:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Mit sieben Tipps auf der sicheren Seite OT-Umgebungen effektiv absichern
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Operational Technology (OT)-Umgebungen in Unternehmen sind einer Vielzahl von Cyber-Bedrohungen ausgesetzt. Entsprechende Angriffe können die Systeme empfindlich treffen oder sogar komplett lahmlegen, was die Kontinuität der Geschäftsprozesse gefährdet. Aber es gibt wirksame Methoden zur Abwehr. Sie lassen sich in sieben Tipps zusammenfassen.
Tipp 1: Ein Governance-Modell ist Pflicht
Die OT-Governance wurde in den meisten Unternehmen bislang sträflich vernachlässigt. So haben viele Entwickler von OT-Geräten die Umsetzung von Sicherheitskontrollen weitgehend ignoriert. Die Implementierung von fundierten Sicherheitsrichtlinien und dazugehörigen Verfahren ist jedoch ein Muss, um einen wirksamen Schutz von OT-Umgebungen zu gewährleisten. Nur so ist es möglich, Cyber-Risiken frühzeitig zu antizipieren, adäquat zu reagieren und ihnen dadurch den Schrecken zu nehmen. Wichtig ist dabei, Rollen und Zuständigkeiten für den Umgang mit Sicherheitsvorfällen exakt zu definieren und diese auch schriftlich zu fixieren. Damit ist der Grundstein für ein effektives Security-Governance-Modell gelegt, was die Transparenz und Handlungsfähigkeit im gesamten OT-Ökosystem entscheidend verbessert.
Tipp 2: Netzwerktopografie transparent visualisieren
Netzwerke in Industrieunternehmen wachsen mit den Anforderungen aus der Produktion. Dabei kommt mit der Zeit ein Sammelsurium von Anlagen, Netzwerkkomponenten und Prozessinfrastrukturen verschiedener Marken und Hersteller zusammen. Die in diesem Zusammenhang entstehenden Datenströme für die Fertigung, das Monitoring und die Steuerung von industriellen Workflows müssen entsprechend kanalisiert werden. Hierbei unterstützen spezifische Lösungen zur Visualisierung der Netzwerktopografie. Durch ein kontinuierliches Scanning der Netzwerke lassen sich mögliche Schwachstellen und Angriffspunkte gezielt identifizieren, was die Sicherheit auf eine neue Ebene hebt.
Tipp 3: Netzwerk-Segmentierung pusht Sicherheit
Die Segmentierung der Netzwerke ist unabdingbar für ein Maximum an Sicherheit. OT-Verantwortliche sollten dabei in zwei Schritten vorgehen und mit der IT-/OT-Segmentierung beginnen, gefolgt von einer prozessorientierten Segmentierung. Hierbei werden die Datenflüsse und Komponenten entsprechend der aktuellen Business-Applikationen partitioniert. Ein durchdachtes Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) sowie eine Public-Key-Infrastruktur (PKI) unterstützen die Sicherheitsmaßnahmen rund um die Segmentierung. In diesem Kontext lassen sich sämtliche Geräte, Gateways und Komponenten in der Netzwerkinfrastruktur eindeutig authentifizieren und autorisieren, was eine durchgängige interne und externe Kommunikation sicherstellt.
Tipp 4: Remote-Zugriffe zentral verwalten
Ob Instandhaltung, Programmierung oder Troubleshooting – viele Unternehmensprozesse lassen sich aus der Ferne durchführen. Für solche Remote-Zugriffe werden verschiedene Systeme genutzt, in erster Linie VPN-Verbindungen. Solche Virtual Private Networks können jedoch die Sicherheit im Produktionsumfeld nicht immer gewährleisten, da sie Benutzern oft unnötige Rechte einräumen und daher ein Einfallstor für Cyberkriminelle und deren Angriffe bilden. Um die Sicherheit dennoch zu erhöhen und Risiken zu minimieren, sollte das Management der Fernzugriffe zentralisiert werden. Hierfür gibt es entsprechende Lösungen, die den privilegierten Zugang zu kritischen Produktionssystemen unabhängig von der jeweiligen Netzwerktopologie regeln. Mit einem solchen Tool für Privileged Access Management (PAM) sind OT-Verantwortliche auf der sicheren Seite.
Tipp 5: Den Benutzerzugriff optimal absichern
Es muss jederzeit sichergestellt sein, dass ausschließlich legitimierte Personen auf kritische Systeme und Daten zugreifen können. Hierfür sollten Benutzerkonten mit entsprechenden Zugangsdaten eingerichtet werden, über die sich berechtigte User authentifizieren können. Zu empfehlen ist hierbei die Multi-Faktor-Authentifizierung (MFA). Gerade für die Wartung und Instandhaltung von Produktionsanlagen müssen Techniker zu jeder Zeit und von jedem Ort aus per MFA auf die Systeme zugreifen können. Dabei ist dem Benutzer weder das Login noch das Passwort der Komponenten bekannt, auf die der Zugriff erfolgen soll. In einer PAM-Lösung lassen sich diese Informationen wie in einem digitalen Tresor sicher speichern. Das System sorgt dafür, dass der User nur die Rechte erhält, die er für seine spezielle Aufgabe benötigt.
Tipp 6: Endpoints verlässlich schützen
Workstations sind in Fertigungsunternehmen vielfältigen internen Bedrohungen ausgesetzt wie etwa durch die Nutzung externer Datenträger, die Verbreitung von Schadsoftware oder unangemessenes beziehungsweise uninformiertes Benutzerverhalten. Da die Geräte jedoch systemkritisch für die Produktion sind, müssen sie effektiv geschützt werden. In OT-Umgebungen sind hierbei typische Einschränkungen zu beachten wie beispielsweise der Einsatz von Echtzeitprotokollen, fehlende Internetkonnektivität oder auf Produktlebenszyklen basierende, veraltete Betriebssysteme. Mithilfe von PAM-Lösungen lassen sich die Rechte und das Verhalten von Benutzern auf den Endgeräten gezielt einschränken. Dies verhindert Bouncing, die Ausdehnung von Privilegien sowie die Ausführung spezifischer Applikationen wie etwa Modifikationen der Registry.
Tipp 7: Compliance-Richtlinien konsequent einhalten
Ob EU-Datenschutz-Grundverordnung (DSGVO) oder die EU-Richtlinien zur Gewährleistung von Netzwerk- und Informationssicherheit (NIS und NIS2) – wichtige regulatorische Vorgaben sind im OT-Umfeld allgegenwärtig. Um eine fundierte Cybersecurity Governance zu garantieren, müssen die Bestimmungen konsequent eingehalten werden. Durch den Einsatz moderner PAM-Lösungen kommen OT-Verantwortliche diesem Ziel einen entscheidenden Schritt näher und können entsprechende Risiken auf ein Minimum reduzieren. Dies ebnet den Weg, um schwerwiegende Cybersicherheitsvorfälle frühzeitig zu entdecken, schnell darauf zu reagieren oder sie im Idealfall sogar ganz zu verhindern.
Fazit
Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf nicht vernachlässigt werden. Mit Befolgung der sieben Tipps sind Security-Verantwortliche auf der sicheren Seite. Einen wichtigen Baustein in diesem Kontext bilden PAM-Lösungen wie beispielsweise PAM4ALL von Wallix. Sie ermöglichen ein privilegiertes Zugangsmanagement und sichern damit kritische Produktionssysteme verlässlich ab.
Über den Autor: Stefan Rabben ist Area Sales Director DACH and Eastern Europe bei Wallix, einem langjährigen Anbieter von Lösungen für Privileged Access Management (PAM).
(ID:49708074)
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/b0/0ab0966d6ddd6967a12ad4e873668fc4/0110808011.jpeg "Gegen Phishing ist die Mitarbeiter-Awareness eine elementare Maßnahme zur Gefahrenabwehr, ebenso wichtig sind aber technische und prozessuale Unterstützung. (Bild: tippapatt - stock.adobe.com)")