Präventiv mit Bedrohungen sowohl von außen als auch von innen umzugehen, dafür gibt es verschiedene Methoden und Maßnahmen. Zero Trust ist ein strategischer Ansatz, der die herkömmliche Perspektive ändert und damit das Sicherheitsniveau in Ihrem Netzwerk erheblich verbessern kann.
Was ist Zero Trust?
Zero Trust ist ein Sicherheitsmodell, das von der Grundannahme ausgeht, dass niemand vertrauenswürdig ist. Alle Nutzer sind potenziell feindselig und alle Aktivitäten verdächtig, egal ob sie sich außerhalb oder innerhalb des eigenen Netzwerks befinden, solange bis sie sich explizit als vertrauenswürdig ausgewiesen haben. Im Gegensatz zu bisherigen Modellen wechselt also die Perspektive: Vertrauen wird durch Misstrauen ersetzt.
Daraus ergeben sich eine Reihe von Konsequenzen für die Architektur und Organisation von Netzwerksicherheit. Sicherheit findet nicht mehr hauptsächlich an den Grenzen statt, sondern verlagert sich in das Herz des Netzwerks. Alle Nutzer, Geräte und Dienste müssen sich authentifizieren, alle Zugriffe auf Daten und Anwendungen werden geprüft und der gesamte Netzwerkverkehr wird verschlüsselt und überwacht.
Zero Trust bezeichnet also keine spezifische Technologie oder Lösung, sondern eine Strategie, deren Ziel es ist, sich neben externen Bedrohungen auch gegen interne Gefahrenpotentiale abzusichern und den Schaden im Fall einer Kompromittierung zu minimieren.
Auch wenn die Sichtweise eines umfassenden Misstrauens düster klingen mag, kann sie modernen Entwicklungen von Netzwerken und den damit verbundenen Herausforderungen in vielen Fällen besser begegnen als bisherige Ansätze und ermöglicht Mehrwehrt auch über Sicherheitsaspekte hinaus.
Gute Gründe für Misstrauen
Herkömmliche Sicherheitskonzepte folgen dem sogenannten Perimeter-Modell. Sie gehen davon aus, dass sich Angreifer und Bedrohungen außerhalb des Unternehmensnetzwerks befinden und davon abgehalten werden müssen, sich unberechtigt Zugang zu verschaffen. Die Teilnehmer innerhalb des Netzwerks hingegen gelten als vertrauenswürdig. Darauf aufbauende Sicherheitsstrategien vertrauen demnach internen Anwendern und Diensten, stufen aber externen Datenverkehr als gefährlich ein. Zwischen extern und intern werden Barrieren wie Firewalls und Zugangskontrollen errichtet.
Das Perimeter-Modell kann auf verschiedene Weisen umgesetzt werden. Moderne Architekturen folgen einem Defense-in-Depth-Ansatz und teilen ein Netzwerk in verschiedene Zonen ein, die jeweils von eigenen Firewalls geschützt werden. Obwohl eine solche Netzwerksegmentierung ein integraler Bestandteil jeder Sicherheitsstrategie sein sollte, kann sie nicht alle Herausforderungen lösen, die sich in modernen Netzwerken ergeben.
Die Perimeter verschwimmen
Moderne Netzwerke werden zunehmend verteilt: Sie umfassen Cloudservices, Mitarbeiter arbeiten mobil oder von zuhause aus, greifen also von einer Reihe von Endgeräten zu und von verschiedenen Orten, externe Dienstleister bekommen Fernwartungszugänge, mehr und mehr IIoT-Geräte kommen hinzu und kommunizieren mit dem Internet. Das macht es immer schwieriger, die Grenzen zwischen „außen“ und „innen“ klar zu ziehen. Die Zahl der möglichen Angriffsvektoren steigt.
Firewalls schützen nicht vor internen Gefahrenpotentialen
Tatsächlich sind die meisten Bedrohungen nicht extern. Eine häufige Schadensquelle sind Fehlkonfigurationen oder Fehlanwendungen. Diese können nicht nur versehentlich zu Störungen oder Datenverlust führen, sondern können auch unwissentlich Einfallstüren für Angreifer öffnen. Mitarbeiter müssen außerdem nicht aktive Insider einer Industriespionage sein, um das Netzwerk zu kompromittieren. In den meisten Fällen reicht es, wenn sie einen E-Mail-Anhang öffnen, ihr Handy kurz in der Anlage aufladen oder nur eben schauen wollen, was sich auf einem gefundenen USB-Stick befindet.
Die Konsequenzen einer Kompromittierung sind hoch
Da Nutzern und Diensten innerhalb des Netzwerks vertraut wird, haben Angreifer, die sich einmal Zugriff verschafft haben, oft freie Hand. Eine Segmentierung in Zonen schränkt die freie Bewegung zwar ein, löst aber nicht das prinzipielle Problem, dass nicht notwendigerweise jeder, der in einer Zone unterwegs ist, auch wirklich eine Berechtigung hat, dort zu sein. Darüber hinaus findet selten eine Überwachung und Analyse der Aktivitäten innerhalb eines Netzwerks statt, wodurch Sicherheitsverstöße in vielen Fällen unentdeckt bleiben.
Ein perfekt abgesicherter Perimeter ist heutzutage eine Illusion. Ihr Netzwerk wird größer und zunehmend verteilt; es wird immer schwieriger, Grenzen zu ziehen und zu kontrollieren. Die Zahl der möglichen Angriffsvektoren steigt. Sie wissen nicht, wer außerhalb oder innerhalb Ihres Netzwerks eine Gefahr darstellt. Potenziell kann es jeder sein. Was hilft es, die Grenzen zu verstärken, wenn sich die Bedrohungen bereits innerhalb dieser Grenzen befinden?
Genau da setzt Zero Trust an.
Prinzipien einer Zero-Trust-Architektur
Zero Trust leitet aus dem dunklen Bild der Gefahrenlage eine klare Handlungsempfehlung ab. Wenn sich Bedrohungen nicht nur außerhalb, sondern auch innerhalb des Netzwerks befinden, muss die Herangehensweise an den Schutz Ihrer Assets umgekrempelt werden. Schutz kann nicht mehr den Fokus auf den Zugang zu Ihrem Netzwerk von außen legen, sondern muss von innen kommen, mit dem Fokus auf den Assets selber und darauf, sie direkt da zu schützen, wo sie sind, statt an entfernten Perimetern.
Vier Aspekte sind zentral für die Umsetzung einer Zero-Trust-Architektur.
Zugriffskontrolle
Auf alle Daten und Anwendungen darf nur gesichert zugegriffen werden – egal von wem, von welchem Endgerät und von welchem Standort aus. Zugriffskontrollen passieren nicht mehr nur an bestimmten Einstiegspunkten, sondern überall im Netzwerk. Sie sichern nicht größere Zonen vor Zugriffen von außen, sondern jeden einzelnen Knoten im Netz. Die Perimeter verschwinden also nicht, sondern rücken sehr viel näher an die kritischen Daten und Anwendungen heran.
Minimale Berechtigungen
Die Erlaubnis für Zugriffe folgt dem Least-Privilege-Prinzip, dem Prinzip der geringsten Rechte: Jeder hat nur auf das Zugriff, was er wirklich braucht.
Verschlüsselung
Jeglicher Datenverkehr wird verschlüsselt: nicht mehr nur Daten, die das Netzwerk verlassen, sondern auch Datenströme innerhalb des Netzwerks. Das verhindert, dass Daten von Unberechtigten abgefangen und mitgelesen werden können.
Überwachung
Jeglicher Netzwerkverkehr wird überwacht und analysiert, alle Aktivitäten werden in Log-Dateien gespeichert und es werden automatische Alarme eingerichtet. So können Sie Gefahren rechtzeitig erkennen, ungewöhnliche Aktivitäten bemerken und auf Zwischenfälle schneller und zielgerichteter reagieren.
Diese Prinzipien umzusetzen, ist eine komplexe Aufgabe. Zero Trust erfordert umfangreiche technische Maßnahmen und nicht selten auch eine Umorganisation der Sicherheitsarchitektur. Es ist also nichts, das Sie in einem Produkt oder einer Technologie kaufen können. Vielmehr ist es ein Konzept, das einer Sicherheitsstrategie zugrunde liegt.
Zero Trust in der OT
Eigentlich ist Zero Trust gerade in der OT eine sehr naheliegende Sicherheitsperspektive. In einem Netzwerk mit nicht-inventarisierten Geräten und Netzwerkdiensten, ohne zentrale Nutzerverwaltung, weiß man nie genau, wer gerade was tut und wem man womit genau vertrauen kann.
Von einer automatisierten Umsetzung der Zero-Trust-Prinzipien ist man aber noch weit entfernt. Während Maßnahmen wie Mehr-Faktor-Authentifizierung in der IT gängige Praxis werden, passen sie oft nicht gut zur Realität des OT-Umfeldes. Besondere Herausforderungen sind die folgenden:
- Fehlende Sichtbarkeit: Oft sind vor allem IIoT-Geräte nicht Teil eines zentralen Asset-Managements. Darüber hinaus werden Abhängigkeiten nicht katalogisiert und es ist nicht immer bekannt, welche Geräte oder Anwendungen eine Internetverbindung haben oder brauchen und auf welche Dienste sie tatsächlich zugreifen.
- Geräte unterscheiden sich in den verwendeten Standards und Protokollen sowie in ihren technischen Fähigkeiten. Zum Beispiel wird nicht immer eine starke Verschlüsselung oder Authentifizierung über Zertifikate unterstützt.
- Manchmal fehlt auch einfach die Hardware, um eine Brücke in die IT zu schlagen und von den dort etablierten Methoden zu profitieren. Zum Beispiel hat man nicht überall Switches, die sowohl OT- als auch IT-Protokolle sprechen.
Diese Herausforderungen sollten Sie aber keinesfalls vom Handeln abhalten. Entscheidend bei der Umsetzung von Zero Trust ist nicht, die perfekte, allumfassende Strategie zu planen. Wichtig ist vor allem, die ersten Schritte zur Absicherung der wichtigsten Assets zu tun.
Praktische Umsetzung
Die folgenden Maßnahmen sind unserer Meinung nach geeignet, um Zero Trust schrittweise zu einem Bestandteil Ihrer OT-Sicherheitsstrategie zu machen.
Umdenken
Der erste und wichtigste Schritt zur Verankerung von Zero Trust in Ihrer Sicherheitsstrategie ist ein Wechsel der Perspektive auf Ihr Netzwerk und auf die daraus resultierende Herangehensweise an Netzwerksicherheit. Die Grundannahme ist von nun an, dass sich die Bedrohungen schon innerhalb Ihrer Perimeter befinden. Das Ziel sollte nun sein, proaktiv Sichtbarkeit und Kontrolle herzustellen.
Inventarisierung
Welche Assets müssen priorisiert geschützt werden? Das betrifft natürlich kritische Systeme, aber eventuell auch scheinbar unwichtige Systeme, die besonders verletzbar sind, z.B. weil sie veraltet sind und nicht gepatcht werden können.
Wer ist Teil des Netzwerks, welche Nutzer, welche Geräte, Anwendungen und Dienste gibt es? Gerade IIoT-Geräte und Cloud-Dienste bleiben oft unsichtbar. Welche Schnittstellen und Abhängigkeiten gibt es zwischen den Teilnehmern?
Wer benötigt Zugriff worauf? Welche Geräte brauchen wirklich eine Anbindung an das Internet oder an bestimmte Teile des Unternehmensnetzwerks? Zugriffsberechtigungen sollten dabei immer dem Prinzip der geringsten Rechte folgen. Beachten Sie auch, dass das gleiche Gerät, beispielsweise eine Kamera, unterschiedlichen Zwecken dienen kann und je nach Verwendung und Einsatzort möglicherweise andere Verbindungen und Rechte benötigt, auch wenn es sich um das gleiche Modell handelt.
Eine Auflistung von Assets, Nutzern und deren Zugriffsberechtigungen ist dynamisch und sollte bei Neuanschaffungen und sich ändernden Mitarbeiterrollen stets auf dem aktuellen Stand bleiben.
Monitoring
Zero Trust beginnt mit Sichtbarkeit. Es sollte vor allem geloggt und überprüft werden, wenn sich Verbindungen ändern, zum Beispiel weil ein neues Gerät im Netzwerk angeschlossen wird.
Eine Überprüfung und Alarmierung erfolgt idealerweise automatisch. Dann lassen sich in einem nächsten Schritt Verhaltensprofile für Geräte erstellen, die eine automatisierte Überwachung ihres Zustands erlauben. Auffälligkeiten und Abweichungen vom Normalfall können rechtzeitige Indikatoren für eine Kompromittierung sein.
Physische Sicherheit
Physische Sicherheit betrifft besonders Geräte, die öffentlich oder leicht zugänglich sind. Das kann ein nicht abgeschlossener Schaltschrank sein oder Geräte aus der Gebäudeautomation, wie Kameras und physische Zugangskontrollen.
Abschalten, was nicht verwendet wird
Jeder unnötige Netzwerkdienst, der auf einem Gerät läuft, und jede nicht benötigte Verbindung zum Internet bieten eine Angriffsfläche. Dienste, die nicht gebraucht werden, sollten daher deaktiviert werden. Außerdem sollten nur notwendige Ports offen sein. Alle Ports, die nicht verwendet werden, sollten geschlossen werden.
Persönliche und sichere Konten
Wenn Mitarbeiter Konten teilen, können Zugriffsrechte nicht personalisiert festgelegt und Aktivitäten nicht nachvollzogen werden. Idealerweise hat also jeder Nutzer ein eigenes Konto. Gäste sollten über spezielle Gästekonten Zugriff bekommen, die nur einen eingeschränkten Spielraum im Netzwerk haben. Generell gilt auch hier das Prinzip der geringsten Rechte.
Besonders wichtig ist die Verwendung von sicheren Geräte-IDs und Passwörtern. Eine große und leider weit verbreitete Schwachstelle stellen Passwörter dar, die öffentlich zugänglich sind, zum Beispiel weil ein voreingestelltes Standardpasswort nicht geändert wurde oder weil sie leicht erraten werden können. Auch wenn nicht überall ein starker Passwortschutz praktikabel ist, kann die Anbindung von Applikationen an ein zentrales Nutzerverwaltungssystem wie Active Directory ein guter erster Schritt sein.
Mikrosegmentierung
Grundsätzlich ist die Segmentierung eines Netzwerks in Zonen immer ratsam, idealerweise mit einer einheitlichen Segmentierungsstrategie von IT und OT. Zonen können dabei beliebig klein werden, bis hin zu Zonen, die nur eine einzige, besonders kritische Komponente umfassen. Zu Segmentierungsstrategien bieten wir hier detailliertere Informationen.
Mehrwert
Der offensichtlichste und wohl auch größte Vorteil von Zero Trust liegt darin, die Widerstandskraft gegen externe Angriffe und interne Gefahren zu erhöhen und den Schaden bei einem potenziellen Versagen der Perimeter zu verringern. Wenn jedes Gerät und jede Anwendung separat abgesichert wird, breitet sich eine Kompromittierung nicht auf das gesamte Netzwerk aus.
Darüber hinaus erhöht sich die Sichtbarkeit in das Netzwerk. Dadurch, dass die Überwachung und Analyse von Aktivitäten im Netzwerk ein wichtiger Bestandteil einer Zero-Trust-Strategie sind, fangen Sie an zu sehen, was wann wo passiert. Unwahrscheinlicher werden unbekannte Zugriffe, vermutete Angriffe und möglicherweise unbemerkter Datenmissbrauch.
Eine Zero-Trust-Architektur kann aber nicht nur für die Sicherheit Ihres Unternehmensnetzwerks, sondern auch für die zugrundeliegende Infrastruktur und damit für zukünftige Innovationen einen echten Mehrwert bieten.
In gewisser Weise macht sie Sicherheit konzeptuell einfacher und unbürokratischer. Da alle das gleiche Gefahrenpotential tragen, müssen alle gleichbehandelt werden. Sie unterscheiden bei Nutzern, Diensten und Datenverkehr nicht mehr zwischen „innerhalb“ und „außerhalb“ Ihres Netzwerks. Es gelten die gleichen Regeln und Maßnahmen für alle.
Schließlich kann eine Zero-Trust-Architektur auch eine solide Basis für wachsende, verteilte Netzwerke bieten. Sie ist konzipiert für genau die Erweiterungen, die in einem modernen Netzwerk relevant sind oder werden: Cloud-Dienste, Fernwartung, internetfähige IIoT-Geräte, variable Endgeräte, Homeoffice und vieles mehr. Solche Entwicklungen einzuführen und gleichzeitig das Netzwerk gegen damit verbundene neue Angriffsvektoren abzusichern, führt in Perimeter-Modellen leicht zu einem Patchwork von improvisierten Lösungen und Kompromissen. In einem Zero-Trust-Modell kann sich Ihr Netzwerk bei einer guten Umsetzung systematisch, effizient und sicher weiterentwickeln und wachsen.
Der Industrial Security Guide zum schnellen Einstieg
CEO & Founder
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!
