Industrielle Cybersicherheit

Die Netzwerkzugriffskontrolle ist ein wesentlicher Bestandteil Ihrer OT-Sicherheit

Sarah Kolberg und Tobias Heer
Wenn es um die Verbesserung der OT-Sicherheit geht, ist die Netzwerkzugriffskontrolle eines der effektivsten verfügbaren Tools. Lesen Sie in unserem Blog, welche Rolle es in industriellen Netzwerken spielt.

 

Wenn Sie OT- und IT-Systeme in Hinblick auf die Cybersicherheit vergleichen, hat jedes seine eigenen Besonderheiten und Anforderungen.

 

Um einen genaueren Blick darauf zu werfen, wie die Netzwerkzugriffskontrolle robuste OT-Sicherheitsbemühungen unterstützt, haben wir uns mit Professor Dr. Tobias Heer zusammengesetzt, der an der Hochschule Esslingen IT-Sicherheit und Vernetzung lehrt. Außerdem ist er seit 2012 Jahren Teil des Belden-Teams und arbeitet als Forscher für zukünftige Netzwerktechnologien bei Hirschmann, einer Marke von Belden.

 

Im Folgenden teilen wir seine Antworten auf Fragen zur OT-Sicherheit.

 

Frage: Warum sind einige der bewährten Sicherheitskonzepte der Branche, wie z. B. Air-Gapping, nicht mehr praktikabel?

 

Antwort:

Vor der Digitalisierung war es nicht notwendig, die Produktion an das Netzwerk anzuschließen. Heute, im Zeitalter von Industrie 4.0, sind Unternehmen und Produktionen hochgradig digitalisiert und basieren auf Informationsaustausch, was mit Air-Gap-Systemen nicht möglich ist. Wenn Sie die Produktion modernisieren wollen, dann ist ein Air Gap nicht pragmatisch.

 

Ich wage auch zu bezweifeln, dass Unternehmen, die es gewohnt sind, sich auf einen Air Gap zu verlassen, immer einen Air Gap hatten. Oft wurden Modems angeschlossen, um Informationen innerhalb der Produktionsstätte auszutauschen, oder Daten wurden über Speichermedien wie USBs oder Disketten von außerhalb eingeführt. Diese werden oft nicht kontrolliert, was Raum für OT-Sicherheitsangriffe lässt.

 

Frage: Welche Rolle spielt die Netzwerkzugriffskontrolle in industriellen Netzwerken?

 

Antwort:

Die Netzwerkzugriffskontrolle (Network Access Control, NAC) ist eines von mehreren Tools für die OT-Sicherheit. Es ist kein Allheilmittel, das alle Sicherheitsmaßnahmen abdeckt, aber es ist eines der effektivsten verfügbaren Tools. Es funktioniert sowohl bei lokalen Angreifern (vor Ort) als auch bei Angriffen von außen.

 

Der lokale Cyberangriff

In großen oder geografisch verteilten Einrichtungen kommt es häufig zu lokalen Angriffen auf die OT-Sicherheit. Die Sicherheit einer Produktionsstätte ist physisch schwer zu kontrollieren. Es ist ganz einfach, ein Gerät anzuschließen und auf das Netzwerk zuzugreifen. Das System kann auch kompromittiert werden, wenn etwas falsch angeschlossen ist. In diesen Fällen hilft NAC, da Geräte nicht einfach unkontrolliert mit dem lokalen Netzwerk verbunden werden können. Bei einem Angriff von innen muss sich der Angreifer authentifizieren, um ein Gerät überhaupt mit dem industriellen Netzwerk verbinden zu können. Mit Hilfe von NAC können Sie jedes Netzwerkgerät und jeden Endpunkt sehen, der mit dem Netzwerk verbunden ist, und darauf reagieren. Dies schafft Transparenz, damit Sie nachvollziehen können, was im Netzwerk vor sich geht.

 

Der Cyberangriff von außen

Die andere Möglichkeit sind Angreifer, die von außen kommen und Systeme infiltrieren, die sich bereits im Netzwerk befinden. Ein Angriff von außen führt immer zu kompromittierten Geräten im Inneren. Auch hier kann NAC helfen. Bei einem Angriff von außen greift ein gutes NAC-System auf andere Tools zurück. Ein Schwachstellen-Scanner identifiziert beispielsweise anfällige Endpunkte und Netzwerkgeräte, über die sich ein Angreifer Zugriff verschaffen könnte. Mit einem NAC-System können Sie entscheiden, wie Sie mit einem gefährdeten oder kompromittierten Gerät umgehen. Möchten Sie es im Netzwerk behalten, in ein Quarantänenetzwerk verschieben oder jemanden informieren? NAC hilft Ihnen, auf unvorhergesehene Netzwerkänderungen zu reagieren und fungiert als Hygienemaßnahme.

 

Frage: Welche Anforderungen stellt eine industrielle Umgebung an die Netzwerkzugriffskontrolle?

 

Antwort:

In der OT-Sicherheit sieht es etwas anders aus als in der IT-Sicherheit. In der OT hängen Prozesse von der Kommunikation ab. Ihre Unterbrechung durch Ausschluss eines beteiligten Geräts kann zu einem physischen Problem führen.

 

Wenn beispielsweise Steuerungsprozesse unterbrochen werden, kann dies zu Ausfallzeiten oder physischen Schäden führen. Wenn einzelne Teile einer Anlage stillgelegt werden müssen, kann es sehr schwierig sein, sie wieder in Betrieb zu nehmen. In einigen Arten von Industrieanlagen, wie z. B. in der Prozessindustrie, ist dies nie eine Option.

 

In einem industriellen Netzwerk benötigt man eine ausgefeiltere NAC. Sie hilft bei der Steuerung geplanter Aktivitäten, wenn eine Störung oder ein Angriff im Netzwerk erkannt wird, und bei der Ergreifung von Sicherheitsmaßnahmen, wenn drastische Schritte, wie z. B. der Netzwerkausschluss, nicht möglich sind.

 

NAC bringt Transparenz in industrielle Netzwerke und legt offen, welche Geräte vorhanden sind. Es erkennt ungewöhnliche Netzwerkbewegungen und typische Angriffsmuster.

 

Eine gute NAC-Lösung sollte es ermöglichen, Endpunkte in geeignete Gruppen einzuteilen. Je nach Gruppe werden unterschiedliche Abwehraktionen ausgeführt.

 

So kann beispielsweise ein Wartungs-Laptop, der nicht den Compliance-Richtlinien entspricht, leicht vom Netzwerk ausgeschlossen werden. Der Endpunkt ist nicht Teil eines geschäftskritischen Prozesses. Hier passiert normalerweise nichts Unvorhersehbares. Ein Industrie-PC als Teil eines Regelkreises lässt sich dagegen nicht ohne Weiteres aus dem Netzwerk entfernen, da Prozesse in der Anlage gestört werden könnten. Die Netzwerkzugriffskontrolle kann verwendet werden, um diese Unterscheidung zu treffen und geeignete Reaktionen zu definieren, wodurch zeitaufwendige manuelle Aufgaben reduziert werden.

 

Frage: Welche Rolle spielen Zonen bei der Sicherheit des Netzwerkzugriffs?

 

Antwort:

Ein wichtiges Prinzip in der OT-Sicherheit ist die Erstellung von Zonen und Zonenübergängen. Es ist so wichtig für die Branche, dass es in ISO IEC 62443 spezifiziert ist.

 

Beim Zoning werden die Endpunkte, Einheiten, Maschinen usw., die logisch zusammengehören, derselben Zone zugeordnet. Wenn etwas in einer Zone passiert, betrifft es nur diesen Bereich. Wenn ein Angreifer in die Zone eindringt, bleibt er darin und kann auf keine anderen Bereiche zugreifen, sodass die anderen Zonen nicht betroffen sind.

 

Mit Hilfe von NAC können diese Zonen durch VLANs implementiert werden. Die VLAN-Verwaltung kann portbasiert erfolgen. Die Zuordnung ist auch über MAC-Adressen, Benutzername und Passwort oder Zertifikat möglich. Dies macht die Zonengestaltung bequem und zuverlässig und reduziert den Verwaltungsaufwand. Anstatt einzelne Switches zu konfigurieren, werden Sicherheitszonen Endpunkten und Geräteklassen zugewiesen.

 

Temporäre Netzwerkzugänge für Subunternehmer und Wartungspersonal können mit der NAC-Lösung schnell und sicher bereitgestellt werden. Stellen Sie sich vor, ein Wartungsmitarbeiter muss für eine regelmäßige Inspektion auf eine bestimmte Maschine zugreifen. NAC ermöglicht einen einfachen, zeitlich begrenzten sicheren Netzwerkzugriff für den Endpunkt auf die Zone des Computers, die gewartet werden muss.

 

Wenn Sie dasselbe ohne NAC implementieren möchten, muss jemand einen Switch manuell konfigurieren, den Endpunkt zulassen und ihn nach Abschluss der Arbeiten wieder neu konfigurieren – ein zeitaufwendiger und fehleranfälliger Prozess, der Spezialkenntnisse erfordert.

 

Wenn zu viel Aufwand erforderlich ist, neigen Menschen schnell dazu, Sicherheitsmaßnahmen zu umgehen. Sie schaffen aus Effizienzgründen immer mehr Lücken in Ihrem eigenen Sicherheitskonzept. NAC kann daher sowohl zur Steigerung der Sicherheit als auch zur Effizienzsteigerung eingesetzt werden. Prozesse, die in der Regel restriktiv und komplex sind, können mit wenig Aufwand implementiert werden.

 

Erfahren Sie mehr über OT-Sicherheit

Durch die Implementierung einer flexiblen, skalierbaren und effizienten Lösung für die Netzwerkzugriffskontrolle können Sie einen erheblichen Mehrwert für die Netzwerksicherheit erzielen, indem Sie die Netzwerktransparenz verbessern, Cyberbedrohungen reduzieren und die Netzwerkleistung verbessern.

 

Erfahren Sie mehr über OT-Cybersicherheit und wie Sie die Sicherheit mit macmon Netzwerkzugriffskontrolle und industriellen Switches von Hirschmann verbessern können.

 

Passende Ressourcen: