Netzsegmentierung in der OT: So unterstützt OT-Asset-Management Sie bei der effizienten Umsetzung

Das OT-Netzwerk ist das Rückgrat der digitalisierten Produktion, es soll einen sicheren effizienten Betrieb unterstützen. Dafür muss der Status Quo in eine Netzwerkarchitektur mit einer entsprechenden Struktur überführt werden, die aktuellen und künftigen Anforderungen gerecht wird. Wer Netzsegmentierung in der OT umsetzt und Anlagen migriert, hat eine komplexe Aufgabe zu bewältigen. Die gute Nachricht ist: OT-Asset-Management liefert dafür wertvolle Unterstützung, und zwar in vielen Phasen Ihres Projektes.

Prinzipien der Netzsegmentierung

In der EU Richtlinie NIS2 wird die Netzwerksegmentierung als “grundlegende Praktik der Cyberhygiene” genannt, die von den regulierten Unternehmen, neben anderen Maßnahmen, anzuwenden ist. Für OT-Security ist das Netzwerk einer der größten Hebel, weil dort Gefährdungen für die Anlagenverfügbarkeit aktiv vorgebeugt werden können.

Für die Umsetzung in der OT gelten bestimmte Rahmenbedingungen und Anforderungen, die sich wesentlich von denen in der IT unterscheiden. Die Vorgehensweise muss entsprechend darauf abgestimmt werden. Die internationale Normenreihe IEC 62443 adressiert speziell den Industriekontext für die Absicherung von IT-Infrastrukturen. Sie gibt praktikable Leitlinien auch für die Netzsegmentierung vor.

Grundsätze der Netzwerksegmentierung sind:

• Das OT-Netzwerk wird in logisch getrennte Segmente mit klar definierten Kommunikationsbeziehungen strukturiert.
• In Segmenten werden Netzwerkteilnehmer mit demselben Schutzbedürfnis zusammengefasst.
• Die einzelnen Segmente sind vom übrigen Netzwerk getrennt.
• Die Kommunikation zwischen den Segmenten wird an den Übergängen (Conduits) über Firewalls, Gateways und sichere Protokolle kontrolliert. Jedes Segment wird über Anomalieerkennung und Zustandsüberwachung zusätzlich gesichert.
• In den Segmenten wird der Schutz der darin befindlichen Geräte entsprechend Ihrer Kritikalität gewährleistet. Maßnahmen dafür sind: Verschlüsselung und Überwachung der Kommunikation, Least Privilege, Authentifizierung, Monitoring und Logging, IDS/IPS.

Warum OT-Netze segmentieren?

Security

OT-Infrastrukturen werden durch die Digitalisierung immer komplexer. Mit der Anzahl vernetzter Geräte erweitern sich auch die Cyberrisiken. IT-Systeme in der Produktion sind am physischen Prozess beteiligt. Störungen können gravierende Folgen sowohl für das Unternehmen als auch für die Sicherheit von Menschen und Umwelt (Safety) haben. Viele Legacy-Systeme im Produktionsnetz können lokal nicht ausreichend abgesichert werden, beispielsweise weil im 24/7-Betrieb regelmäßiges Patchen nicht möglich ist. Der für die Anlagenverfügbarkeit nötige Schutz kommt über ein Zonenkonzept. Die Segmentierung des OT-Netzwerks verhindert, dass sich Ausfälle, Fehler und Vorfälle über ein kompromittiertes System hinaus im gesamten Netz ausbreiten kann. Gleiches gilt für technische Störungen.

Effizienz

Wenn Datenströme durch eine Zonierung verteilt werden, reduziert das die Netzwerklast. Das schafft Potenzial, um die Leistung zu optimieren. Die Struktur in segmentierten Netzen liefert wichtige Transparenz, die in vielen Bereichen, wie beispielsweise bei der Instandhaltung oder bei der Fehlersuche, ein effizientes Arbeiten unterstützt.

Zukunftsfähigkeit

Netzsegmentierung ist grundlegend für einen sicheren stabilen Betrieb. Die technologische Entwicklung in der Automation für Optimierungen zu nutzen, wird für Unternehmen immer wichtiger, um wettbewerbsfähig zu bleiben. Dafür muss die Produktionsinfrastruktur auf einem soliden Fundament stehen. Segmentierte Zellen können erweitert werden, das Zonenkonzept steht daher auch für Skalierbarkeit.

Netzsegmentierung in der OT effektiv durchführen

Schlüsselrolle OT-Asset-Management

Im OT-Asset-Management werden Geräte, die in der Betriebsverantwortung der OT sind, über ihren gesamten Lebenszyklus hinweg professionell verwaltet. Die Informationen, die das OT-Asset-Management liefert, sind die Grundlage, um einerseits OT- und OT-Security-Projekte erfolgreich durchführen zu können. Andererseits unterstützt OT-Asset-Management die Effizienz in vielen Bereichen wie beispielsweise in der Instandhaltung, im Engineering, bei der Fehlersuche, etc.
Use Cases und Mehrwerte des OT-Asset-Managements beschreiben wir näher in diesem Artikel.

Das gilt in besonderem Maß für die Netzwerksegmentierung, die eine der wirksamsten Maßnahmen ist, um das Security-Niveau in der OT deutlich zu erhöhen. 

Grundlagen für die Strategie der Netzwerksegmentierung

In den meisten Industrieunternehmen sind aktuelle Informationen darüber, welche Teilnehmer im Netzwerk vorhanden sind, welche Rolle sie im Produktionsprozess haben und wie sie miteinander interagieren, nicht erfasst. Damit fehlen valide Daten, um eine Strategie für die Netzwerksegmentierung auf Grundlage der betrieblichen Anforderungen zu entwickeln. Wer ein OT-Asset-Management betreibt, kann sein Konzept auf einer soliden Basis aufbauen.

Transparenz

OT-Asset-Management sind aktuelle relevante Daten verfügbar, die einen umfassenden Überblick über das bestehende OT-Netzwerk und der Geräte darin liefern: 

• Valides Inventar mit allen Assets, die in der Betriebsverantwortung der OT sind
• Grundlegende Daten zu den OT-Assets wie:
  • IP-Adresse und Netzsegment
  • MAC-Adresse
  • Hersteller und Modell
  • Versionsstand
  • Standort im Werk
  • verantwortliche Personen, Ansprechpartner

Abhängigkeiten

Für eine sinnvolle Segmentierung ist der Blick auf das einzelne Asset nicht zielführend, denn jedes Gerät ist Teil eines Systems, in dem Abhängigkeiten bestehen. Deshalb ist es wichtig, den physischen Produktionsprozess zu verstehen und die Zonen im Netzwerk an die Logik der Produktionslinien anzupassen.

OT-Asset-Management liefert dafür:

• Informationen über die Kommunikationsbeziehungen zwischen einzelnen Geräten
• Kontext zur Anlagenzugehörigkeit:
  Für jedes OT-Gerät sind alle relevanten Informationen erfasst, neben den grundlegenden oben genannten Daten zusätzlich auch:
  • zu welcher Anlage es gehört
  • Prozess, an dem es beteiligt ist
  • Netz-Name
  • VLAN
  • Switch
  • Port

Kritikalität

Der Schutzbedarf eines Systems und seine Platzierung in einem entsprechenden Netzsegment ist davon abhängig, wie kritisch es für die Geschäftsprozesse ist. Die Rolle im Produktionsprozess muss daher geklärt werden.

Aus dem OT-Asset-Management erhält man Informationen über:

• Kommunikationsbeziehungen und Abhängigkeiten innerhalb des Systems
• bekannte Schwachstellen
• verfügbare Ersatzteile und Ausweich-Redundanzmöglichkeiten

Mit den Informationen aus dem OT-Asset-Management können Segmente für die Gerätekategorien innerhalb einer passenden Architektur logisch gruppiert und Übergänge (Conduits) definiert werden.

Umsetzung der Architektur

Viele der Daten im OT-Asset-Management können durch Scans im Netzwerk automatisiert erfasst werden. Für einige Informationen, die wichtigen Kontext liefern, ist jedoch manueller Aufwand notwendig, der initial beträchtlich sein kann. Der lohnt sich aber, denn: Sind alle relevanten Informationen zu den Assets und ihre Kommunikations-beziehungen im OT-Netzwerk erfasst, lässt sich damit nicht nur die Netzsegmentierung konzipieren. Auch für die konkreten Aufgaben, die sich aus dem erarbeiteten Architekturkonzept ergeben, sind die Informationen aus dem OT-Asset-Management unentbehrlich. Ein Beispiel dafür ist die Migration der Anlagen.

Anlagenmigration baut auf validen Daten auf

Anlagen von einem bestehenden in ein neu geschaffenes Netz umzuziehen, ist eine sehr komplexe Angelegenheit, die sich über lange Zeiträume erstrecken kann. Verantwortlich für die Aufgabe sind meist die Anlagenverantwortlichen, aber das sind nicht unbedingt die Personen, die die Anlagen am besten kennen. Viel Wissen steckt in den Köpfen verschiedener Mitarbeitender, die vielleicht gar nicht mehr im Unternehmen sind. Im Projekt kommt es initial aber besonders auf manuelle Analysen an, für die eine gute Datenbasis vorhanden sein muss. Diese kann das OT-Asset-Management stellen.

Die einzelnen Projektphasen bei der Anlagenmigration sind:

• Ist-Aufnahme: Was kommuniziert mit wem auf welchem Weg?
• Migrationsvorbereitung: Was muss wie wohin migriert werden?
• Migration: Welche Migrationsschritte sind wann durch wen und wie nötig?
• Übergabe Regelbetrieb: Was ist nach der Migration notwendig?

OT-Asset-Management unterstützt die Ist-Aufnahme

Die Ist-Aufnahme ist für den erfolgreichen Projektverlauf von besonderer Bedeutung und genau dort liefert OT-Asset-Management einen großen Mehrwert. Konkret geht es um folgende Informationen zu den Kernthemen, die in der Ist-Aufnahme validiert werden:

• Alle Assets einer Anlage
  Hostname, IP-Adresse, MAC-Adresse liefert das OT-Asset-Management
• Alle relevanten Anlagennetze
  Netz-Namen, VLANs, Subnetze liefert das OT-Asset-Management
• Alle relevanten Kommunikationsbeziehungen
  liefert das OT-Asset-Management, wenn diese darin angelegt sind
• Alle aktiven Netzwerkkomponenten
  Informationen zu Switches und Server liefert das OT-Asset-Management

Zusammenarbeit mit Herstellern optimieren

Wer im OT-Asset-Management relevante Informationen zu Herstellern erfasst und pflegt, der profitiert bei der Anlagenmigration in vielerlei Hinsicht davon.

• Es ist für die Planung wichtig zu wissen, ob man für die Migration einer Anlage zwei oder zwanzig Hersteller involvieren muss. Ist für jedes Asset einer Anlage der Hersteller im OT-Asset-Management-Tool vermerkt, kann dieser Aspekt in die Zeitplanung einfließen.
• Sind die Hersteller bekannt, können Kommunikation und die Abstimmung schnell starten.
• Die Unterstützung der Hersteller bei der Migration kann durch eine gute Vorarbeit auf ein nötiges Minimum begrenzt werden. Wenn Sie Ihren Herstellern die Aufgabenstellung und notwendige Informationen zu Ports, Protokollen etc. genau vorgeben können, lassen sich deren kostenpflichtige Aufwände auf ein notwendiges Minimum reduzieren. Dafür können Topologien aus dem OT-Asset-Management-Tool genutzt werden, die die Netze, VLANS und Kommunikationsbeziehungen genau darstellen.

Fazit

Die Netzwerksegmentierung ist eine der effektivsten Maßnahmen der OT-Security. Um das Netzwerk in Segmente mit unterschiedlichem Schutzbedarf zu unterteilen, sind vielfältige Informationen nötig, die ein OT-Asset Management liefern kann. Es gibt Aufschluss über die vorhandenen Geräte im bestehenden Netzwerk, ihre Funktion im Produktionsprozess sowie über die Kommunikationsbeziehungen. Damit können die Segmente entsprechend den bestehenden Anforderungen konzipiert und die Schutzmaßnahmen dafür identifiziert werden. OT-Asset-Management liefert aktuelle relevante Daten nicht nur für die abstrakte Planung der Netzsegmentierung, sondern darüber hinaus auch für die konkrete Umsetzung der Netzwerkarchitektur.