Wie ein konsequentes Security-Konzept industrielle Netze vor Angriffen auf IIoT- und OT-Geräte schützt, erläutert Stefan Schachinger, Product Manager Network Security, Barracuda Networks.

Stefan Schachinger, Product Manager Network Security, Barracuda Networks, explains how a consistent security concept protects industrial networks from attacks on IIoT and OT devices.

Im letzten Jahr hatten laut dem Barracuda Marktreport The State of Industrial Security in 2022 weltweit 90 Prozent der Unternehmen einen Sicherheitsvorfall. Mit der fortschreitenden technologischen Entwicklung nimmt die Zahl der IIoT-Geräte, die mit dem internen Netzwerk oder direkt mit dem Internet verbunden sind, zu. Dadurch wächst die Angriffsfläche für Ransomware-Attacken mit oft verheerenden Folgen. In einer Welt, in der ein einziger Angriff den Geschäftsbetrieb lähmen oder sogar vollständig unterbrechen kann, müssen Unternehmen der Industrial Internet of Things (IIoT)- und Operations Technology (OT)-Sicherheit Priorität einräumen, um ihre Industieanlagen wirkungsvoll zu schützen. Das geht, wenn Zero Trust als Sicherheitskonzept in allen Schnittstellen des Unternehmens implementiert wird.

Bis vor wenigen Jahren ist man mit dem Grundsatz des „Trusted Network“ innerhalb des Unternehmens noch ordentlich zurechtgekommen: Herkömmliche Firewalls schützten das Firmennetz nach außen, intern wurde meist „vertrauensvoll“ geschaltet und gewaltet, ohne dass es dort noch weitere besonders ausgeklügelte Schutz- und Kontrollfunktionen gegeben hätte.

Mit der Digitalisierung und Vernetzung von Prozessen, Anlagen und Maschinen hat in der Industrie jedoch ein Paradigmenwechsel stattgefunden, der ein grundlegend anders Sicherheitskonzept erfordert: Intelligente Systeme verbinden heutzutage alle Komponenten einer Produktionskette miteinander und reagieren auf Produktanforderungen, was wiederum die Optimierung von Lieferketten und Produktionsnetzen in Echtzeit ermöglicht. Die zunehmende Konnektivität von Steuerungssystemen, Sensoren, Maschinen und mehr hat dazu geführt, dass ehemals isolierte Systeme den Gefahren des Internets ausgesetzt sind.

Geräte, die früher als „konstruktionsbedingt sicher“ galten oder einfach nicht „wert“ waren, gehackt zu werden, sind damit für Angreifer sehr viel attraktiver geworden. Damit haben die Unternehmen ein Problem, denn der Austausch solcher Geräte durch neuere und sicherere Modelle ist für sie meist keine realistische Option, oft ganz einfach deshalb, weil viel zu viele davon im Einsatz sind. Auch eine Aktualisierung der Gerätefirmware ist selten möglich.

Deshalb planen die meisten Organisationen inzwischen IIoT/OT-Sicherheitsprojekte – oder setzen sie bereits um, wobei Großunternehmen gegenüber kleineren Unternehmen die Nase vorn haben. Die größten Probleme treten für größere und kleinere Firmen gleichermaßen bei Fragen rund um Konnektivität und Skalierbarkeit auf.

Zero Trust gilt inzwischen als einer der wichtigsten Sicherheitsbegriffe der Gegenwart. Dabei geht es um die Daten und um die Implementierung von Sicherheitskontrollen, die diese schützen. Anstelle von bedingungslosem Vertrauen und uneingeschränkten Zugriffen – also der gelebten Realität in vielen Unternehmen – sollen Benutzer und Geräte kontinuierlich überprüft und deren Aktivitäten im Netzwerk auf das Nötige reduziert werden. Cyberattacken wie Colonial Pipeline und JBS haben gezeigt, wie schädlich Angriffe auf die operative Technologie der Unternehmensinfrastruktur sein können. Attacken auf OT-Netzwerke schaden nicht nur dem Ruf und den Finanzen, sie können auch reale physische Schäden an Maschinen verursachen – mit spürbaren und unter Umständen gefährlichen Auswirkungen.

Schutz der Infrastruktur durch Mikrosegmentierung

Das Konzept Zero Trust kann hier mit einer Reihe von Maßnahmen Abhilfe schaffen. Der erste Schritt in industriellen Netzwerken ist die Adressierung der schwerwiegendsten Schwachstellen. Die Ergebnisse der genannten Studie zeigen deutlich, dass fehlende Segmentierung und unsichere Fernwartungszugänge zu den größten Problemfeldern gehören. Zero Trust bedeutet auch, dass eine Segmentierung von Funktionen in getrennte Zonen wie beispielsweise die Trennung zwischen dem Manufacturing Execution System (MES), der Mensch-Maschine-Schnittstelle (HMI) und der speicherprogrammierbaren Steuerung (SPS) dabei hilft, den Netzwerkverkehr zwischen den Zonen auf ein Minimum zu beschränken und bösartige Aktivitäten zu verhindern. Im Katastrophenfall lassen sich dadurch Bedrohungen leichter erkennen, eindämmen und bekämpfen.
Mikrosegmentierung ist die beste Methode, um die Auswirkungen eines Vorfalls abzuschwächen. Die Isolierung potenziell gefährdeter Netzwerkgeräte und die Beschränkung des legitimen Netzwerkverkehrs sind unerlässlich, um die interne Ausbreitung zu verhindern, wenn ein Angriff die Infrastruktur trifft. Dies beinhaltet die Implementierung einer Segmentierung zwischen IT und OT und die Einführung einer zusätzlichen Segmentierung (Mikrosegmentierung) im OT-Netz, die den bestmöglichen Schutz bietet, indem sie jedes einzelne Gerät oder kleine Gruppen von Geräten isoliert.

Angreifer ausbremsen und Fernzugriffe absichern

Das Aufteilen des Netzwerks in kleinere Abschnitte hat eine Reihe von Vorteilen, davon zwei besonders wichtige: Cyberkriminelle, die sich Zugang zu einem Bereich in einem segmentierten Netzwerk verschaffen, haben es so wesentlich schwerer, in das restliche Netzwerk einzudringen. Zudem es ist einfacher, sie aufzuspüren und in ihrem Tun zu stoppen beziehungsweise den Schaden zu begrenzen. Damit sparen die Unternehmen bei der Beseitigung der Folgen solcher Schäden viel Zeit und Geld. Als angenehmer Nebeneffekt wird zudem die allgemeine Datensicherheit erhöht, da die Trennung zwischen den Zonen das Risiko von Datendiebstahl oder -zerstörung verringert. Denn Cyberkriminelle haben nur in Hollywood-Firmen den sportlichen Ehrgeiz, möglichst trickreich die kompliziertesten Absicherungen zu umgehen. Im echten Leben nehmen sie den Weg des geringsten Widerstands, auch bei gezielten Angriffen.

Der Fernzugriff bleibt nach der Pandemie ebenfalls ein wichtiges Thema, da viele Unternehmen immer noch aus dem Homeoffice beziehungsweise remote arbeiten oder externe Servicepartner und Maschinenhersteller für die Fernwartung und Fehlerbehebung einbinden lassen. Speziell in OT-Umgebungen ist eben diese Funktionalität allerdings der größte Bedrohungsvektor. Mit Firewall-Lösungen der neuesten Generation können Benutzer bei Bedarf problemlos einen sicheren, temporären VPN-Zugang zu verschiedenen Teilen des Netzwerks gewähren. Um die potenzielle Angriffsoberfläche so weit wie möglich zu reduzieren, können Zero-Trust-Network-Access-Lösungen einen bedingten Zugang nur zu bestimmten Anwendungen ermöglichen.

Ein weiterer entscheidender Faktor für den wirksamen Schutz ist neben der Technologie die Benutzerfreundlichkeit: Ein zuverlässiges Access-Sicherheitssystem muss auf allen Ebenen von allen Beteiligten ohne großen Aufwand gelebt werden können. Hilfreich ist dabei eine nachvollziehbare Zugriffskontrolle für sämtliche Anwender und Geräte – egal ob hybrid oder extern, ob firmeneigene Geräte oder jene von Mitarbeitern und Auftraggebern: Wer macht wo wie was wann und warum?

Ein rollenbasierter Zugriff auf alle Applikationen und Daten im Unternehmen reduziert außerdem die Risiken, die mit Zugriffen durch Dritte auf das Unternehmen verbunden sind, und ermöglicht Transparenz bei allen Aktivitäten. Damit lassen sich der SOC-2-Standard und andere Compliance-Anforderungen ohne Mehraufwand einhalten. Dass sich damit außerdem noch Phishing-Angriffe und andere Bedrohungen auch von Mobilgeräten und Smartphones ohne die Installation zusätzlicher Software abwehren lassen, ist ein zusätzliches stichhaltiges Argument, das bei einem überzeugenden Zero-Trust-Konzept ebenfalls von Bedeutung ist.

Last year, 90 percent of companies worldwide had a security incident, according to Barracuda’s “The State of Industrial Security in 2022“ market report. As technology continues to evolve, the number of IIoT devices connected to the internal network or directly to the Internet is increasing. This increases the attack surface for ransomware attacks, often with devastating consequences. In a world where a single attack can cripple or even completely disrupt business operations, companies must prioritize Industrial Internet of Things (IIoT) and Operations Technology (OT) security to effectively protect their industrial assets. This can be done if Zero Trust is implemented as a security concept in all of the company’s interfaces.

Up until a few years ago, the principle of the „trusted network“ was still being used properly within the company: Conventional firewalls protected the company network externally, internally there was mostly „trust“ switching and switching, without any other particularly sophisticated protection and control functions there.

With the digitalization and networking of processes, plants and machines, however, a paradigm shift has taken place in industry that requires a fundamentally different security concept: Today, intelligent systems connect all components of a production chain and respond to product demands, which in turn enables the optimization of supply chains and production networks in real time. The increasing connectivity of control systems, sensors, machines and more has left formerly isolated systems exposed to the dangers of the Internet.

Devices have thus become much more attractive to attackers that were previously considered „safe by design“ or simply not „worth“ hacking. Companies have a problem with this, because replacing such devices with newer and more secure models is usually not a realistic option for them, often simply because there are far too many of them in use. Updating device firmware is also rarely an option.

That’s why most organizations are now planning – or already implementing – IIoT/OT security projects, with large enterprises leading the way over smaller ones. For larger and smaller companies alike, the biggest issues arise around connectivity and scalability.

Zero Trust is now considered one of the most important security concepts of the present day. It’s all about the data and implementing security controls that protect it. Instead of unconditional trust and unrestricted access – the lived reality in many organizations – users and devices should be continuously audited and their activities on the network reduced to what is necessary. Cyberattacks such as Colonial Pipeline and JBS have shown how damaging attacks on enterprise infrastructure operational technology can be. Attacks on OT networks not only damage reputation and finances, they can also cause real physical damage to machines – with tangible and possibly dangerous effects.

Protecting infrastructure through micro-segmentation

The Zero Trust concept can remedy this with a series of measures. The first step in industrial networks is to address the most serious vulnerabilities. The results of the aforementioned study clearly show that lack of segmentation and insecure remote access are among the biggest problem areas. Zero trust also means that segmenting functions into separate zones, such as separating the manufacturing execution system (MES), human-machine interface (HMI), and programmable logic controller (PLC), helps minimize network traffic between zones and prevent malicious activity. In the event of a disaster, this makes it easier to detect, contain and combat threats.

Microsegmentation is the best way to mitigate the impact of an incident. Isolating potentially vulnerable network devices and restricting legitimate network traffic are essential to prevent internal propagation when an attack hits the infrastructure. This includes implementing segmentation between IT and OT and introducing additional segmentation (microsegmentation) in the OT network that provides the best possible protection by isolating each individual device or small groups of devices.

Thwarting attackers and securing remote access

Dividing the network into smaller sections has a number of benefits, two of which are particularly important: It makes it much harder for cybercriminals who gain access to one area in a segmented network to penetrate the rest of the network. It is also easier to track them down and stop them in their tracks or limit the damage. This saves companies a lot of time and money in eliminating the consequences of such damage. As a pleasant side effect, general data security is also increased, as the separation between zones reduces the risk of data theft or destruction. After all, only in Hollywood companies do cybercriminals have the sporting ambition to circumvent the most complicated safeguards as trickily as possible. In real life, they take the path of least resistance, even in targeted attacks.

Remote access also remains an important topic after the pandemic, as many companies still work from their home offices or remotely, or have external service partners and machine manufacturers involved for remote maintenance and troubleshooting. Especially in OT environments, however, this very functionality is the biggest threat vector. With the latest generation of firewall solutions, users can easily grant secure, temporary VPN access to different parts of the network as needed. To reduce the potential attack surface as much as possible, zero-trust network access solutions can provide conditional access only to specific applications.

In addition to technology, another decisive factor for effective protection is user-friendliness: a reliable access security system must be able to be lived at all levels by everyone involved without any great effort. It is helpful to have traceable access control for all users and devices – whether hybrid or external, whether company-owned devices or those of employees and clients: Who does what where, how, when and why?

Role-based access to all applications and data in the company also reduces the risks associated with third-party access to the company and enables transparency in all activities. This means that the SOC 2 standard and other compliance requirements can be met without additional effort. The fact that phishing attacks and other threats can also be prevented from mobile devices and smartphones without installing additional software is an additional valid argument that is also important for a convincing zero-trust concept.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner