Wer einen Termin in einem Werk wahrnimmt, der muss sich am Empfang anmelden, ausweisen und die individuell geltenden Anforderungen erfüllen, bevor er zu seinem Ansprechpartner vorgelassen wird. Das ist eine grundlegende Sicherheitsmaßnahme, die dafür sorgt, dass Zugang zum Unternehmen nur jemand bekommt, der dazu auch berechtigt ist und dass der Zugang nur auf notwendige Bereiche begrenzt bleibt. Der Zugang zum Unternehmen über das Netzwerk braucht gleichermaßen Schutzmechanismen, die sicherstellen, dass nur vertrauenswürdige Teilnehmer eingelassen werden und mit Endgeräten kommunizieren können.
In der IT sind Netzzugangskontrollen längst etabliert. Für den Einsatz in der OT gelten jedoch spezielle Anforderungen, die bei der Integration einer NAC-Lösung bedacht werden müssen. Die Netzzugangskontrolle Ihrer OT ist nicht nur ein wichtiger Teil des Security-Konzepts Ihres Unternehmens, sondern hat eine besondere Bedeutung für Ihre Anlagenverfügbarkeit. Bei der Implementierung und dem Management der Lösung müssen Sie daher passende Antworten auf Fragestellungen für den operativen Betrieb finden.
Was versteht man unter Network Access Control
Wie man den Zugang zu Netzwerken kontrollieren und steuern kann, wird in Modellen wie Zero Trust behandelt, wo zunächst nichts und niemand als vertrauenswürdig gilt, bis das Gegenteil durch eine Prüfung bewiesen ist. Mit Hilfe von Network Access Control (NAC) wird diese Prüfung durchgeführt: Wer in welchem Umfang Zugang auf Ihr Netzwerk erhält, hängt von einer erfolgreichen Authentifizierung und der Erfüllung von definierten Compliance-Anforderungen ab.
Die Installation einer softwarebasierten NAC-Lösung ist schnell umgesetzt, aber damit ist es längst nicht getan. Die Netzzugangskontrolle muss sowohl das Sicherheitsniveau unterstützen, das die Security-Strategie des Unternehmens vorgibt und gleichzeitig im produktiven Betrieb reibungslos funktionieren. Was auf der einen Seite für Sicherheit sorgt, nämlich, dass die Kommunikation im Netzwerk streng kontrolliert wird, ist aus Sicht der Hochverfügbarkeit eine besondere Herausforderung: Wenn NAC die Kommunikation nicht zulässt, steht die Anlage still, auch wenn die Ursache vielleicht ganz banaler Natur ist. Deswegen ist es wichtig, den Einsatz der Network Access Control auf Ihre individuellen Anforderungen abzustimmen.
Komplexe Ausgangssituation für NAC in der OT
Oberstes Ziel in der OT ist die Sicherung der Anlagenverfügbarkeit. Störungen im Netzwerk, die zum Stillstand einer Anlage führen können, gehen nicht nur von Angriffen aus. Auch unabsichtlich herbeigeführte Störungen, die beispielsweise durch Geräte verursacht werden, die unautorisiert ans Netzwerk angeschlossen werden, können weitreichende Auswirkungen haben.
In der IT sind die allermeisten Geräte von der NAC-Lösung eindeutig erkennbar und können entsprechend im Netzwerk zugewiesen werden. Beispielsweise wird ein Drucker über eine MAC-Adresse eines Druckerherstellers und über den TCP-Port eines typischen Druckerprotokolls von der NAC-Lösung automatisch als Drucker identifiziert und dementsprechend ins Drucker-VLAN geschoben.
In Industrieumgebungen kann beispielsweise ein Lasergerät, das Barcodes auf Dosen druckt von der NAC-Lösung fälschlicherweise als Drucker erkannt werden und folglich im falschen VLAN eingeordnet werden. Die Auswirkungen einer falschen Zuordnung ist in der OT gravierender als in der IT, weil das Abkoppeln einzelner Geräte Folgen für die Anlagenverfügbarkeit haben kann.
In der OT fallen wesentlich mehr Aufwände an, um die Identifizierung und korrekte Zuordnung der Geräte manuell vorzunehmen und dafür braucht man Verständnis über die Geräte und die physischen Prozesse.
Zunahme an Geräten und Kommunikation im Netzwerk
Die Anzahl der Geräte, die auf ein Netzwerk zugreifen, nimmt ständig zu, nicht zuletzt durch den vermehrten Einsatz datenbasierter Lösungen, die über das Internet kommunizieren. Das sind beispielsweise Endgeräte für die Sensorik von IIoT, Steuerungen mit proprietären Betriebssystemen der namhaften Hersteller oder auch die mitgebrachte Gerätschaft eines externen Servicetechnikers, der auf eine Maschine zugreifen muss. Die Verwaltung der einzelnen Geräte und der Zugriffe auf das Netzwerk wird immer komplexer und damit schwieriger. NAC-Lösungen müssen mit dieser Entwicklung umgehen können und Ihr Netzwerk gegen ein zunehmendes Gefahrenpotential schützen.
Ungesicherte Ports
NAC hat eine besondere Bedeutung für die physische Kontrolle von Ports. Es stellt ein praktikables Management ungesicherter Ports dar, die außerhalb des direkten Blickfeldes sind, beispielsweise ein Schaltschrank in der Produktion an einem anderen Standort. Alle Ports, die nicht verwendet werden, sind durch die NAC-Lösung gesichert, weil über sie kein unautorisierter Zugang ins Netzwerk mehr möglich ist.
Anforderung an die Verfügbarkeit
Dass die Kommunikation im Netzwerk jederzeit funktioniert, ist von entscheidender Bedeutung. Störungen in einer Anlage oder gar ein Ausfall können sehr große Aufwände verursachen und kostenintensiv sein.
Die 24/7-Verfügbarkeit bei Produktionsanlagen bedingt, dass jederzeit Personal vor Ort ist, das gegebenenfalls Geräte tauschen und Anpassungen an der NAC-Lösung vornehmen kann. Dies muss organisatorisch entsprechend abgebildet werden, und zwar auch für Fälle, die nachts um halb zwei in Ihrer Produktionshalle auftreten.
Stellen Sie sich einmal folgende Situation vor:
Nachts um halb zwei fällt in Ihrer Produktion eine Steuerung aus und muss von einem Ihrer Mitarbeiter aus der Instandhaltung ausgetauscht werden. Eine neue Steuerung wird konfiguriert und ans Netzwerk angeschlossen. Danach soll der Betrieb wieder reibungslos funktionieren. Wird die Steuerung von Ihrer NAC-Lösung nicht als eigenes Gerät erkannt, wird die Gerätekommunikation nicht zugelassen und Ihre Produktion steht still. Denn darauf beruhen NAC-Lösungen: Kommunikation wird nur dann erlaubt, wenn die Authentifizierung erfolgt.
- Was, wenn der Instandhalter nicht die erforderliche Konfiguration der NAC vornehmen kann, weil er nicht berechtigt oder nicht dafür geschult ist?
- Oder weil das Zertifikat abgelaufen ist, das die neue Steuerung vom Active Directory erhalten hat?
- Wenn die NAC-Lösung das Gerät bei der Ersterkennung in ein falsches VLAN schiebt, muss manuell nachjustiert werden. Wer ist dann verfügbar, wer darf und kann entsprechend administrieren?
Der Einsatz einer NAC-Lösung für Ihre OT bringt viele Punkte auf die Tagesordnung, die Sie für die involvierten Bereiche klären müssen.
Sehen wir uns zunächst an, wie eine NAC-Lösung funktioniert.
Wie funktioniert es denn genau?
Die Zugriffskontrolle einer softwarebasierten NAC-Anwendung funktioniert über Authentisierung, Authentifizierung, Autorisierung und Accounting und setzt die Compliance-Regeln methodisch und automatisiert um.
NAC nutzt typischerweise Authentifizierungen über den Standard IEEE 802.1x und kontrolliert Zugriffe an den internen oder externen Zugriffspunkten wie beispielsweise an Access Switches, VPN-Gateways, Firewalls oder WLAN-Controller.
Die Lösung prüft, ob ein Gerät, das sich verbindet, definierte Vorgaben erfüllt. Erst wenn die Identität des Gerätes verifiziert ist und die Compliance-Regeln erfüllt sind, wie etwa Virenschutz und Patchstand, wird der Zugang ins Netz und die Kommunikation zugelassen.
Schlägt die Anmeldung fehl, erhält das Gerät keinen Zugang zum Netzwerk, bis alle Anforderungen erfüllt sind.
Die technische Lösung beruht auf folgenden Schritten:
Authentisierung
Eine Instanz beziehungsweise ein Gerät weist einem IT-System gegenüber seine Identität nach, um sich anzumelden. Dies geschieht zum Beispiel über Passwörter, Tokencodes, Zertifikate, MAC-Adressen, Smart Cards oder USB-Sticks.
Authentifizierung
Eine andere Instanz prüft den Identitätsnachweis und stellt sicher, dass die Identitäten der Geräte, die im Netzwerk kommunizieren, echt sind und die Nutzer, die daran arbeiten, das auch dürfen.
Autorisierung
Rechte oder Privilegien werden gewährt. Ist die Authentifizierung erfolgreich, also die Identität verifiziert, wird der Zugang zum Netzwerks entsprechend den Vorgaben erlaubt.
Accounting
Es wird die Nutzung eines Dienstes und des Benutzers dokumentiert.
In vielen Bereichen besteht die Anforderung, auch längerfristig nachweisen zu können, wer welchen Zugriff auf eine Maschine hatte und welche Änderungen vorgenommen wurden
Organisatorische Maßnahmen
Wie unser Beispiel für den nächtlichen Tausch einer Steuerung zeigt, erfordert eine NAC-Lösung in der Regel individuelle Festlegungen und Anpassungen in verschiedenen Bereichen, damit sie im operativen Betrieb auch unter 24/7-Anforderungen die Anlagenverfügbarkeit sichert und nicht ausbremst. Netzzugangskontrolle besteht jedoch nicht nur in einer technischen Lösung. Wirksame Security erfordert immer einen ganzheitlichen Ansatz, der auch Prozesse, Organisation und die Menschen einschließt, die mit den Maßnahmen arbeiten.
Abstimmung IT und OT
Für ein professionelles Management der NAC-Lösung ist eine gute Abstimmung zwischen IT und OT-Bereichen erforderlich. Die NAC-Lösung der IT kann nicht einfach auf die OT übertragen werden, weil dort andere Anforderungen gelten. Weil der Tausch einer Steuerung, wie in unserm Fallbeispiel, eben auch nach 18:00 Uhr erforderlich sein kann, muss konkret definiert werden, wer die NAC-Lösung administriert und gegebenenfalls notwendige manuelle Einstellungen jederzeit durchführen darf. Es geht dabei immerhin um den Zugang zum Netzwerk, aus Security-Sicht ein kritischer Aspekt.
Gleichzeitig geht es um die Verfügbarkeit der Anlage, die auch nachts um halb zwei aufrechterhalten werden muss, wenn beispielsweise ein Zertifikat abgelaufen ist, das für die Authentifizierung eines Gerätes beim Tausch erforderlich ist. Es ist also konkret zu definieren, wie weit die Befugnisse des Instandhalters oder Elektrikers gehen, der im Bedarfsfall einen Gerätetausch durchführt.
Externe Zugänge
Im Kontext externer Zugänge und Dienstleister gibt es eine Reihe von Vorgaben, die erstellt, dokumentiert und eingehalten werden müssen, um Schwachstellen beim Zugang in Ihr Netzwerk zu vermeiden. Dazu gehören beispielsweise Passwortrichtlinien und personalisierte Accounts für externe (Fern)warter. Die Dokumentation über das externe Personal, das die Anlagenwartung durchführt und damit Zugriff erhält, sollte regelmäßig aktualisiert werden.
Physische Sicherheit
Eine Zugangskontrolle, die über Authentisierung, Authentifizierung, Autorisierung und Accounting erfolgt, funktioniert nicht nur digital, sondern auch physisch, wenn wir beispielsweise an den Besucher an der Rezeption denken. Wenn kein Automatismus physische Sicherheit unterstützt, dann müssen Prozesse und organisatorische Maßnahmen etabliert sein, um das Sicherheitsniveau aufrechtzuerhalten.
Gesicherte Schaltschränke sind eine wichtige physische Maßnahme, um Ports zu sichern. Schaltschränke, in denen Switche verbaut sind, müssen immer abgeschlossen sein, damit niemand unbefugt dort Geräte einstecken kann. Vorgehensweisen, die für das Anlagenpersonal bequem sind, sind meistens nicht sicher. Überlassen Sie sicherheitsrelevante Aspekte nicht dem Gutdünken Ihrer Betriebsmannschaft. Stellen Sie verbindliche Regeln auf und stellen Sie sicher, dass die betroffenen Mitarbeiterinnen und Mitarbeiter die Vorgaben einhalten.
Use Cases für NAC und Mehrwerte
Mehrwerte einer Netzwerkzugangskontrolle, die gut auf die individuellen Anforderungen in Ihrer OT ausgerichtet ist, ergeben sich für unterschiedliche Anwendungsfälle in Ihrem Unternehmen:
Lifecycle-Management
Mit Hilfe der NAC-Lösung lässt sich im Netzwerk erkennen, welche Assets noch kommunizieren und welche nicht. Diese Informationen liefern eine hilfreiche Grundlage, um den weiteren Einsatzzweck einzelner Geräte klären zu können. Gegebenenfalls können Geräte, die sich nicht mehr authentifizieren, abgeschaltet werden, wenn aus Betriebssicht nichts dagegenspricht.
Management von Gästezugriffen
NAC vereinfacht die Bereitstellung, das Management und die Absicherung von Zugriffen für betriebsfremde Personen.
Netzwerkadministration
Die Verwaltung von Netzwerken wird durch eine NAC-Lösung effizienter, weil bestimmte Themen ausgeklammert werden können, wenn im Vorfeld eindeutige Regelungen definiert wurden. Im Netzwerk befinden sich nur diejenigen Geräte, die wirklich gebraucht werden. Das kommt auch der Performance zugute, weil die Bandbreite nicht unnötigerweise von Geräten genutzt wird, die nicht im Netzwerk sein sollten.
Manuelle Aufwände verringern sich, auch weil die technische Durchsetzung von Compliance-Regeln automatisiert verläuft und nicht manuell erledigt werden muss.
OT Security
Network Access Control liefert Sicherheit für Ihr Netzwerk nicht nur, weil der Zugriff für unautorisierte Geräte, die Ihren Compliance-Anforderungen nicht entsprechen, verweigert wird und Gefahren damit reduziert werden. Die Transparenz, die Sie für die Endgeräte, die in einem Netzwerk kommunizieren erhalten, ist wichtig für die Auslegung anderer Security-Maßnahmen.
Durch den Einsatz von NAC können Sie davon ausgehen, dass in Ihrem Netzwerk nur eigene und autorisierte Geräte kommunizieren. Security-Maßnahmen für unerkannte Geräte in Ihrem Netzwerk werden damit überflüssig.
Fazit
Eine NAC-Lösung erhöht die Sicherheit für Ihr Netzwerk durch eine strikte Zugangskontrolle. Das hat jedoch Auswirkungen auf den Betrieb von Produktionsanlagen, weil dieser auf einer einwandfreien Kommunikation zwischen den Geräten basiert. Für eine 24/7-Verfügbarkeit ist das eine besondere Herausforderung, die bei der Implementierung und beim Management der Lösung berücksichtigt werden muss.
Network Access Control in Ihrer OT soll die Security-Strategie Ihres Unternehmens unterstützen und gleichzeitig die Anlagenverfügbarkeit sichern.
Der Industrial Security Guide zum schnellen Einstieg
CEO & Founder
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!
