Sophos

OT-Security mit Zero Trust

22. August 2022, 9:00 Uhr | Andrea Gillhuber

Fortsetzung des Artikels von Teil 1

Vertraue nichts und niemandem

Wie kann man dem Problem von Homeoffice oder anderen nicht sicheren Geräten entgegentreten, ohne gleich seine IT-Mannschaft zu verdoppeln?

Veit: Das Problem besteht darin, dass klassische Security-Konzepte alles, was außerhalb des Unternehmens stattfindet, prüfen und absichern. Alles, was sich innerhalb des Unternehmens befindet, ist grundsätzlich gut und bedarf kaum einer gesonderten Prüfung. Unsichere Scanner in der Logistik oder Homeoffice-Rechner beispielsweise, die direkt oder über das WLAN oder das VPN mit dem Unternehmensnetz verbunden sind, schaffen Risiken, die man in der Regel nicht ins Unternehmen lassen möchte. Und dennoch werden aus technischer Sicht diese Geräte als interne IT-Ressource behandelt.

Fünf Fakten zu Ransomware-Attacken

Sophos befragt in seinem ‚State of Ransomware Report‘ jährlich Unternehmen weltweit zu ihren Erfahrungen mit Ransomware-Attacken. Die aktuelle Studie von Anfang 2022 zeigt, dass sich die Bedrohungslage zugespitzt hat. Fünf Fakten für die Fertigungs- und Produktionsindustrie.

>>> Hier geht's zum Beitrag!

Ein weiteres Beispiel, das wir aus vielen Bereichen der Industrie kennen, sind digitalisierte Lieferketten. Viele Unternehmen vernetzen sich untereinander, um die Automatisierung noch effizienter zu gestalten und Fehlern von manuellen Prozessen vorzubeugen. Stellen Sie sich eine Just-in-Time-Produktion vor, in der die Lieferketten nicht digital unter den Herstellern der Einzelkomponenten und der Logistik verbunden sind – das geht heute nicht mehr. Allerdings ist es unglaublich schwer festzustellen, ob ein drittes angebundenes Unternehmen seine Security auch wirklich ernst nimmt oder ob es über die digitale Anbindung nicht zu einer massiven Gefahr wird – vielleicht auch erst im Laufe der Zeit. Eine Möglichkeit, ein Unternehmen mit einem hohen Automatisierungsgrad zu schützen, ist das Zero-Trust Prinzip mit den entsprechenden Lösungen.

Wie das funktioniert das Prinzip?

Veit: Das Zero-Trust-Modell bietet ein wesentlich höheres Sicherheitsniveau, weil grundsätzlich keinem Gerät und keinem Nutzer vertraut wird. Das Zero-Trust-Prinzip bedeutet vereinfacht: Vertraue nichts und niemandem, schon gar nicht einem Netzwerk, und überprüfe alles. Infolgedessen gibt es kein automatisches Vertrauen oder Misstrauen innerhalb oder außerhalb des Perimeters. Es wird grundsätzlich verifiziert, wer zugreifen möchte und es wird geprüft, ob das zugreifende Gerät in Ordnung ist. Zudem wird Nutzenden ausschließlich der Zugriff auf Ressourcen und Anwendungen gewährt, die für ihre Aufgaben benötigt werden.

Das ist die Sicht aus der Security. Wie nimmt der Anwendende das Zero Trust wahr?

Veit: Für den Anwendenden ändert sich eigentlich nichts und das ist wichtig. Wenn man das Zero-Trust-Prinzip beispielsweise mit unserer Lösung, dem Zero Trust Network Access Gateway (ZTNA) realisiert, kann der Anwendende nach wie vor mit seinen Ressourcen und Applikationen arbeiten und hat das Gefühl, direkt mit dem Unternehmen verbunden zu sein. Anwendende melden sich mit ihren Geräten an, diese Anmeldung wird im Hintergrund an das ZTNA-Gateway weitergereicht. Ist alles stimmig, werden die Anfragenden für den Zugriff für genau die Anwendungen und Ressourcen autorisiert, die sie tatsächlich benötigen. Sie arbeiten wie gewohnt und aus Security-Sicht transparent mit den Anwendungen.

Und wie hoch ist der Aufwand für die IT?

Veit: Wenn die IT nach dem beschriebenen alten Prinzip arbeitet, bei dem sukzessive alles verboten wird, was nicht gut erscheint, wird es eine kurze Umstellungsphase hin zum Zero-Trust-Prinzip geben müssen. Ist dieser Prozess aber durchlaufen, wird die IT durch Automation sehr entlastet. Bei Zero Trust wird die Komplexität trotz vieler Anwendungen und gegebenenfalls wechselnden internen und externen Anwendenden reduziert und gleichzeitig die Agilität erhöht. Regeln beziehungsweise Authentifizierungen, lassen sich wesentlich leichter und vor allem transparenter gestalten. Zudem ist die Skalierbarkeit um ein Vielfaches höher als bei klassischen Konzepten. Was aus Management-Sicht vielleicht noch schwerer wiegt, ist die deutlich leichtere Erfüllung und Einhaltung der Compliance-Anforderungen in Bezug auf Transparenz und Nachvollziehbarkeit beziehungsweise wer worauf Zugriff hat. Zero Trust muss übrigens nicht von Anfang an komplett im gesamten Unternehmen etabliert sein, sondern kann stufenweise eingeführt werden, was wir in vielen Fällen auch empfehlen. Es ist sinnvoll, für das erste Setup auf erfahrene Partner zu setzen, die sich mit ZTNA sehr gut auskennen und die Erfahrungen aus den Umstellungen in anderen Unternehmen mitbringen.

Was raten Sie Unternehmen und wo geht die Reise hin?

Anbieter zum Thema

zu Matchmaker+
OT-Security mit Zero Trust
Der Interviewpartner: Michael Veit ist Security-Spezialist bei Sophos.
© Sophos

Veit: Die Reise ist klar durch das unglaublich hohe kriminelle Potenzial der Cyberkriminellen definiert. Bei Ransomware haben sich laut unseren Studien die Erpressungssummen drastisch erhöht. Die Security versucht durch immer intelligentere Lösungen, die unter anderem auch auf Machine Learning und komplexen Algorithmen aufbauen, mit den Kriminellen gleichzuziehen oder gar einen Schritt voraus zu sein. Das ist aber nur ein Teil einer Sicherheitsstrategie. In einem effektiven Security-Ökosystem werden immer mehr auch menschliche Fähigkeiten benötigt, um das zu ergänzen, was bis heute keine Schutztechnologie leisten kann. Dazu gehören beispielsweise Forensiker oder Task-Teams mit jahrelanger Expertise. Diese Teams können mittelständische Unternehmen intern kaum abdecken und daher wird auch in der Produktion zunehmend auf Managed Threat Response gesetzt – meist als Service. Mit anderen Worten: das Katz- und Maus-Spiel zwischen Cyberkriminellen und der Security wird noch lange weitergespielt werden und in naher Zukunft wird ein Level erreicht sein, bei dem Unternehmen den Schutz ihrer Daten und ihrer Produktion in Expertenhände legen.


  1. OT-Security mit Zero Trust
  2. Vertraue nichts und niemandem

Das könnte Sie auch interessieren

Verwandte Artikel

Sophos GmbH Fort Malakoff Park

Safety & Security

Instagram