:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Remote Access und OT-Sicherheit Sicherer Fernzugriff auf industrielle Netzwerke
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/af/5eaffc9135b35/se-insider-logo-2019.png "SE_Insider-Logo_2019.png (Vogel IT-Medien)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Viele denken bei Remote Work an Büroangestellte, die vor dem heimischen PC ihrer Arbeit nachgehen, vornehmlich Büroanwendungen nutzen und sich mit ihren Kollegen über Videokonferenzen treffen. Dabei ist Remote Work viel mehr als nur Home-Office: Vor allem in Folge von COVID-19 wurden auch viele industrielle Arbeitsplätze in den Heimbereich verlagert, etwa um Produktionsanlagen und kritische Infrastrukturen, also OT-Netzwerke, aus der Ferne zu steuern.
IT- und OT-Netzwerke unterscheiden sich in vielen Punkten, so auch beim Fernzugriff. Gleichwohl gelten die grundlegenden Regeln und Sicherheitsmaßnahmen für beide Bereiche gleichermaßen, unterscheiden sich jedoch in ihrer Umsetzung. Auf diese vier Punkte sollten Unternehmen beim Fernzugriff auf OT-Netzwerke besonders achten:
Überwachung aller Verbindungen: Es ist von größter Bedeutung, besondere Sorgfalt darauf zu verwenden, alle Fernverbindungen zu überwachen – auch die scheinbar unwichtigen oder unbedeutenden. Idealerweise sind Unternehmen in der Lage, Remote-Sitzungen in Echtzeit zu beobachten, die Zugriffsanfragen der Benutzer je nach Zweck, Dauer und Häufigkeit aktiv zu verwalten und die Sitzungen mit einem Mausklick zu beenden. Auf diese Weise wird das Risiko von internen und externen Bedrohungen (und hierzu zählen auch Dritte wie Vertragspartner) deutlich verringert, ohne dass hierdurch die Produktivität leidet oder es sogar zu kostspieligen Produktionsunterbrechungen kommt.
Privilegierte Zugangskontrolle: Da Unternehmen immer mehr auf Remote-Konnektivität angewiesen sind, ist es darüber hinaus entscheidend, dass sie granulare Zugriffsberechtigungen für alle Remote-Benutzer definieren und auch durchsetzen. Dies gilt insbesondere für diejenigen mit privilegiertem Zugriff. Bei Industrieunternehmen sollten die Zugriffsrechte dabei einem mehrschichtigen Netzwerk-Verteidigungsmodell (etwa dem Perdue-Modell) entsprechen. Dadurch werden laterale Bewegungen eines Angreifers im Falle einer Kompromittierung deutlich erschwert und die sensibelsten und kritischsten Bereiche besser geschützt.
Authentifizierung: Eines der größten Risiken im Zusammenhang mit der schnellen Einführung von Fernzugriffen ist vor allem die gemeinsame Nutzung sowie die Verwaltung von Passwörtern. Gerade das Teilen von Passwörtern mit Kollegen und Partnern ist in diesem Bereich leider gängige Praxis. Unternehmen sollten, wo immer dies möglich ist, die Verwendung von Credentials durch Dritte unterbinden, zumindest aber deutlich einschränken. Dies kann beispielsweise dadurch gelingen, dass für alle Fernzugriffssitzungen eine Genehmigung des Administrators benötigt wird. Auch Passwort-Tresore und Multi-Faktor-Authentifizierung sind wirksame Methoden, um sich vor Kompromittierungen zu schützen.
Auditierung und Compliance: Ähnlich wie im Bereich des Homeoffice wird der Remote-Zugriff auf industrielle Anlagen und kritische Infrastrukturen auch nach der Pandemie ein beherrschendes Thema bleiben. Gerade im Hinblick auf entfernt gelegene Produktions- und Betriebsstätten ergeben sich hierdurch enorme Vorteile. Aber eben auch Risiken: Angreifern steht auf diese Weise ein interessanter Angriffsvektor zur Verfügung, den sie zukünftig wahrscheinlich mehr und mehr nutzen werden. Und trotz aller Sicherheitsanstrengungen werden einige erfolgreich sein. Aus diesem Grund sollten Unternehmen darauf bedacht sein, alle Sitzungsaktivitäten und die Verwendung von Berechtigungsnachweisen für den Fernzugriff zu erfassen und zu dokumentieren, um die Anforderungen der Compliance zu erfüllen und zukünftige forensische Analysen zu erleichtern.
Die Grenzen des VPN
Ähnlich wie beim Zugriff auf IT-Netzwerke, setzen auch im OT-Bereich viele Unternehmen nach wie vor auf VPNs. Diese über lange Jahre bewährte Technologie ist relativ benutzerfreundlich und bietet einige Datenschutz- und Sicherheitsfunktionen. Und auch wenn sie sich zu einem gewissen Grad weiterentwickelt haben, bergen sie doch auch gewisse Risiken. Dies gilt umso mehr für ihren Einsatz in OT-Infrastrukturen:
- Begrenzte Zugriffskontrollen: VPNs bieten sicheren Zugriff auf ein Netzwerk, können aber nicht vollständig kontrollieren, wer auf welche spezifischen Informationen, Systeme oder Geräte im Netzwerk zugreifen kann, wie lange der Zugriff möglich ist und welche Aktionen im Netzwerk durchgeführt werden können. Mit anderen Worten: Sobald sich der Nutzer mittels VPN im Netzwerk befindet, endet die Kontrolle darüber, was er hier macht. Dies bedeutet auch gleichzeitig, dass es dann nur wenige Barrieren gibt, die ihn beispielsweise daran hindern, das Netzwerk zu erkunden. Dies kann zwar durch den Zero Trust-Ansatz weitestgehend ausgeglichen werden, jedoch eignen sich entsprechende Lösungen in aller Regel nur für IT-Netzwerke, da sie nicht das gesamte Spektrum der für OT-Netzwerke erforderlichen Anwendungsfälle unterstützen.
- Überwachung und Auditierung: Protokolldateien von VPN-Sitzungen zeigen nur minimale Informationen und liefern keine Einzelheiten darüber, welche Aktionen während der Sitzung durchgeführt wurden. Gerade im Hinblick auf Auditing, Compliance und forensische Zwecke ist dies jedoch nicht ausreichend.
- Erweiterte Angriffsfläche: Da auf traditionelle VPNs über das öffentliche Internet zugegriffen wird, stellen sie einen potenziellen Einstiegspunkt für Angreifer dar. So bieten gestohlene Anmeldedaten eines legitimen Benutzers einem Cyberkriminellen eine ideale Ausgangsbasis für weitere gefährliche Aktivitäten.
Neue, speziell für die Anforderungen von OT-Netzwerken entwickelte Fernzugriffslösungen, gehen weit über traditionelle VPN-Funktionalitäten hinaus und folgen einem Security-by-Design-Ansatz. So sind diese teilweise auf einer zweistufigen Architektur aufgebaut, welche das Purdue-Modell beibehält und die Angriffsfläche dadurch minimiert, dass sie Netzwerkkomponenten vor einem direkten Zugriff schützen. Der entfernte Nutzer erhält lediglich eine gerenderte Ansicht des jeweiligen Assets (was für ihn jedoch nicht wahrnehmbar oder störend ist), während zwischen ihm und dem Asset die Secure Remote Access-Lösung den Zugriff und die Aktivitäten kontrolliert. Auch verfügen sie oftmals über lokal gespeicherte, detaillierte Audit Trails, die schnelles Troubleshooting ermöglichen, und sind in ihrer Benutzeroberfläche bewusst einfach gehalten, um die Workflows möglichst wenig zu beeinträchtigen. Denn Sicherheit und sicherer Fernzugriff kann nur gewährleistet werden, wenn die Lösungen die Mitarbeiter unterstützen, anstatt von ihnen als Hürde angesehen zu werden.
Über die Autoren: Max Rahner ist Sales Director DACH von Claroty und Michal Erel ist Product Manager von Claroty.
(ID:47141352)
:quality(80)/images.vogel.de/vogelonline/bdb/1909100/1909133/original.jpg "Remote Access (zu Deutsch „Fernzugriff“) bedeutet Zugriff auf entfernte Computer, Server, Netzwerke oder andere IT-Systeme zu erhalten. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1908500/1908509/original.jpg "Besserer Schutz durch Zero Trust Network Access (Fortinet)")