Zero Trust: 3 Fragen an ... Endian

Standortunabhängige Sicherheit

Raphael Vallazza, Endian
© Endian

Zero Trust erfreut sich in Produktionsumgebungen wachsender Beliebtheit. Endian-CEO Raphael Vallazza erläutert, was bei der Umsetzung von Zero Trust in OT-Umgebungen beachten werden sollte.

Raphael Vallazza ist Gründer und CEO von des Security-Spezialisten Endian.

Welche Konsequenzen hat der Zero Trust-Ansatz für die Architektur und Organisation von Netzwerksicherheit?

Vallazza: Der Zero-Trust-Ansatz setzt nicht auf Standorte, sondern auf Identitäten, Autorisierung und einer sicheren Authentifizierung von Nutzern und Maschinen – und zwar bei jedem einzelnen Zugriff. Die Struktur der Netzwerke muss sich an diesen Parametern orientieren.

Welche besonderen Herausforderungen bringt Zero Trust speziell für OT-Umgebungen mit sich?

Vallazza: Die Segmente von OT-Umgebungen sind oft sehr groß, somit muss man eine geeignete Strategie für die Mikrosegmentierung entwickeln, idealerweise auf Ebene der Produktionslinie oder sogar der einzelnen Maschine.

Zusätzlich gilt es, das Personal wie beispielsweise Servicetechniker zu schulen und an die Zero-Trust-Architektur heranzuführen. Für dieses Ziel ist es besonders hilfreich, wenn die eingeführte Lösung einfach zu bedienen ist. Die Akzeptanz des Personals steigt mit der Anwenderfreundlichkeit ganz wesentlich. In Kombination mit geeigneten Fernwartungstools, die auch die Produktivität erhöhen, entsteht eine Win-Win-Situation: Die Infrastruktur wird abgesichert und die Effizienz gesteigert.

Was sollten Unternehmen bei der operativen Durchführung einer Zero Trust-Architektur beachten?

Vallazza: Folgende Dinge spielen bei Zero Trust eine Rolle: zentrales Management, Zwei-Faktor-Authentifizierung, Aktivitätenüberwachung sowie ein abgesicherter Datenfluss sowie NAC, sprich: Network Access Control.

Voraussetzung für die Umsetzung einer Zero-Trust-Strategie ist ein schnelles und zentrales Management aller Endgeräte, Nutzer und Verbindungen. Für jeden Mitarbeiter beispielsweise müssen granulare Zugriffsrechte eingerichtet werden. So erhalten alle Mitarbeiter nur die Berechtigungen, die für die Erfüllung ihrer Aufgabe erforderlich sind.

Weitere Regeln können hilfreich sein, um einen unberechtigten Zugriff auf Maschinen und Anlagen zu unterbinden. So können Unternehmen beispielsweise festlegen, dass ein Techniker von seinem Home-Office aus, oder am Standort der von ihm betreuten Kunden Netzwerkzugriff erhält, nicht aber von einem Land aus, in dem das Unternehmen keine Niederlassung unterhält oder keine Kunden hat. Durch die Pandemie und die vermehrte Remote-Arbeit hat dieser Aspekt nochmals an Bedeutung gewonnen.

Bei einer Zwei-Faktor-Authentifizierung ist neben Benutzername und Passwort ein weiterer Faktor erforderlich, um auf ein System zugreifen zu können. Der Faktor ‚Besitz‘ ist dabei am weitesten verbreitet und bedeutet, dass der Nutzer ein bestimmtes Gerät, zum Beispiel ein Smartphone, besitzen muss, auf das ein zeitlich begrenztes Passwort geschickt wird.

Auch die sogenannten Innentäter-Attacken stellen eine große Bedrohung für Unternehmen dar. Über die Protokollierung aller Log-Files lässt sich erkennen, wer wann auf welche Ressourcen zugegriffen hat und welche Aktivitäten dort ausgeführt wurden. Über die Integration eines Intrusion Detection Systems lassen sich Unregelmäßigkeiten im Netzwerk schnell aufdecken.

Auch beim Zero-Trust-Konzept spielt der VPN-Zugang eine wichtige Rolle. VPN (Virtual Privat Network) verschlüsselt die Daten und sorgt so dafür, dass sie weder gestohlen oder verändert werden können.

Über Netzwerkzugangskontrollen lässt sich zusätzlich die Compliance durchsetzen und damit die Sicherheit der Endpunkte garantieren, die sich am Netzwerk verbinden. Es können sich damit nur Endpunkte verbinden, die gewisse Eigenschaften erfüllen, zum Beispiel aktualisiertes Betriebssystem, Antivirus mit aktuellen Signaturen, etc.

Endian auf der SPS 2021: Halle 6, Stand 150Q


Das könnte Sie auch interessieren

Verwandte Artikel

Endian Deutschland GmbH

Safety & Security

SPS