Verzeichnisdienste sind heutzutage ein wichtiger Bestandteil einer modernen IT-Infrastruktur. Sie verwalten Benutzerdaten zentral und regeln und kontrollieren Zugriffe. Im Automationsumfeld sind sie weniger verbreitet, könnten aber gerade da einen erheblichen Beitrag zur Sicherheit leisten. Entscheidend ist, dass man die spezifischen Anforderungen und Hürden versteht und bei der Umsetzung respektiert. Wir geben einen Überblick über die wichtigsten Sicherheitsaspekte und zeigen, was Sie bei der Einrichtung eines Verzeichnisdienstes für die OT beachten müssen.
Welchen Mehrwert bietet ein zentraler Verzeichnisdienst im Automationsumfeld?
In der Unternehmens-IT gehört der Einsatz eines zentralen Verzeichnisdienstes schon längst zum Standard. Die Benutzerkonten von Mitarbeitern werden zentral gespeichert und verwaltet, was es einfach macht, ihnen flexiblen Zugang an mehreren Arbeitsplätzen und Endgeräten zu geben und Richtlinien und Zugriffsberechtigungen einheitlich umzusetzen.
Im Automationsumfeld sieht das vielerorts noch anders aus. Die Nutzerverwaltung passiert lokal auf einzelnen Geräten. Meist haben nicht alle Werksmitarbeiter einen eigenen Zugang, sondern teilen sich einen gemeinsamen Account, nicht selten mit administrativen Rechten. Zusätzlich agiert Steuerungssoftware als Nutzer im Netzwerk, für die Dienstkonten eingerichtet und so konfiguriert wurden, wie es am besten passte.
Unter solchen Gegebenheiten ist es praktisch nicht möglich, grundlegende Sicherheitsmaßnahmen wie Passwortrichtlinien und sicherheitsrelevante Konfigurationen netzwerkweit zu definieren und umzusetzen.
Eine zentrale Nutzerverwaltung kann hier Abhilfe schaffen. Sie legt die Basis für eine Professionalisierung der IT-Infrastruktur in der OT und ermöglicht darüber hinaus eine bessere Nachverfolgbarkeit. Da eine Anmeldung an einem Endgerät immer eine Anmeldung beim Verzeichnisdienst bedeutet, lassen sich Anmeldungen und Zugriffe zentral loggen. Das hilft dabei, Angriffe zu erkennen, und erhöht außerdem die Nachverfolgbarkeit von Prozessschritten und damit die eigene Aussagefähigkeit – etwas, das immer mehr durch Regularien gefordert wird. In Industriezweigen wie der Lebensmittel- und Pharmaproduktion ist zum Beispiel eine lückenlose und nachvollziehbare Dokumentation der Datenintegrität erforderlich. Ohne personalisierte Konten, ein zentrales Berechtigungsmanagement und die Aufzeichnung von Anmeldungen, Zugriffen und Änderungen ist dieser Anforderung realistisch kaum nachzukommen.
Active Directory und wie es funktioniert
Bei der Wahl eines zentralen Verzeichnisdienstes fällt der erste Blick oft auf Active Directory, vor allem wenn es in der Unternehmens-IT schon im Einsatz ist. Active Directory kann in Windows-Netzwerken die zentrale Verwaltung von Benutzerkonten und Berechtigungen übernehmen. Will sich zum Beispiel ein Mitarbeiter in eine Anwendung einloggen oder auf eine Datei oder ein Gerät zugreifen, überprüft das Active Directory die jeweiligen Logindaten und die zugehörigen Berechtigungen.
Technisch gesehen ist ein Active Directory eine Datenbank. Zu den Objekten, die gespeichert werden, gehören beispielsweise die Ressourcen, die sich im Netzwerk befinden, aber auch abstrakte Objekte wie Gruppen, Zugriffsrechte und Richtlinien. Die gespeicherten Objekte können dann Attribute zugewiesen bekommen, die entweder Eigenschaften ausdrücken, wie ein Name, eine Telefonnummer und Abteilung eines Mitarbeiters, oder die Zuordnung eines Nutzers zu einer Gruppe und seine Zugriffsrechte definieren, wie eine bestimmte Anwendung benutzen oder auf bestimmte Dateien zugreifen zu dürfen.
Das Kernstück der Benutzerverwaltung sind sogenannte Domänen. Durch die hierarchische Gliederung von Domänen ist es möglich, die Struktur des Unternehmens oder einer Abteilung abzubilden und Objekte entweder auf Basis von physischen Standorten oder entlang funktionaler Einheiten zu organisieren. Technisch ist eine Domäne einfach eine Gruppe von Objekten, die in derselben Datenbank liegen und von einem sogenannten Domänencontroller verwaltet werden, also dem Server, der die Datenbank vorhält und die Zugriffsberechtigungen aller in der Domäne befindlichen Gruppen und Mitglieder verwaltet. Bei mehreren Domänencontrollern (und damit mehreren Datenbanken) erfolgt ein regelmäßiger Abgleich von Daten, eine sogenannte Replikation.
Domänen sind wiederum in einer übergeordneten Struktur, den Forests, organisiert. Alle Domänen in einem Forest teilen Schema und Konfiguration. Da Versionen und Funktionalitäten auf der Forest-Ebene einheitlich sind, müssen alle Domänencontroller im Forest in der dafür relevanten Version vorliegen. Können Domänencontroller nicht auf den gleichen Stand gebracht werden oder sollen sie aus Sicherheitsgründen voneinander isoliert werden, sollten sie in mehreren voneinander getrennten Forests organisiert werden.
Sicherheitsbetrachtung
Da das Active Directory alle Benutzer, Passwörter und Berechtigungen verwaltet, ist es eines der sicherheitsrelevantesten Assets, die Sie besitzen.
Erlangt ein Angreifer Zugang zu Ihren Domänencontrollern, hat er Zugriff auf alle Anmeldedaten und Rechte innerhalb der Domäne. Man spricht dann von der Erreichung der Domänendominanz, denn ausgestattet mit einem gültigen Benutzerkonto und beliebigen Berechtigungen kann sich der Angreifer frei in Ihrem Netzwerk bewegen und potentiell alle IT-gestützten Prozesse in der Produktion ausspionieren, manipulieren oder deaktivieren. Er kann effektiv alle Ihre Mitarbeiter aus Ihren IT-Systemen aussperren oder sich unentdeckt einen dauerhaften Zugang zu Ihrem Netzwerk legen.
Wer die Macht über das Active Directory besitzt, hat die Macht über die Systemlandschaft und damit über das Unternehmen.
Das hat sich auch in einer Reihe von Cyberangriffen der letzten Jahre gezeigt. Ein zentraler Bestandteil von NotPetya und LockerGoga zum Beispiel ist die schnelle vertikale Eskalation: Wird ein einfacher Nutzeraccount kompromittiert, können die Angreifer Schwachstellen im Active Directory und eines zugrundeliegenden Protokolls wie Kerberos sowie Fehlkonfigurationen ausnutzen, um Passwörter und Authentifizierungstokens zu stehlen und innerhalb kürzester Zeit Administratorberechtigungen erlangen. Ab dem Punkt haben sie freies Spiel.
Die Gefahr und Konsequenzen einer Domänendominanz sollten Sie daher immer im Hinterkopf behalten, wenn es darum geht, wie und wo Sie ein Active Directory für die OT einbinden.
Möglichkeiten der Einbindung eines Active Directory für die OT
Wenn wir von der Einbindung eines Active Directory für die OT reden, geht es eigentlich um zwei unterschiedliche Aspekte: die applikationsseitige Anbindung, das heißt das Einrichten und Konfigurieren der Software, und die Platzierung der Systeme im Netzwerk. Bei beiden Aspekten hat die Entscheidung für oder gegen eine der möglichen Optionen Konsequenzen sowohl für die praktische Umsetzbarkeit als auch für die Sicherheit.
Applikationsseitige Anbindung
Sie haben die Wahl, ob Sie ein eigenes Active Directory für die OT aufsetzen oder ob Sie die Benutzer, Ressourcen und Berechtigungen der OT in das Active Directory der IT integrieren.
Die Integration in die IT kann auf verschiedene Weisen passieren: Entweder die OT wird zu einem bereits eingerichteten Domänencontroller hinzugefügt, eventuell mit einer Subdomäne, die in der Hierarchie von der IT getrennt ist oder die OT betreibt einen eigenen Domänencontroller.
Auf den ersten Blick scheint die Integration in die IT naheliegend, da man auf etablierten Standardprozessen aufbauen kann und eine einheitliche Sicherheitsbetrachtung für IT und OT möglich ist. Wichtig zu beachten ist aber, dass es sich bei OT-Systemen in der Regel um unsichere Systeme handelt. Integriert man unsichere Systeme in eine sichere Umgebung, kompromittiert man unter Umständen die Sicherheit des Gesamtsystems. Außerdem ergibt sich durch die unterschiedlichen Voraussetzungen und Anforderungen von IT und OT fast automatisch Mehraufwand, so dass die Einrichtung eines eigenen Active Directory für die OT letztendlich einfacher und reibungsloser sein kann.
Wenn Sie Vor- und Nachteile der Optionen abwägen, sollten Sie vor allem die folgenden Aspekte bedenken.
Administration
Die Verantwortungsbereiche bei der Konfiguration und Verwaltung eines Active Directory in der OT müssen klar geregelt werden: Wer übernimmt die Administration von Benutzern? Wer definiert Gruppen und Berechtigungen für OT-Konten und hält sie auf dem neuesten Stand? Wer ist für den Betrieb und die Wartung der zugrundeliegenden Server zuständig?
Kompatibilität mit Bestandssystemen
Die Welt der OT unterliegt deutlich längeren Laufzeiten als die typischen IT-Systeme. Dementsprechend sind auch die Betriebssysteme der potenziellen Mitglieder eines Active Directory in der OT veraltet und müssen in unterschiedlichen Versionen unterstützt werden. Sie sollten darauf achten, dass das älteste Betriebssystem die Rahmenbedingungen festlegt. Dabei lohnt es sich zu prüfen, ob bei der Einbindung in das Active Directory die Möglichkeit eines Upgrades auf ein aktuelles Betriebssystem besteht oder wie der langfristige Migrationsplan aussieht.
Gruppenrichtlinien wie Anforderungen an Passwörter, sichere RDP-Verbindungen oder die Deaktivierung von veralteten Verschlüsselungsmethoden und Protokollen gehören in der IT zum Standard, wenn ein Active Directory betrieben wird. In der OT können solche Regeln und Richtlinien inkompatibel mit Bestandssystemen sein und daher zu Problemen führen. Zum Beispiel führt ein Verbot von TLS 1.1 über eine Gruppenrichtlinie dazu, dass kein Windows XP im Active Directory eingebunden werden kann. Solange im Automationsumfeld noch Windows XP im Einsatz ist, funktioniert diese Gruppenrichtlinie nicht oder nur sehr eingeschränkt. Daher ist es wichtig, einen Überblick über die benötigten Gruppenrichtlinien und deren Kompatibilität mit den eingesetzten Systemen zu bekommen.
Patches und Updates
Es ist wichtig, das Patch- und Update-Management OT-fähig zu gestalten, siehe dazu auch Zentrales Patch-Management in Produktionsumgebungen am Beispiel von WSUS.
Besondere Vorsicht ist bei Patches und Updates geboten, die eine Anpassung auf beiden Seiten einer Kommunikation erfordern, das heißt sowohl im Active Directory als auch in einem System, das Benutzer und Geräte über das Active Directory authentifiziert. So war es zum Beispiel für einen Patch für CredSSP im Frühjahr 2018 notwendig, Server und Clients zeitgleich zu patchen, um weiterhin RDP-Verbindungen aufbauen zu können. Eine solche Situation bedeutet meist, dass man entweder alle Systeme patcht oder keines. Da Systeme der IT und OT in vielerlei Hinsicht andere Präferenzen und Zyklen haben, entsteht automatisch Konfliktpotential, wenn man beide im gleichen Active Directory verwaltet.
Qualifizierung und Validierung
In streng regulierten Produktionsumfeldern ist es nötig, dass Systeme qualifiziert und validiert werden. Jede Änderung an den Systemen muss neu geprüft und abgenommen werden. In der Praxis bedeutet das oft, dass Systeme zur Inbetriebnahme einmal abgenommen werden und danach so belassen werden, wie sie sind. Wenn ein Active Directory, das der Produktion zur Verfügung steht, als Produktionssystem gilt, betrifft das auch jedes Update und jede Änderung der Konfiguration im Active Directory.
In dem Kontext erfordern Backup-Konzepte ein besonderes Augenmerk. Vorhandene Backup-Methoden können für das Active Directory unter Umständen nicht übernommen werden. Trotzdem ist es wichtig, Images und vordefinierte Betriebssystemkonfigurationen vorzuhalten, damit zu jedem Zeitpunkt ein qualifizierter Zustand wiederhergestellt werden kann.
Konsequenzen einer Kompromittierung
Aus Sicherheitsperspektive ist es wichtig zu begrenzen, wie weit sich ein Angreifer im Unternehmen ausbreiten kann, sobald er die Dominanz in einer Domäne erreicht hat. Erreicht er aus einer OT-Domäne direkt auch die IT-Domänen? Kommt er aus der IT in die Produktion? Kann er sich dort über Standorte hinweg bewegen?
Entscheidend für die Sicherheit Ihrer Systemlandschaft ist Ihre Netzwerkarchitektur, sowie die Konzeption und Platzierung des Active Directory in derselben.
Platzierung im Netzwerk
Tatsächlich sind die sicheren Optionen für die Platzierung eines Active Directory der OT im Netzwerk begrenzt. In einer sauberen Netzwerkarchitektur, in der sichere und unsichere Bereiche voneinander getrennt sind, kommen Sie nicht um verschiedene Active-Directory-Instanzen herum: Da das Active Directory der IT im Unternehmensnetzwerk steht und das Unternehmensnetzwerk idealerweise von den darunterliegenden Anlagennetzen sauber getrennt ist, ist keine direkte Kommunikation zwischen beiden Bereichen möglich. IT und OT können sich also keine Active-Directory-Instanz teilen, ohne die Isolation beider Netzwerkbereiche aufzubrechen.
Empfehlenswert ist demnach eine eigene Active-Directory-Instanz für die Automation, die in der Enterprise-DMZ platziert ist, den Zones und Conduits der IEC 62443 folgend. Meist ist es darüber hinaus sinnvoll, ein eigenes Active Directory pro Standort oder Werk einzurichten, um die Bewegungsfreiheit möglicher Angreifer einzuschränken. Lassen Sie bisher keine standortübergreifende Steuerung von Anlagen und Maschinen zu, dann wollen Sie das nicht jetzt durch ein werksübergreifendes Active Directory für die OT ermöglichen.
Typischerweise wird für Domänencontroller aufgrund ihres hohen Stellenwertes außerdem ein eigenes Netzsegment bereitgestellt.
Schritte zur praktischen Umsetzung
Die Herausforderung bei der Bereitstellung eines Active Directory für die OT ist nicht so sehr eine technische, denn die eigentliche Installation ist für geübte IT-Admins schnell gemacht. Vielmehr besteht der Aufwand in der Organisation und den zu definierenden Prozessen und Verantwortlichkeiten. Sind diese geklärt, gestaltet sich der Betrieb vergleichsweise einfach.
Folgende Schritte helfen bei einer erfolgreichen praktischen Umsetzung.
Definition von Verantwortlichkeiten und Prozessen
Bevor es an die technische Umsetzung geht, sollten Sie definieren, wer im Rahmen der Einführung von Active Directory welche Aufgaben hat und wie die jeweiligen Verantwortlichkeiten definiert sind. Das kann zum Beispiel so aussehen:
- Die IT liefert Server und Domänencontroller und übernimmt das Lifecycle Management, Security Audits und das Monitoring.
- Die OT übernimmt die administrative Verantwortung für das Active Directory, wie das Anlegen von Gruppen und Benutzern und das Aktualisieren von Rechten und Richtlinien.
Definieren Sie außerdem, wie der Bereitstellungsprozess aussehen wird. Zum Beispiel:
- Die IT liefert den Domänencontroller, installiert die benötigten Rollen und nimmt die Grundkonfiguration vor.
- Die OT übernimmt die Domänencontroller, erhält administrativen Zugriff auf das Active Directory und legt Organisationseinheiten, Gruppen und Konten an. Dabei nimmt die OT gegebenenfalls nötige Anpassungen an der Grundkonfiguration vor.
- IT und OT nehmen zusammen die finale Konfiguration ab, passen eventuell sicherheitsrelevante Punkte an (beispielsweise die Überwachung eines Dienstkontos, das sehr hohe Berechtigungen benötigt) und dokumentieren ein Abweichen von den Best Practices.
Erstellen Sie weiterhin ein Betriebskonzept, das die Standardprozesse und deren Verantwortlichkeiten im laufenden Betrieb klar definiert. Das umfasst zum Beispiel, wer für das Anlegen von neuen Benutzern oder Gruppen zuständig ist, wie Bedarfsmeldungen für Zugriffe aussehen sollen und wer Upgrades und die Lifecycle-Planung übernimmt.
Ein Vorteil der zentralen Verwaltung von Benutzern und Anmeldungen ist, dass nachverfolgt werden kann, wer zu welchem Zeitpunkt Zugriff auf ein System hatte, angemeldet war oder wem bestimmte Rechte zugewiesen wurden. Aber die relevanten Informationen aus der Vielzahl geloggter Ereignisse in unterschiedlichen Domänencontroller herauszuziehen, gestaltet sich oft umfangreich und aufwendig. Sie sollten daher einplanen, möglichst vor oder mit der Inbetriebnahme einen Prozess zu definieren, der es ermöglicht, die benötigten Informationen schnell zu finden und sie so aufzubereiten, dass sie im Rahmen der Nachverfolgbarkeit aufbewahrt werden können.
Platzierung im Netzwerk
Die netzwerkseitige Platzierung von Domänencontrollern für die OT ist – wie oben beschrieben – ein kritischer Punkt. Hier sollten unbedingt die Security- und Netzwerkverantwortlichen involviert werden.
Falls Sie die empfohlene Platzierung in Ihrem Netzwerk nicht umsetzen können, bietet das Active Directory einen guten Anlass, mit den Verantwortlichen zu diskutieren, inwiefern Basisarbeit in Bezug auf Netzwerkzonierung und -segmentierung angestoßen werden muss.
Konfiguration
Definieren Sie die benötigte Grundkonfiguration der Domänencontroller. Dazu gehört, wie Organisationseinheiten und die jeweiligen Objekte (zum Beispiel Benutzer und Gruppen) definiert sind und wie ein einheitliches Namenskonzept aussehen kann. Hier kann man sich gut an bestehenden Konzepten der IT orientieren. Hinzu kommen Prozeduren zur Anbindung von Maschinen an das Active Directory. Wie erfolgt die Integration von HMIs? Welche Steuerungen brauchen eine Authentifizierung und welche Protokolle werden verwendet?
Hilfreich ist eine Dokumentation, damit diese Konzepte und Konfigurationen zukünftig zur Verfügung stehen.
Absicherung
Wichtig aus Sicherheitsperspektive ist eine Härtung des Systems, also das Minimieren der Angriffsfläche, die es bietet. Ein guter Startpunkt sind die Best Practices, die Microsoft für ein Active Directory empfiehlt.
Härtung ist auch ein Teil der relevanten Dokumente des IT-Grundschutz-Kompendiums des BSI:
Neben der Notwendigkeit von sicheren Passwörtern und Passworteinstellungen werden unter anderem folgende Hinweise gegeben:
- Berechtigungen der Gruppe “Jeder” müssen eingeschränkt sein.
- Domänencontroller dürfen nur restriktive Zugriffsrechte auf Betriebssystemebene haben und müssen gegen unautorisierte Neustarts geschützt sein.
- Es sollte regelmäßig ein Backup des Domänencontrollers erstellt werden.
- Ein Restore muss durch ein geeignetes Passwort geschützt sein und darf nur unter Beachtung des Vier-Augen-Prinzips durchgeführt werden.
Spätestens in diesem Zuge lohnt es sich auch, sich mit Sicherheitskonzepten wie Zero Trust und Privileged Access Management auseinanderzusetzen.
Bereitstellung und Pilot
Testen Sie die definierten Bereitstellungsprozesse und integrieren Sie eine erste Anlage Ihrem kompletten Prozess folgend in das Active Directory. Dabei ist es eine gute Idee, den Anlagenlieferanten hinzuzuziehen, da das Überschreiben lokaler Nutzersteuerungen erfahrungsgemäß nicht reibungslos funktioniert.
Haben Sie Ihr Active Directory schließlich erfolgreich in Betrieb genommen, haben Sie einen großen Schritt in Richtung professioneller IT-Infrastruktur im Automationsumfeld gemacht. Nutzen Sie die neu gewonnenen Möglichkeiten!
Fazit
Ein zentraler Verzeichnisdienst kann viel zur Professionalisierung und Sicherheit der IT-Infrastruktur im Automationsumfeld beitragen. Es ist aber auch eines der sicherheitsrelevantesten Assets eines Unternehmens. Eine undurchdachte Platzierung im Netzwerk, Fehlkonfigurationen oder ungenügende Absicherung können einen hohen Preis fordern. Die Einrichtung eines Verzeichnisdienstes für die OT muss daher gut geplant und organisiert werden.
Der Industrial Security Guide zum schnellen Einstieg
CEO & Founder
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!
