Jedes Internet-fähige Gerät und/oder Produktionsumgebungen, die mit IT-Netzwerken konvergieren, sind anfällig für die gleichen Schwachstellen, Fehlkonfigurationen und Cybergefahren, die für IT-Infrastrukturen bekannt sind. Dementsprechend müssen auch hier Vorkehrungen für den abgesicherten Zugriff getroffen werden, um einer Kompromittierung des gesamten Unternehmens vorzubeugen.

Die Gefahr ist bekannt, denn lange Zeit wurde die Sicherheit von IoT-Geräten und OT-Systemen vernachlässigt. Aus Kostengründen handelt es sich bei solchen Systemen meist nicht um hoch-performante Systeme mit spezifischen IP-Stacks und Hardware. Diese Endpunkte und Anlagen besitzen nicht die technischen Ressourcen für die Integration von Sicherheitsmechanismen. Einerseits fielen Produktionsumgebungen nicht unter den Zuständigkeitsbereich des Sicherheitsteams, das für die IT-Security zuständig ist, und sie waren bisher auch nicht an deren klassische IT-Sicherheitsinfrastruktur gekoppelt. Andererseits operieren Produktions- und Steuerungsanlagen in sehr viel langlebigeren Anschaffungszyklen, laufen dementsprechend oftmals mit veralteten Betriebssystemen und Software, auf die die Wartungsmechaniker nur mit Hilfe von ebenfalls veralteten und damit lange Zeit ungepatchten Systemen auf Basis von Windows 98 oder XP Zugriff erhalten.

Dennoch stellen sowohl IoT-Geräte als auch OT-Umgebungen ein Einfallstor in das Unternehmensnetzwerk dar. Im Zuge der Digitalisierung sind moderne Produktionsanlagen dagegen für Wartungszwecke oftmals über das Internet erreichbar. Die durch die Konvergenz von OT und IT entstehenden Angriffsflächen für Eindringlinge gehören damit einhergehend auf die Agenda des IT-Teams. Angriffsvektoren ergeben sich beispielsweise durch die Anbindung von Wartungsteams und damit Drittparteien über die herkömmlichen Fernzugriffsmechanismen wie VPN. Damit einher geht die Problematik, dass durch den Remote Access prinzipiell Zugriff zu dem gesamten Netzwerk eines Unternehmens hergestellt werden kann.

Knackpunkt Netzwerk-Fernzugriff

Eine klassische Remote Access-Anbindung auf Produktionsanlagen funktioniert über den Zugang zum Netzwerk. Der Support-Mitarbeiter ist für seine Wartungsarbeiten von Anlagen oder Geräten auf ein Administrations-Interface angewiesen, zu dem eine Verbindung entweder über eine Kabel-basierte oder über eine Wireless-Anbindung hergestellt werden muss. Gerade geschäftskritische Infrastrukturen sollten allerdings darüber hinaus über einen Zugriffsmechanismus auf ihre OT-Systeme verfügen, der auch dann Zugang gewährt, wenn die Netzwerkinfrastruktur für den Datenverkehr nicht verfügbar ist. Im Falle eines Netzausfalls oder einer sonstigen Unterbrechung des IT-Systems versagen die klassischen Connectivity-Mechanismen. Fallen beispielsweise Firewalls in der Netzwerkumgebung aus, ist das Management der Produktionsanlagen nicht mehr möglich, da der Zugriff durch die Support-Mitarbeitenden unterbunden ist.

Wie kann also Fernzugriff funktionieren, wenn die gesamte IT-Infrastruktur gerade lahmgelegt ist? In einem solchen Szenario kann eine 5G-Verbindung für Connectivity on-demand sorgen. Eine 5G-Anbindung kann vergleichbar mit einer Versicherung, die im Notfall greift, im Falle des speziellen Bedarfs die Verbindung herstellen. Im Unterschied zu den herkömmlichen Connectivity-Modellen muss diese Anbindung nicht permanent bestehen, sondern lediglich im Falle des benötigten Zugriffs etabliert werden. Das Umdenken beginnt also damit, dass Geräte des Internets der Dinge oder Industry 4.0-Umgebungen aus Sicherheitsgründen oder Wartungszwecken nicht notwendigerweise permanent eine Netzwerkanbindung benötigen. Eine solche kontinuierliche Anbindung kann im Zweifel sogar ein inhärentes Sicherheitsrisiko darstellen.

Entscheidend für die Sicherheit- und Handlungsfähigkeit eines Unternehmens ist, dass sie auch in Netzwerk-unabhängigen Infrastrukturen ihre Kontroll- und Sicherheitsfunktion über alle Datenströme ausüben können. An dieser Stelle scheint sich eine Problematik aufzutun: Sicherheit ist bisher noch an vorhandenen physikalischen und damit greifbaren Strukturen orientiert, die nicht mit einer Netzwerk-agnostischen Konnektivität in Einklang stehen. Hier setzt Security Service Edge an. Sicherheit muss demnach immer auf dem Weg vom Anwender zu seiner Applikation, einem IoT-Gerät oder einer Produktionsumgebung angesiedelt sein – unabhängig von einem Netzwerk.

Sicherheits-Orchestrierung über 5G

Damit ein solches On-Demand Access Modell im Sinne des Security Service Edge funktionieren kann, müssen Unternehmen umdenken und die nötigen Vorkehrungen treffen. Der Abschied vom gesamten Netzwerkzugriff wird ermöglicht durch die Prinzipien des Least Privileged Access auf Basis von Zero Trust. Bei einem Zero Trust-basierten Ansatz kann keine Kommunikation zwischen einem Servicetechniker und der Anlage erfolgen, ohne dass diese nicht explizit erlaubt ist. In den Mittelpunkt einer Orchestrierung der Sicherheit muss die Frage rücken, wie jemand ausschließlich dann Zugang auf ein System erhalten kann, wenn dieser Zugriff erforderlich ist. Für eine solche Orchestrierung ist ein Mechanismus notwendig, der sich an den Geschäftsabläufen orientiert. Eine Drittpartei, die einen Wartungsauftrag für Produktionsanlagen oder IoT-Geräte hat, benötigt sicher keinen permanenten Netzwerkzugang.

Konnektivität im Bedarfsfall sorgt also dafür, dass OT-Umgebungen isoliert von Netzwerkumgebungen betrieben werden können und damit zu einem höheren Sicherheitsniveau der gesamten Infrastruktur beitragen. Allerdings darf ein solcher Mechanismus für die Betreiber der Produktionsstätten nicht komplex in der Abwicklung sein. Idealerweise gelten einfache Regelwerke für die Zugriffsberechtigungen, die automatisiert über einen Zero Trust-Ansatz abgewickelt werden. Dabei sorgt ein Cloud-basierter Zero Trust-Broker für die Autorisierung auf Basis von Policies für die Zugriffsberechtigungen. Ein solches System lässt sich Netzwerk-agnostisch auch für 5G-Funknetze aufbauen. Das Radiosignal benötigt lediglich eine Gegenstelle in Form einer günstigen Wireless-Anbindung zur Produktionsumgebung, die im Bedarfsfall gewartet werden können muss. Zwischengeschaltet regelt eine Sicherheits-Cloud die automatische Autorisierung und Verifizierung der Zugangsberechtigungen auf die Anlage. Ein solches System sorgt durch die Abschottung vom gesamten Netzwerk für die Erreichbarkeit der OT-Umgebung, die auch dann gewährleistet werden kann, wenn die Netzwerkinfrastruktur nicht erreichbar ist. Diese Art der dynamischen Anbindung lässt sich dann via 5G aktivieren, wenn sie benötigt wird. Damit lassen sich Industry 4.0-Modelle durch Automatisierung der Zugriffskontrolle effizient betreiben – und auch im Notfall ansteuern.

Abschied von der Netzwerkanbindung

Unternehmen brauchen kein dediziertes physisches Netzwerk mehr, sondern eine universelle Anbindung an alle Datenübertragungsarten gleichermaßen inklusive Internet und Funknetzen wie 5G. In der Realität haben die meisten Organisationen bereits heute nicht mehr das eine verkabelte Netzwerk oder Wireless-LAN, das nicht nur Mitarbeiter auf ihre Anwendungen zugreifen lässt, sondern auch berechtigte Personenkreise auf IoT-Geräte und Produktionsanlagen. Zu den privaten Umgebungen kann schon heute ein 5G-Funknetz gezählt werden, das für ein Unternehmen isoliert von der Außenwelt vorgehalten ist und damit für die erforderliche Sicherheit auch für IoT und Industry 4.0 sorgen kann. Orchestrierung sorgt für das Delivery-Modell in einer effizienteren Produktionsumgebung, in der Ressourcen nur dann bereitgestellt werden, wenn diese benötigt werden.