Sicherer Remote-Access für OT-Systeme beginnt mit Zero Trust

Unternehmen können die Digitalisierung ihrer Netzwerke beschleunigen und so die Verfügbarkeit maximieren, Produktivität steigern und Mitarbeiter schützen.

Zu viele Personen können auf OT-Systeme (Operational Technology) zugreifen.

Herkömmliche VPNs und andere Appliance-basierte Sicherheitslösungen, die für den Remote-Access auf OT-Systeme oder Industrial Control Systems (ICS) eingesetzt werden, weisen eklatante Schwachstellen auf. Diese können von Cyberkriminellen ausgenutzt werden, wie zahlreiche Unternehmen bereits leidvoll erfahren mussten. Immer wieder werden durch Ransomware, Malware oder andere Schadsoftware kostspielige Sicherheitsvorfälle verursacht, die zur Gefährdung von Produktionslinien führen und sich negativ auf Umsätze und Markenreputation auswirken.

Bei den meisten Remote-Access-Lösungen erhalten Mitarbeiter, Auftragnehmer und externe Geschäftspartner unbegrenzten Zugang zu OT-Netzwerken. Remote-Access-Lösungen wie VPNs stellen häufig ein Risiko für OT-Systeme oder ICS dar, da sie jederzeit Zugriff über das Internet ermöglichen. Diese User erhalten unverhältnismäßige Zugriffsrechte, was ein hohes Risiko für die Produktionsumgebung mit sich bringt, da das Unternehmen keine Kontrolle über die Aktivitäten der User im OT-Netzwerk hat.

Wie lässt sich also ein sicherer Remote-Access zum ICS für User gewährleisten, die beispielsweise für die regelmäßige Wartung von Produktionslinien zuständig sind – und zwar idealerweise, ohne ihnen ungehinderten Zugang zum OT-Netzwerk zu gewähren?

Diagramm eines herkömmlichen OT

Externe Anbieter müssen nur auf ihre jeweiligen ICS zugreifen – Zugang zum OT-Netzwerk ist dazu nicht erforderlich.

Allen Usern unbegrenzten und lateralen Zugang zum OT-Netzwerk zu gewähren, ist riskant. Trotzdem müssen sie auf die jeweils benötigten OT-Systeme zugreifen können. Dieses Problem lässt sich lösen, indem der Zugriff auf die Managementsoftware der OT-Systeme vom Netzwerk abgekoppelt wird. Zusätzlich sollte der Zugriff basierend auf Usern und Anwendungen segmentiert werden. Realisieren lässt sich dies ausschließlich durch Einsatz von ZTNA-Technologie (Zero Trust Network Access).

Im Unterschied zur Mehrzahl der Remote-Access-Lösungen nach dem PERA-Referenzmodell (Purdue Enterprise Reference Architecture) für OT-Netzwerke ist ZTNA nicht netzwerkzentriert. Stattdessen werden sichere Verbindungen zwischen einzelnen Usern – Mitarbeitern, externen Geschäfts- oder Lieferkettenpartnern oder Auftragnehmern– und autorisierten Unternehmensanwendungen hergestellt. Das Ergebnis ist ein mikrosegmentierter Zugriff auf Anwendungen, der die Sicherheit des Netzwerks gewährleistet und gleichzeitig das Risiko verringert, das durch die Vergabe unnötiger Zugriffsberechtigungen an externe User entsteht.

Security-Übersicht

Vor ZTNA: Mitarbeiter, Anbieter und Auftragnehmer erhielten lateralen Netzwerkzugang, wodurch OT-Systeme unnötigen Risiken ausgesetzt wurden.
Mit ZTNA: Über Zero-Trust-Zugriff können User ausschließlich auf autorisierte ICS zugreifen und erhalten keinen Zugang zum OT-Netzwerk.

Einfachheit

Vor ZTNA: Um Remote-Access-Lösungen zu verwenden, musste man einen Client auf ein verwaltetes oder Privatgerät herunterladen.
Mit ZTNA: User können unabhängig von Gerät oder Standort einfach über einen Browser auf autorisierte ICS zugreifen.

Reduzierte Angriffsfläche

Vor ZTNA: Remote-Access-Lösungen wiesen zahlreiche Sicherheitslücken auf, die sie anfällig für Angriffe machten. Durch nicht patchbare OT-System-Software erhöhte sich dieses Risiko noch.
Mit ZTNA: ZTNA-Lösungen minimieren diese Angriffsfläche, indem OT-Systeme unsichtbar gemacht werden. Nicht patchbare OT-Systeme schützt man am besten, indem IT und OT durch einen möglichst unüberwindbaren Air Gap voneinander isoliert werden.

Mithilfe von ZTNA-Services (Zero Trust Network Access) durch Remote-Access entstehende Risiken problemlos reduzieren

Secure Remote Access für OT-Systeme erfolgt über Zscaler Private Access und ist ein ZTNA-Service, der auf einem user- und anwendungsorientierten Konzept zur OT-Sicherheit basiert. ZPA gewährleistet, dass nur autorisierte Mitarbeiter, Auftragnehmer oder Geschäftspartner auf bestimmte interne ICS bzw. Anwendungen zugreifen können und dabei niemals Zugang zum OT-Netzwerk erhalten. Statt auf physische oder virtuelle Appliances zu setzen, verwendet ZPA eine von der Infrastruktur unabhängige Software wie Docker-Container oder virtuelle Maschinen in Kombination mit Browser-Zugriffsfunktionen. So können nahtlose ausgehende Verbindungen zwischen Usern, OT-Systemen und Anwendungen hergestellt werden, die in Zscaler Zero Trust Exchange verknüpft sind.

Zscaler OT als Diagramm

Das Konzept des Software Defined Perimeter

1. Browser Access Service oder clientbasierter Zugriff
    • Bei beiden Methoden wird der Traffic zur Multifaktorauthentifizierung zum IDP zurückgeleitet.
    • Durch den Browser-Zugriff muss auf dem Gerät kein Client heruntergeladen werden.
    • Für den Browser-Zugriff wird HTML5-basiertes Streaming verwendet.
    2.  ZPA Public Service Edge
    • Schützt die Verbindung zwischen User und Anwendung
    • Setzt alle benutzerdefinierten Verwaltungsrichtlinien durch
    3.  App Connector
    • Wird vor OT-Systeme und Anwendungen im Rechenzentrum, in Azure, AWS und anderen öffentlichen Cloud-Services geschaltet
    • Stellt ausgehende TLS 1.2-Verbindungen zum Broker her
    • Macht OT-Systeme unsichtbar, um DDos-Angriffe zu verhindern
    Siemens
    Siemens und Zscaler:
    Partnering to extend zero trust security to smart factories.

    Der Zugriff über Browser ermöglicht externen Anbietern in Minutenschnelle sicheren Zugriff

    Mit dem Browser-Zugriff über ZPA erhalten externe Geschäftspartner und User sicheren Zugriff auf OT-Systeme, ohne einen Client installieren zu müssen. Externe Geschäftspartner brauchen nicht mehr mehrere Instanzen zu durchlaufen, um sicher auf OT-Systeme zuzugreifen, sondern können sich mit dem eigenen Gerät problemlos über das Internet verbinden. Das Ergebnis: Ein streng kontrollierter Zugriff, über den sich User jederzeit standort- und geräteunabhängig mit OT-Systemen verbinden können.

     

    Geschäftsnutzen
    • Nahtlose Erfahrung für Partner und User
    • Sicherer Zugriff auf OT-Systeme vom BYOD
    • Minimale Exposition von nicht patchbaren ICS
    • Integrationen mit führenden IDPs
    Eine am Laptop arbeitende Frau aktiviert mithilfe des Browser-Zugriffs von ZPA sicheren Partner-Zugang innerhalb von Minuten
    Nozomi Logo

    Nozomi Networks und Zscaler:

    Extend zero trust security to the industrial OT/IoT edge.

    KUNDENBEISPIELE
    MAN Energy Solutions

    MAN Energy Solutions transformiert Netzwerk und Anwendungen mit Zscaler

    Zenith Live

    Wie Zero Trust in der Fertigung eingesetzt wird

    Empfohlene Ressourcen

    ARTIKEL

    Was ist OT-Sicherheit?

    Blog

    Wissenswertes für CIOs und CISOs: Fünf Methoden zum Schutz von OT-Systemen

    Video

    Anpassung der Cyber-Sicherheit für die Konvergenz von IT und OT mit Siemens und Zscaler

    AUF EINEN BLICK

    Zscaler Secure Remote Access für OT-Systeme: Vorteile

    PRESSEMITTEILUNG:

    Siemens und Zscaler entwickeln gemeinsam integrierte Zero-Trust-Sicherheitslösungen für OT/IT

    KUNDENREFERENZ:

    Kubota Australia realisiert mit Zscaler infrastrukturlose Warenlager