OT-Sicherheit

Das Potenzial der Segmentierung für OT-Sicherheit

Druckfreundlich, PDF & E-Mail

Mit der fortschreitenden digitalen Transformation der Unternehmen – ein bereits bestehender Trend, der sich durch die COVID-19-Pandemie noch verstärkt wurde – ist es kein Geheimnis, dass die Cybersecurity eine neue Bedeutung und Komplexität erlangt hat. Viele Unternehmen haben hybride Infrastrukturen eingeführt, die zur Aufrechterhaltung des Betriebs einen Fernzugriff und erhöhte Konnektivität erfordern. Dadurch hat sich auch die zu schützende Angriffsfläche vergrößert.

Die neue Welt der Konnektivität erfordert aber besondere Aufmerksamkeit von Unternehmen mit cyber-physischen Systemen. Diese waren früher physisch vom allgemeinen IT-Netz abgekoppelt – man spricht von „air-gapped“ –, so dass für die Konnektivität aus Sicherheitsgründen nun ein neuer Ansatz erforderlich geworden ist. Ohne entsprechende Schutzmaßnahmen können sich Cyberangriffe wie Ransomware und Malware lateral in Netzwerken ausbreiten und in allen Teilen der wichtigen Unternehmensinfrastruktur Schaden anrichten.

Es gibt jedoch eine Antwort auf die Frage, wie man die Netzwerksicherheit auch bei zunehmender Konnektivität verbessern kann und diese lautet Netzwerksegmentierung. Stellen Sie sich ein Haus mit einem ausgeklügelten Schließsystem an der Eingangstür, aber ohne Schlösser an den Innentüren, Schubladen, Schränken oder Tresoren vor. Während die Schlösser an der Eingangstür nur schwer zu knacken sind, können die Kriminellen nach dem Eindringen allerdings alle wertvollen Gegenstände im Inneren des Hauses problemlos erbeuten. Das Gleiche gilt für ein nicht segmentiertes OT-Netzwerk: Sobald sich Cyberkriminelle Zutritt verschafft haben, können einfach alle Daten an sich raffen. Die Segmentierung eines OT-Netzwerks in kleinere Teilnetze ist notwendig, um Angreifer daran zu hindern, die Kontrolle über die gesamte Infrastruktur zu erlangen.

Das Grundkonzept und die Funktionsweise der Netzsegmentierung

Cyberangriffe wie NotPetya und WannaCry haben gezeigt, wie schädlich Angriffe auf die OT-Seite der Unternehmensinfrastruktur sein können. Sie zeigen außerdem die Schwachstellen von nicht segmentierten Netzen. Angriffe auf OT-Netzwerke schaden nicht nur dem Ansehen und den Finanzen, sie können reale physische Schäden an Geräten verursachen. Weil die technische Infrastruktur physische Geräte und Infrastrukturen steuert und überwacht, hat eine Beschädigung von OT-Netzwerken spürbare und gefährliche Auswirkungen. Durch die Segmentierung des Netzes lassen sich diese Auswirkungen vermeiden.

Wie also können Sie Ihr OT-Netzwerk wirkungsvoll segmentieren? Auch wenn die Segmentierung eines OT-Netzwerk etwas komplizierter ist als die eines IT-Netzwerks, darf sie nicht stiefmütterlich behandelt werden. Sie können Ihr OT-Netzwerk von der IT trennen, indem Sie eine demilitarisierte Zone (DMZ) dazwischen schalten.

Am besten lässt sich die Segmentierung des OT-Netzwerks durch die Einrichtung von Zonen innerhalb des OT-Netzes und den Einsatz interner Firewalls zwischen diesen Zonen umsetzen, um die Bewegungsfreiheit einzuschränken. Durch die Aufteilung von Funktionen in getrennte Zonen, z. B. zwischen dem Manufacturing Execution System (MES), der Mensch-Maschine-Schnittstelle (HMI) und der speicherprogrammierbaren Steuerung (SPS), lässt sich der Netzwerkverkehr zwischen den Zonen auf ein Mindestmaß begrenzen und bösartige Aktivitäten können verhindert werden.

Die Schaffung separater Netzwerksicherheitszonen innerhalb der einzelnen Schichten des OT-Netzwerks, die oft als Mikrosegmentierung bezeichnet wird, bietet zusätzlichen Schutz und schottet Geräte voneinander ab. Dadurch werden laterale Bewegungen und die Verbreitung von Schadsoftware innerhalb des Netzes unmöglich. So lassen sich Bedrohungen leichter erkennen und beheben.

Die wichtigsten Vorteile der Netzwerksegmentierung

Sie profitieren von mehreren Vorteilen, wenn Sie verschiedene Teile Ihres OT-Netzwerks durch Netzwerksegmentierung voneinander isolieren. Der wichtigste Vorteil ist die Fähigkeit versuchtes Eindringen ins Netzwerk abzubremsen. In einem segmentierten Netzwerk wird es Cyberkriminellen, die sich Zugang zu einer Zone verschaffen, erschwert in das restliche Netzwerk einzudringen, und sie sind leichter ausfindig zu machen und zu blockieren. Sollten es Ihnen dennoch gelingen, mit einem Angriff Schaden anzurichten, wird dieser Schaden begrenzt, und die Beseitigung der Folgen erfordert weniger Zeit und Geld. Außerdem wird die allgemeine Datensicherheit erhöht, da die Trennung zwischen den Zonen das Risiko von Datendiebstahl oder -vernichtung verringert.

Ein weiterer wichtiger Vorteil der Netzwerksegmentierung ist der sichere Fernzugriff. Der Fernzugriff ist ein in Zeiten der Pandemie ein wichtiges Thema, da viele Mitarbeiter im Homeoffice arbeiten oder externe Servicepartner und Maschinenhersteller sich auf die Fernwartung und Fehlerbehebung aus der Ferne verlegt haben. In OT-Umgebungen ist die Fernverwaltung der wichtigste Bedrohungsvektor. Daher ist ein sicherer Fernzugriff unverzichtbar, um Angriffe auf fernverwaltete Systeme und Maschinen zu verhindern. Firewalls wie z. B. unsere CloudGen Firewall, gewähren bei Bedarf einen sicheren, temporären VPN-Zugriff auf verschiedene Teile des Netzwerks. Um die Angriffsfläche so klein wie möglich zu halten, lassen Zero Trust Network Access-Lösungen wie CloudGen Access bei Bedarf nur einen bedingten Zugriff auf bestimmte Anwendungen zu.

Die Segmentierung von Netzwerken ist in der heutigen Arbeitsumgebung von entscheidender Bedeutung und ist in OT-Systemen ebenso wichtig wie in IT-Netzwerken. Die Folgen eines Einbruchs in ein nicht segmentiertes Netz sind bekannt. Vermeiden Sie die verheerenden Auswirkungen moderner Ransomware-Angriffe und Sicherheitsverletzungen auf Netzwerkebene, indem Sie noch heute eine Netzwerksegmentierung implementieren. Dabei ist auf die Barracuda CloudGen Firewall Verlass. Jetzt kostenlos testen. Überzeugen Sie sich selbst von den Vorteilen!

Nach oben scrollen
Twittern
Teilen
Teilen