:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Remote Access und OT-Sicherheit Sicherer Fernzugriff auf industrielle Netzwerke
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Viele denken bei Remote Work an Büroangestellte, die vor dem heimischen PC ihrer Arbeit nachgehen, vornehmlich Büroanwendungen nutzen und sich mit ihren Kollegen über Videokonferenzen treffen. Dabei ist Remote Work viel mehr als nur Home-Office: Vor allem in Folge von COVID-19 wurden auch viele industrielle Arbeitsplätze in den Heimbereich verlagert, etwa um Produktionsanlagen und kritische Infrastrukturen, also OT-Netzwerke, aus der Ferne zu steuern.
IT- und OT-Netzwerke unterscheiden sich in vielen Punkten, so auch beim Fernzugriff. Gleichwohl gelten die grundlegenden Regeln und Sicherheitsmaßnahmen für beide Bereiche gleichermaßen, unterscheiden sich jedoch in ihrer Umsetzung. Auf diese vier Punkte sollten Unternehmen beim Fernzugriff auf OT-Netzwerke besonders achten:
Überwachung aller Verbindungen: Es ist von größter Bedeutung, besondere Sorgfalt darauf zu verwenden, alle Fernverbindungen zu überwachen – auch die scheinbar unwichtigen oder unbedeutenden. Idealerweise sind Unternehmen in der Lage, Remote-Sitzungen in Echtzeit zu beobachten, die Zugriffsanfragen der Benutzer je nach Zweck, Dauer und Häufigkeit aktiv zu verwalten und die Sitzungen mit einem Mausklick zu beenden. Auf diese Weise wird das Risiko von internen und externen Bedrohungen (und hierzu zählen auch Dritte wie Vertragspartner) deutlich verringert, ohne dass hierdurch die Produktivität leidet oder es sogar zu kostspieligen Produktionsunterbrechungen kommt.
Privilegierte Zugangskontrolle: Da Unternehmen immer mehr auf Remote-Konnektivität angewiesen sind, ist es darüber hinaus entscheidend, dass sie granulare Zugriffsberechtigungen für alle Remote-Benutzer definieren und auch durchsetzen. Dies gilt insbesondere für diejenigen mit privilegiertem Zugriff. Bei Industrieunternehmen sollten die Zugriffsrechte dabei einem mehrschichtigen Netzwerk-Verteidigungsmodell (etwa dem Perdue-Modell) entsprechen. Dadurch werden laterale Bewegungen eines Angreifers im Falle einer Kompromittierung deutlich erschwert und die sensibelsten und kritischsten Bereiche besser geschützt.
Authentifizierung: Eines der größten Risiken im Zusammenhang mit der schnellen Einführung von Fernzugriffen ist vor allem die gemeinsame Nutzung sowie die Verwaltung von Passwörtern. Gerade das Teilen von Passwörtern mit Kollegen und Partnern ist in diesem Bereich leider gängige Praxis. Unternehmen sollten, wo immer dies möglich ist, die Verwendung von Credentials durch Dritte unterbinden, zumindest aber deutlich einschränken. Dies kann beispielsweise dadurch gelingen, dass für alle Fernzugriffssitzungen eine Genehmigung des Administrators benötigt wird. Auch Passwort-Tresore und Multi-Faktor-Authentifizierung sind wirksame Methoden, um sich vor Kompromittierungen zu schützen.
Auditierung und Compliance: Ähnlich wie im Bereich des Homeoffice wird der Remote-Zugriff auf industrielle Anlagen und kritische Infrastrukturen auch nach der Pandemie ein beherrschendes Thema bleiben. Gerade im Hinblick auf entfernt gelegene Produktions- und Betriebsstätten ergeben sich hierdurch enorme Vorteile. Aber eben auch Risiken: Angreifern steht auf diese Weise ein interessanter Angriffsvektor zur Verfügung, den sie zukünftig wahrscheinlich mehr und mehr nutzen werden. Und trotz aller Sicherheitsanstrengungen werden einige erfolgreich sein. Aus diesem Grund sollten Unternehmen darauf bedacht sein, alle Sitzungsaktivitäten und die Verwendung von Berechtigungsnachweisen für den Fernzugriff zu erfassen und zu dokumentieren, um die Anforderungen der Compliance zu erfüllen und zukünftige forensische Analysen zu erleichtern.
Die Grenzen des VPN
Ähnlich wie beim Zugriff auf IT-Netzwerke, setzen auch im OT-Bereich viele Unternehmen nach wie vor auf VPNs. Diese über lange Jahre bewährte Technologie ist relativ benutzerfreundlich und bietet einige Datenschutz- und Sicherheitsfunktionen. Und auch wenn sie sich zu einem gewissen Grad weiterentwickelt haben, bergen sie doch auch gewisse Risiken. Dies gilt umso mehr für ihren Einsatz in OT-Infrastrukturen:
- Begrenzte Zugriffskontrollen: VPNs bieten sicheren Zugriff auf ein Netzwerk, können aber nicht vollständig kontrollieren, wer auf welche spezifischen Informationen, Systeme oder Geräte im Netzwerk zugreifen kann, wie lange der Zugriff möglich ist und welche Aktionen im Netzwerk durchgeführt werden können. Mit anderen Worten: Sobald sich der Nutzer mittels VPN im Netzwerk befindet, endet die Kontrolle darüber, was er hier macht. Dies bedeutet auch gleichzeitig, dass es dann nur wenige Barrieren gibt, die ihn beispielsweise daran hindern, das Netzwerk zu erkunden. Dies kann zwar durch den Zero Trust-Ansatz weitestgehend ausgeglichen werden, jedoch eignen sich entsprechende Lösungen in aller Regel nur für IT-Netzwerke, da sie nicht das gesamte Spektrum der für OT-Netzwerke erforderlichen Anwendungsfälle unterstützen.
- Überwachung und Auditierung: Protokolldateien von VPN-Sitzungen zeigen nur minimale Informationen und liefern keine Einzelheiten darüber, welche Aktionen während der Sitzung durchgeführt wurden. Gerade im Hinblick auf Auditing, Compliance und forensische Zwecke ist dies jedoch nicht ausreichend.
- Erweiterte Angriffsfläche: Da auf traditionelle VPNs über das öffentliche Internet zugegriffen wird, stellen sie einen potenziellen Einstiegspunkt für Angreifer dar. So bieten gestohlene Anmeldedaten eines legitimen Benutzers einem Cyberkriminellen eine ideale Ausgangsbasis für weitere gefährliche Aktivitäten.
Neue, speziell für die Anforderungen von OT-Netzwerken entwickelte Fernzugriffslösungen, gehen weit über traditionelle VPN-Funktionalitäten hinaus und folgen einem Security-by-Design-Ansatz. So sind diese teilweise auf einer zweistufigen Architektur aufgebaut, welche das Purdue-Modell beibehält und die Angriffsfläche dadurch minimiert, dass sie Netzwerkkomponenten vor einem direkten Zugriff schützen. Der entfernte Nutzer erhält lediglich eine gerenderte Ansicht des jeweiligen Assets (was für ihn jedoch nicht wahrnehmbar oder störend ist), während zwischen ihm und dem Asset die Secure Remote Access-Lösung den Zugriff und die Aktivitäten kontrolliert. Auch verfügen sie oftmals über lokal gespeicherte, detaillierte Audit Trails, die schnelles Troubleshooting ermöglichen, und sind in ihrer Benutzeroberfläche bewusst einfach gehalten, um die Workflows möglichst wenig zu beeinträchtigen. Denn Sicherheit und sicherer Fernzugriff kann nur gewährleistet werden, wenn die Lösungen die Mitarbeiter unterstützen, anstatt von ihnen als Hürde angesehen zu werden.
Über die Autoren: Max Rahner ist Sales Director DACH von Claroty und Michal Erel ist Product Manager von Claroty.
(ID:47141352)
:quality(80)/p7i.vogel.de/wcms/20/f4/20f4b72e48d284cb23c48e611d9df9b4/0115089304.jpeg "Perimeter-basierte Security-Lösungen eignen sich heute insbesondere für lokale Netzwerk-Operationen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/80/4680e70f5251fb795872fbe49b31692a/0112938174.jpeg "Gebäudetechnik wird seit Jahren immer wieder von Cyberkriminellen für Angriffe missbraucht. Es ist also nur folgerichtig, dass das BSI die Aufmerksamkeit nun auch in diesen Bereich lenkt. Entscheidend ist jedoch, dass sich das nötige Bewusstsein auch bei den Betreibern und Nutzern bildet. (Bild: leonidkos - stock.adobe.com)")