Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler im Interview.

Laut einer Bericht von ABI Research steht es nicht gut um die OT-Sicherheit. 2023 mussten 25 Prozent der Industrieunternehmen vorübergehend die Produktion  aufgrund eines Cyberangriffs vorübergehend runterfahren. Was macht OT-Security so schwierig?
Nils Ullmann
: Man macht sich das nicht so bewusst, aber wenn wir mit unseren großen Kunden reden, die vielleicht 100.000 Mitarbeiter haben, dann ist in der IT oft alles okay. Wenn wir dann in die Produktion reinschauen, dann haben wir plötzlich 300.000, 400.000 Geräte, die am Netzwerk hängen. Oftmals wurden diese Systeme seit vielen Jahren nicht angefasst, sind möglicherweise ungepatcht. Oder sie werden zu spät gepatcht, da es immer die Angst gibt, dass was schief gehen könnte. Deswegen patcht man mal lieber nicht. Anlagen stehen aber 20, 30, 40, 50 Jahre und mit uralter Software ohne Garantie und man will sie daher auf keinen Fall anfassen.

Dadurch gibt es aber einfach eine vielfach größere Angriffsfläche. Das heißt, wenn der Erste drin ist, dann kann er über Seitwärtsbewegung – lateral movement – schalten und walten wie er möchte. Um in einem solchen unsegmentierten Maschinennetzwerk zu wüten, braucht man kein Spezialist zu sein, wenn ich erst einmal drin bin. Wenn ich einen SharePoint kaputt mache, dann bist du, vielleicht noch ein, zwei weitere Kollegen davon betroffen. Wenn ich aber die Walze versehentlich abschalte, dann ist vielleicht ein Jahr Schicht im Schacht. Da geht es um Existenzen.

Wie kann jemand von außen reinkommen?
Die Fabrik mit dem OT-Bereich ist nur ein Teil des Netzwerkes. Keine Maschine kann heute ohne Internetverbindung auskommen, das heißt, irgendwo ist meine Fertigung auch an einem Office-Netzwerk angebunden und von diesem Office-Netzwerk wiederum mit dem Internet. Das heißt, ich brauche auf jeden Fall eine Schranke zwischen meinem Office-Netzwerk und dem OT-Netzwerk. Aber auch innerhalb des OT-Bereichs muss ich dafür sorgen, dass Maschine A möglicherweise nicht mit Maschine B reden kann. Leider ist aber eines der Kernprobleme in Maschinenhallen oder Fabriken immer wieder, dass wir User zwar gut adressieren können. Aber wie komme ich an meine Maschinen dran. Oder wie kann ich die Maschinen netzwerkseitig wegsegmentieren? Denn sie sollten physikalisch oder logisch in einem anderen Netzwerk sein.

Das Netzwerk muss also in Einzelteile aufgeteilt werden?
Mit AirGap haben wir eine Lösung, die man als neues Gateway in ein Netzwerk einbringen kann und den gesamten Verkehr aller Maschinen auf sich zieht, analysiert, Regeln durchsetzt, freigibt, verbietet und dann wieder ins Netzwerk rausgibt, ohne dass jemand das Gerät oder die Maschine selbst anfassen muss.

Aber bestimmte Maschinen müssen miteinander kommunizieren können.
Irgendwann schaltet sich aber jemand auf, um bei einer Maschine A eine Wartung zu machen. Niemand garantiert mir, dass der nicht auch versucht, noch was Böses auf Maschine B zu tun. Also muss ich dafür sorgen, dass der Wartungszugriff sicher läuft. Wir regeln das mit der Lösung Privileged Remote Access, die vom Recording der Session über Rechtebeschränkungen dafür sorgt, dass nur diese Maschine A gewartet wird.

OT war lange Zeit ein Security-Stiefkind. Merkt man bei Gesprächen mit potenziellen Kunden, dass Bewegung in das Thema gekommen ist?
Wir sehen Treiber aus drei Richtungen, die dazu führen, dass sich bei diesem Thema viel bewegt. Auf der einen Seite haben wir mit der Digitalisierung andere Anforderungen an moderne Maschinenfabriken und damit einhergehend auch an existierende Fabriken. Es müssen mehr Daten gesammelt, sicher und sinnvoll verwendet werden, also auch sicher transferiert werden.

Dann haben wir eine große Bewegung von Seiten der Cloud-Provider oder der Digitalisierungshelfer, die die Firmen in die Cloud-Richtung treiben und beraten, ob das jetzt AWS, Azure, Google oder was auch immer ist. Der wichtigere Teil allerdings, nach unserer Erfahrung, ist tatsächlich die Kundenseite. Also die Kunden unserer Kunden fragen nach, wie die Daten bei den Unternehmen verarbeitet werden. Es gibt dafür eine IEC-Norm für Zero Trust Networking in der Industrie.

Und wir haben drittens immer mehr Ausschreibungen, wo unsere Kunden nachweisen müssen, dass sie sich an diese Prinzipien halten und sie umgesetzt haben. Es geht also auch um das Thema Lieferkette. Letztendlich müssen Unternehmen nachweisen, dass sie ihre ganze Lieferkette im Griff haben oder zumindest wissen, was die Vorlieferanten tun. Und das gilt für die IT genauso wie für klassische Produkte. Und diese drei Treiber führen dazu, dass sich in unserem Kundenbereich wahnsinnig viel bewegt.

Welche Rolle spielt dabei das Zero Trust Networking?
Mit dem Zero Trust Networking adressieren wir auch OT-Geräte vom Drucker über Türschlösser, im Prinzip alles, wo nicht ein User davorsitzt. Das Zero Trust Network spannt also heute über die Bereiche Kommunikation aus dem Büro heraus, Fabrik, Teilfabrik bis hin zur Campus-Anbindung und sogenannter Privileged Remote Access, wenn Maschinen auch gewartet werden wollen.

Und zu guter Letzt kommt dann noch das Thema Cloud mit dazu, weil viele Applikationen entweder in der Cloud liegen oder in die Cloud zurück kommunizieren. Beispiel Druckjobs: Ein Druckjob muss immer an einem Drucker ankommen und der Drucker steht irgendwo immer im Büro. In diesem Bereich finden wir nochmal eine viel größere Angriffsfläche, die Unternehmen absichern müssen, als in dem ganzen User-Bereich vorher. Office 365 ist viel dran gemacht worden, die ganzen Applikationen, die in der Cloud liegen, ist viel dran gemacht worden, aber angefangen vom Drucker über das Karten-Terminal bis zu meinen Maschinen in irgendwelchen Fabriken, das ist eben ein sehr, sehr eigener Bereich, den wir adressieren.

Wie geht das technisch?
Technisch ist es so, dass wir das SVI-Interface in einem Layer-3-Netzwerk ersetzen, das heißt wir sind das Default-Gateway vor dem Netzwerk. Wir sind auch der DHCP-Server in diesem Netzwerk und wir ändern die Adressvergabe auf ein sogenanntes Lech32. Und damit wird jedes Gerät in diesem Netzwerk seinen Traffic automatisch zu unserem AirGap Gateway schicken. Und wir können sämtliche Analysen durchführen, ohne dass wir große Eingriffe vornehmen müssen. Unser Core-Prinzip ist also, dass wir gar keine eingehenden Verbindungen mehr brauchen, sondern alles über Inside-Out-Verbindungen machen. Das heißt, bei einem perfekten Zscaler-Kunden gibt es keine offenen Inbound-Verbindungen mehr. Es kann keiner von außen reinkommen, weil alles über einen Zero Trust Exchange kanalisiert wird.

Nils Ullmann

ist Principal Field Product Manager im Bereich Zero Trust Networking bei Zscaler.