig, ein Gleichgewicht zwischen Risikomanagement und Verringerung der betrieblichen Komplexität zu finden. Risikobasierte Ansätze, wie z. B. Gefahren- und Betriebsfähigkeitsstudien (Hazards and Operability, HAZOP), können dabei helfen, den erforderlichen Grad der Segmentierung zu bestimmen. Bei der Nachrüstung von Brownfield-Umgebungen können die von der NGFW bereitgestellten Inline-Bereitstellungsmodi wie Layer-2-VLAN-Einfügung und der transparente VWIRE-Modus mit minimaler Störung angewendet werden.

Schritt 4: Erstellen der Zero Trust Policy

In diesem Schritt geht es um die Kodifizierung der granularen Regeln in die NGFW. Dabei wird die Kipling-Methode verwendet, um das Wer, Was, Warum, Wann, Wo und Wie der Richtlinie festzulegen. Außerdem wird die NGFW-Policy-Engine genutzt, um Anwendungskontrollen, rollenbasierten Zugriff, Geräterichtlinien und Bedrohungsabwehr über App-ID-, User-ID-, Device-ID- und Content-ID-Technologien einzurichten. Um auf das vorherige Beispiel zurückzukommen, kommt die Kipling-Methode und die NGFW zum Einsatz. Damit lässt sich sicherzustellen, dass ein externer Techniker (Wer) auf die DNP3- und HTTPS-Protokolle zugreifen darf (Was), um eine Remote-Telemetrie-Einheit im Umspannwerk (Wo) zwischen 17 und 19 Uhr (Wann) zu überwachen und zu verwalten (Warum). Darüber hinaus könnten die von der NGFW bereitgestellten Entschlüsselungs- und Bedrohungsdienste mit der Zugriffskontrollrichtlinie gekoppelt werden, um jeglichen bösartigen Datenverkehr zu identifizieren und zu stoppen, der über diesen erlaubten Datenverkehr eingedrungen sein könnte.

Schritt 5: Überwachen und Pflegen des Netzwerks

So gründlich man in den Planungsphasen auch sein mag, bestimmte Transaktionen können übersehen worden sein, weil man die Transaktionen nicht über den gesamten Betriebslebenszyklus der OT-Systeme betrachtet hat. Darüber hinaus kann sich die OT, so statisch sie auch sein mag, dennoch verändern und mit der Einführung eines digitalen Transformationsprojekts, wie z. B. 5G, sogar erheblich. In diesem Fall ist es wichtig, dass die Inventarisierung von Schutzflächen und Transaktionen regelmäßig erfolgt und dass die zugehörigen Zonierungs- und Richtlinienschemata bei Bedarf angepasst werden. Auch hier ist die NGFW mit ihren granularen Sichtbarkeits- und ML-Funktionen und -Services (wie dem Policy Optimizer für die Feinabstimmung von Anwendungsrichtlinien und dem IoT Security Service für die Bestandsaufnahme von Assets und die Optimierung von Geräterichtlinien) von unschätzbarem Wert für diesen Prozess der Überwachung des Netzwerks und der Aufrechterhaltung von Zero Trust.

Zero Trust für CI/OT ist eine Reise

Der Weg zur Verwirklichung von Zero Trust in CI/OT könnte überwältigend sein, daher ist es wichtig, sich daran zu erinnern, dass die Implementierung einer Zero-Trust-Architektur nicht von Anfang an „all-in“ sein muss. Unternehmen können mit der Implementierung von Zero Trust an der IT-OT-Grenze beginnen. Wenn sie sich damit vertraut gemacht haben, können sie dann zu den unteren Schichten der OT übergehen. Schließlich können sie den gleichen Zero-Trust-Ansatz auch anwenden, um ihre erweiterte OT-Infrastruktur in Public Clouds, 5G-Netzwerken und sogar sicheren Zugangsservice-Edge-Verbindungen (SASE) mit Konsistenz und zentralem Management zu sichern.

Jakob Jung

Recent Posts

Chief Digital Officer an Bord

Es gibt einen Wandel in der Verantwortlichkeit für Informationstechnologie in Unternehmen. Zunehmend treten Chief Digital…

1 Stunde ago

Digitale OT-Supply-Chain gefährdet

Operational Technology (OT) oder auf Deutsch die Steuerung von Produktionsanlagen gerät immer mehr ins Visier…

3 Stunden ago

FBI warnt vor Diebstahl von Passwörtern per QR-Code

Cyberkriminelle haben es auch auf Finanzdaten abgesehen. Sie machen sich den Umstand zunutze, dass QR-Codes…

23 Stunden ago

Project: Opera stellt Browser für Krypto-Dienste vor

Im Mittelpunkt steckt die Web3-Integration. Project unterstützt Bitcoin, Celo, Ethereum und Nervos. Weitere Kryptowährungen sollen…

23 Stunden ago

Cybersicherheit ohne menschliches Zutun

Solid-State Drives (SSD) mit integrierter künstlicher Intelligenz (KI) bieten Hardware-Schutz vor Cyberangriffen. Jetzt gibt es…

1 Tag ago

Netzwerkadministration wird zu Strategy First

Netzwerkadministratoren stehen dieses Jahr vor neuen Herausforderungen wie Zero Trust, Forderungen nach höherer Konnektivität und…

1 Tag ago