Zero-Trust-Strategien müssen OT-Umgebungen berücksichtigen

Zero Trust ist das Stichwort in allen wirtschaftlichen Sektoren: Viele Organisationen wenden das Modell an, um ihre Netzwerksicherheit zu stärken und ihre Cyber-Resilienz zu erhöhen. Nach Ansicht des Weltwirtschaftsforums (WEF) gibt es jedoch ein Problem: Häufig wird die Umsetzung des Zero-Trust-Konzepts in Bezug auf Systeme der Betriebstechnologie (OT) übersehen – denn der Schwerpunkt liegt meist auf Umgebungen der Informationstechnologie (IT).

Erst kürzlich hat das WEF ein Dokument veröffentlicht, in dem die besten Zero-Trust-Praktiken zusammengefasst sind. Ziel ist es, einen Beitrag zur erfolgreichen Integration von Implementierungen zu leisten.

Das Centre for Cybersecurity des Weltwirtschaftsforums definiert Zero Trust als ein „prinzipienbasiertes Modell, das im Rahmen einer Cybersicherheitsstrategie entwickelt wurde. Es setzt einen datenzentrierten Ansatz durch, um alles als unbekannt (und nicht vertrauenswürdig) zu behandeln – egal ob Mensch oder Maschine. So soll ein vertrauenswürdiges Verhalten gewährleistet werden.“

Zero Trust ist zwar kein neues Konzept, hat aber in letzter Zeit mehr Aufmerksamkeit erlangt. Schließlich war das Modell 2021 ein zentrales Element einer Verordnung des US-Präsidenten, um die Cybersicherheit des Landes zu verbessern. Darin werden die Regierungsbehörden aufgefordert, Zero Trust als Teil der Maßnahmen zur Modernisierung der Cybersicherheitsansätze zu implementieren. Ein weiterer Faktor, der zur zunehmenden Beliebtheit von Zero Trust beiträgt, ist die wachsende Verlagerung zu Remote-Arbeit und dezentralisierten sowie virtuellen Umgebungen.

Warum ist Zero Trust für OT-Umgebungen so wichtig? Laut einer Umfrage von Skybox Security aus dem Jahr 2022 gaben 83 % der Befragten an, dass sie in den letzten 36 Monaten mindestens einen Verstoß gegen die OT-Sicherheit erlebt haben. Andere Untersuchungen zeigen, dass der Produktionssektor im Jahr 2021 am stärksten betroffen war – 61 % der gesamten Cyberangriffe richteten sich auf OT-Umgebungen. Auf die Öl- und Gasindustrie, die am zweitstärksten betroffen war, entfielen nur 11 %.

Laut dem WEF-Leitfaden sind drei Praktiken essenziell, um eine erfolgreiche Einführung von Zero-Trust-Modellen in OT-Umgebungen zu gewährleisten:

1. Erhöhung der Sichtbarkeit entscheidender OT-Anlagen, um einen besseren Schutz zu gewährleisten: Die mangelnde Übersicht über Tausende von Geräten, die mit OT-Netzwerken verbunden sind, stellt eine große Herausforderung für die Cybersicherheit dar. Allerdings können laut Fortinet nur 13 % der Unternehmen diese Sichtbarkeit gewährleisten. Einer der Gründe für diesen Mangel ist, dass OT-Umgebungen oft über verschiedene Regionen und Standorte mit einer hohen Distanz zueinander verteilt sind.

Darüber hinaus führen viele Unternehmen immer noch manuelle Bestandsaufnahmen der OT-Anlagen durch. Dabei verwenden sie einfache Tabellenkalkulationen, was es schwierig macht, ein klares, genaues und vollständiges Bild der Anlagen zu vermitteln.

Daher ist es unerlässlich, die Bestandsverwaltung zu automatisieren und eine zentrale Echtzeit-Ansicht der OT-Anlagen zu erhalten. So lassen sich Schwachstellen identifizieren und kartografieren, um mögliche Folgen sowie Auswirkungen von Sicherheitsmängeln bewältigen zu können.

2. Segmentierung der Netzwerke in kritische Bereiche: Die Sicherheit von IT- und OT-Umgebungen hat unbestreitbar Priorität. Um Seitwärtsbewegungen zwischen diesen beiden Umgebungen zu vermeiden, ist es unerlässlich, die jeweiligen Netzwerke zu trennen.

Mit der richtigen Konfiguration kann die Netzwerksegmentierung dazu beitragen, Eindringlinge abzuschrecken und den durch Attacken verursachten Schaden zu minimieren. Andererseits ist es Angreifern möglich, über Hintertüren durch Netzwerke zu navigieren, die nicht korrekt konfiguriert sind.

Kurz gesagt, ist bei der Isolation mehrerer Netzwerke vor allem ein guter Überblick über die Anlagen innerhalb jedes Perimeters nötig. Gleichzeitig müssen Netzwerksegmente erstellt und identitätsbasierte Mechanismen für die Zugangskontrolle eingerichtet werden.

3. Umsetzung von Richtlinien und Praktiken zur Zugangskontrolle: Die Authentifizierung sämtlicher Aktivitäten sollte obligatorisch sein. Mit möglichst granularen Berechtigungen fällt es den Cybersicherheitsteams außerdem leichter, ungewöhnliche Aktivitäten zu erkennen. Dabei muss festgelegt werden, wer unter welchen Bedingungen Zugang zu Systemen und Informationen hat – und zwar unter Verwendung geeigneter Richtlinien für alle Phasen der User Journey.

Das WEF-Dokument ist außerdem eine Warnung: Denn um eine beispielhafte Umsetzung von Zero-Trust-Modellen in OT-Szenarien zu gewährleisten, müssen einige Hindernisse überwunden werden – zum Beispiel die Sorge, dass Fragen zur Sicherheit den laufenden Betrieb behindern können. Darüber hinaus unterstützen viele überholte Systeme im OT-Bereich möglicherweise keine Multi-Faktor-Authentifizierungssysteme oder ein angemessenes Identitäts- und Zugangsmanagement. Ein weiteres großes Hindernis ist der Mangel an Cybersicherheitskenntnissen bei vielen Mitarbeitern in OT-Umgebungen.