Zero Trust Network Access – Auch OT Umgebungen profitieren

In Zeiten, in denen das Home Office eher Regel als Ausnahme ist, bieten traditionelle IT-Security-Ansätze Unternehmen nicht mehr ausreichend Schutz. Stattdessen setzt sich mit Zero Trust ein neues Sicherheitsmodell durch. Da in der Industrie die Vernetzung der OT-Infrastruktur immer wichtiger wird, stellt sich die Frage: lässt sich dieser Ansatz auch hier implementieren?

Traditionelle Sicherheitskonzepte sind überholt

Unternehmensnetzwerke waren in der Vergangenheit üblicherweise in sich geschlossene Systeme mit wenigen sogenannten Breakouts, die ins Internet führten. Dementsprechend ist das IT-Sicherheitsmodell vieler Unternehmen auf die Abwehr von externen Gefahren ausgerichtet. Das geschlossene System wird an seinen Grenzen verteidigt und ein sicherer Perimeter wird errichtet. Das Innere des Netzwerkes gilt implizit als sicher.

Diese scharfe Trennung zwischen Innen und Außen lässt sich heute allerdings immer schwerer aufrechterhalten. Mitarbeitende greifen von verschiedenen Standorten und (privaten) Geräten auf Ressourcen im Unternehmensnetzwerk zu, Unternehmenssoftware wird als Service externalisiert und die Integration von IT-Diensten entlang der Produkt-Value-Chain wird immer wichtiger.

Das klassische Modell, weniger, streng kontrollierter Breakouts, gerät hier an seine Grenzen und die Ad-Hoc-Lösung, über VPN-Verbindungen Tunnel in den sicheren Perimeter zu bohren, schwächt das Sicherheitsmodell noch weiter. Der Zero Trust-Ansatz bietet eine bessere Alternative zur Adressierung dieser Herausforderungen.

Die Idee hinter Zero Trust Network Access (ZTNA)

Das Zero Trust-Modell baut auf dem Grundsatz: „Never trust, always verify!“ auf. Das Konzept des implizit sicheren Netzwerkbereiches wird abgelöst; Vertrauen in einen Kommunikationsteilnehmer kann insbesondere nie allein durch den Standort, den Gerätetyp oder die IP-Adresse erlangt werden. Eine ZTNA-Sicherheitsarchitektur besteht aus Technologien und Anwendungen, die die Identität und Vertrauenswürdigkeit aller User und Endpunkte überprüfen, bevor sie Zugriff auf Ressourcen gewährt. Diese Sicherheitsrichtlinien gelten unabhängig von dem User, der den Zugriff beantragt (Mitarbeitende, Vertragspartner, Auftragnehmer), seinem Standort (Büro, Zuhause, unterwegs) und der Art seines Geräts (PC, Laptop, Handy, Tablet, Android, iOS, firmeneigen, privat, etc.).

Gleichzeitig wird der Zugriff durch die ZTNA-Lösung unter Berücksichtigung des Least Privilege Principle, also das Prinzip minimaler Berechtigungen, realisiert - Nutzer erhalten nur so granular Zugriff, wie sie es für ihre Arbeit tatsächlich benötigen. So sinkt der mögliche Schaden, den ein Nutzer mit böswilligen Absichten oder jemand mit seinen Zugangsdaten, verursachen kann.

OT-spezifische Voraussetzungen für Zero Trust

Auch für die Industrie spielt die Vernetzung von Produktionsanlagen eine immer wichtigere Rolle, beispielsweise um Remote-Zugriff zu ermöglichen. Durch die COVID-19-Pandemie wurden in vielen Ländern auch Ingenieurstätigkeiten, wo möglich, ins Home Office verlagert und durch die andauernden weltweiten Reisebeschränkungen entwickelt sich die Fähigkeit zu vernetztem Arbeiten bei der Inbetriebnahme und Abnahme von Industrieanlagen zum echten Wettbewerbsvorteil. Analog zur IT-Welt, kommt es also auch im OT-Umfeld zu einer erzwungen Öffnung vormals abgeschotteter Bereiche. Es liegt daher nahe, ebenfalls auf den Zero Trust-Ansatz zu setzen. Dabei müssen aber die unterschiedlichen Voraussetzungen beachten werden, die dazu führen, dass sich das Zero Trust-Konzept nicht 1:1 auf OT-Infrastrukturen ausweiten lässt:

• IT und OT werden bislang oft noch strikt getrennt und von unterschiedlichen Managern verwaltet.
• OT ist oft noch nicht mit dem Internet verbunden, das Netzwerk ist vollständig vom IT-Netzwerk getrennt.
• OT-Ressourcen haben einen deutlich längeren Lebenszyklus und sind oft nur schwer vollständig abzusichern
• Während in IT-Anwendungsfällen zumeist nur eigene Mitarbeitende Fernzugriff erhalten, sind dies bei der OT häufig auch Dritte, wie Zulieferer.

Zwei Implementierungsmöglichkeiten

Die Implementierung von Zero Trust für OT wird durch die speziellen betrieblichen Anforderungen zwar erschwert, die heutigen geschäftlichen Herausforderungen verlangen aber nach einer Lösung.

Zum einen können Industrieunternehmen ihre OT-/IT-Infrastruktur unter Einsatz der neusten Sicherheitskonzepte und -systeme komplett überholen. Dies schließt beispielsweise Identitäts- und Zugriffsmanagement, Multi-Faktor-Authentifizierung, Mikrosegmentierung, Firewalls oder Intrusion-Detection-Systeme ein. Allerdings ist dieser Prozess komplex und kostenintensiv.

Zum anderen können ZTNA-Lösungen mit starkem Remote Service und Industrie-Fokus auf die bestehende OT-Infrastruktur aufgesetzt werden. Diese ersetzt beispielsweise VPNs nahtlos und ermöglicht Zugriffskontrollen bei einem wesentlich niedrigeren Investitionsaufwand.

Die Wahl der passenden Lösung

Um in OT-Umgebungen Zero Trust umzusetzen, muss die gewählte ZTNA-Lösung einige Schlüsselanforderungen erfüllen, die sich von denen einer IT-Umgebung unterscheiden können. So sollte sie industrielle Kommunikationsprotokolle, die für Fernzugriff oder IoT-Anwendungsfälle verwendet werden, und Machine-to-Machine-Interaktionen unterstützen. Außerdem sollte die Lösung ein so hohes Maß an Flexibilität bieten, dass sie an eine individuell konfigurierte und/oder organisch gewachsene OT-Umgebung anpassbar ist und vorhandene Legacy-Geräte ebenfalls unterstützt.

Da der Fernwartung von Produktionsanlagen eine immer größere Bedeutung zukommt, sollte dieser Anwendungsfall mit möglichst wenigen Anforderungen und Eingriffen in das Drittsystem verbunden sein. Auch sollte die richtige ZTNA-Lösung gängigen Sicherheitsstandards wie IEC 62443 entsprechen, um maximale Sicherheit zu gewährleisten.