NicoElNino - stock.adobe.com
Zero Trust für IoT und OT: Ein Wandel des Bewusstseins
Wenn Unternehmen das Sicherheitskonzept Zero Trust umsetzen wollen, müssen sie die potenziellen Angriffspunkte ihrer IoT- und OT-Umgebung berücksichtigen.
Die Absicherung der IT-Infrastruktur beginnt heutzutage mit einer grundlegenden und kontinuierlichen Untersuchung. Jeder Benutzer, jedes angeschlossene Gerät und jede abgefragte Datei müssen zunächst überprüft werden. Dies ist eine Grundvoraussetzung für das Funktionieren eines jeden Sicherheitssystems – einschließlich Zero Trust.
Es müssen Erkenntnisse darüber gewonnen werden, welcher Nutzer auf welche Applikationen oder Daten zugreifen soll. Erst dann können geeignete Durchsetzungsrichtlinien und Kontrollen aufgestellt werden, um schlussendlich den Arbeitsablauf nicht zu beeinflussen, aber dennoch optimal abzusichern.
Was passiert, wenn das Gerät selbst zum Nutzer wird?
Zero Trust erfordert, dass die Umsetzung des Sicherheitskonzepts beim Benutzer ansetzt, interessanterweise beschränkt sich das Modell jedoch nicht lediglich auf die Benutzeridentität selbst. Stattdessen konzentriert es sich darauf, wo die Bedrohung am wahrscheinlichsten auftritt, das Risiko also am höchsten ist.
Diese Priorisierung hilft, die relevantesten Sicherheitsrisiken unverzüglich abzusichern. IoT (Internet of Things), OT (Operational Technology) und netzwerkfähige intelligente Maschinen stellen potenzielle Angriffspunkte dar. Security-Architekten sind deshalb dazu gezwungen, das Konzept der Identität zu überprüfen. Im Wesentlichen hat jedes IoT-Gerät eine eigene Identität und muss innerhalb des Zero-Trust-Frameworks betrachtet werden.
Heruntergebrochen bedeutet dies die folgenden Aspekte zu beleuchten:
- IoT-Geräte sammeln eigenständig Informationen, greifen auf diese zu und nutzen sie zur Automatisierung von Funktionen und um die Effizienz des Unternehmens zu verbessern. IoT wurde rasch zur am schnellsten wachsenden Gerätekategorie in modernen Unternehmen. IDC schätzt, dass es im Jahr 2025 41,6 Milliarden angeschlossene IoT-Geräte geben wird, die 79,4 Zettabytes (ZByte) an Daten erzeugen werden.
- Die M2M -Kommunikation (Machine-to-Machine), die in Industrie- und Produktionsumgebungen inzwischen gang und gäbe ist, wird heute in einer Vielzahl von Anwendungen im Gesundheitswesen, in der freien Wirtschaft und bei Versicherungen eingesetzt.
- Unternehmen bauen massenhaft operative Technologien in IT-Netzwerke ein. Diese Systeme müssen ebenfalls gesichert werden. Laut Gartner werden bis 2021 70 Prozent der OT-Sicherheit direkt durch den CIO oder CISO Derzeit sind es lediglich 35 Prozent. Das Thema kommt demnach in der Chefetage an.
- Intelligente Geräte können sehr „dumme“ Sicherheitsentscheidungen treffen. Botnetze wie Mirai können die Kontrolle über nicht verwaltete IoT-Geräte mit schwachen Berechtigungsnachweisen übernehmen. Wie bereits bekannt geworden ist, können Cyberkriminelle Millionen von ihnen dazu bringen, als Zombies ihre Rechenleistung für einen DDoS-Angriff (Distributed Denial-of-Service) auf systemkritische Dienste auszunutzen.
Keine Stereotypen – jedes Gerät ist einzigartig
Um Maschinen wirklich zu verstehen, ist viel mehr erforderlich als nur die Identifizierung ihrer IP-Adressen, Hersteller- und Modellnummern. Es ist wichtig, einen detaillierten Einblick in jedes Gerät im Netzwerk zu erhalten, einschließlich seines geschäftlichen Kontextes und seines Risikopotenzials. Ein Beispiel für diese Überlegungen sind IP-verbundene Kameras.
Dieselbe Kamera erfüllt oft sehr unterschiedliche Funktionen. Wird sie zum Beispiel für die Videoüberwachung oder für Videokonferenzen verwendet? Bei Finanzdienstleistungen kann die Kamera zur Überwachung von Kunden während der Transaktionen oder in einem Geldautomaten zum Scannen von Einzahlungen eingesetzt werden.
Die Videoaufnahmen von einer jeden müssen sich die Kommunikationswege mit verschiedenen Rechenzentrumsanwendungen und Cloud-Diensten teilen. Das Konzept der Geräteidentität und des Kontextes ist deshalb grundlegend für die Zero-Trust-Sicherheit.
Zero-Trust-Überlegungen für IoT und OT
Die Erstellung einer Zero-Trust-Architektur erfordert ein tiefes Verständnis aller IoT- und OT-Systeme im Netzwerk, so dass kontextbasierte Segmentierungsentscheidungen getroffen werden können. Das Ziel ist, das Geschäftsrisiko zu reduzieren, ohne die Verfügbarkeit der Geräte übermäßig zu beeinträchtigen. Um Zero Trust wirklich in dem Unternehmensnetzwerk zu verankern, müssen einige wichtige Aspekte beachtet werden.
Es ist wichtig zu merken, dass Zero Trust neben klassischen Benutzern auch neu geschaffene IoT-Geräte umfasst, welche ebenfalls wie Benutzer agieren. Die Verwendung der agentenlosen Gerätetransparenz und kontinuierlichen Netzwerküberwachung für IoT- und OT-Geräte ist sinnvoll. Agentenbasierte Sicherheitsmethoden können für diese IoT-Einheiten nicht verwendet werden. Die Bestimmung der Identität, einschließlich des Geschäftskontextes, der Verkehrsströme und der Ressourcenabhängigkeiten, ist für jedes Gerät von Bedeutung, welches das Netzwerk berührt.
„Die Netzwerksegmentierung ist notwendig, um einerseits Rechte besser kontrollieren zu können, auf der anderen Seite das Netzwerk im Falle einer punktuellen Kompromittierung, nicht komplett an die Angreifer zu verlieren.“
Chris Sherry, Forescout
Die Netzwerk-Segmentierung sollte verwendet werden, um kritische Zero-Trust-Prinzipien und Anwendungsfälle des Risikomanagements zu behandeln. Dies erleichtert die Kontrolle und kontinuierliche Überwachung des Benutzer- und Gerätezugriffs und fördert den Schutz kritischer Geschäftsanwendungen.
Es ist wichtig, im Zuge dessen den privilegierten Zugang zu kritischer IT- und OT-Infrastruktur durchzusetzen. Die Segmentierung von IoT- und OT-Geräten des Unternehmens in geeignete Zonen, erhöht den IT-Schutz, indem der mögliche Radius einer Attacke reduziert wird. Anfällige Geräte und Legacy-Anwendungen müssen separat behandelt werden, sollten diese nicht innerhalb der Zonen gepatcht oder offline geschaltet werden können. Das verringert die Angriffsfläche deutlich.
Fazit
Unternehmen müssen sich der Herausforderung von steigenden Benutzer- und Gerätezahlen stellen. Die Netzwerksegmentierung ist notwendig, um einerseits Rechte besser kontrollieren zu können, auf der anderen Seite das Netzwerk im Falle einer punktuellen Kompromittierung, nicht komplett an die Angreifer zu verlieren. Software zur unternehmensweiten Netzwerksegmentierung sollte helfen, die Absicherung kritischer Anwendungen zu erleichtern und die Anfälligkeit gemischter IT/OT-Umgebungen zu reduzieren.
Nur dann gelingt, es die Auswirkungen von Angriffen auf das Netzwerk zu begrenzen. Eine solche Lösung ermöglicht es Unternehmen, ihre Netzwerksegmentierung zu definieren und zu implementieren. Dazu gehören komplexe Unternehmensnetzwerke, Rechenzentren, Clouds und vor allem auch OT-Umgebungen.
Über den Autor:
Chris Sherry ist Regional Vice President EMEA bei Forescout.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
