Dynamischere Sicherheit durch KI
Risiken und mögliche Mitigationen in digitalen industriellen Ökosystemen (Quelle: genua)
Der präventive Schutz durch proaktive Maßnahmen, wie die statische Netzsegmentierung, erschwert einem Angreifer das Eindringen, kann aber keine hundertprozentige Sicherheit garantieren. Reaktive Sicherheitsmaßnamen zur Beobachtung (Monitoring) und Detektion von Anomalien sind daher wichtige zusätzliche Ansätze in einer Defense-in-Depth-Strategie. Unterstützt durch Methoden der KI machen diese Systeme eine Bestandsaufnahme von Netzwerk sowie Geräten und erlernen typische Kommunikationsmuster, um davon ausgehend ungewöhnliches Verhalten und damit potenzielle Angriffe zu melden. Moderne Tools wie der cognitix Threat Defender von genua können aber noch mehr: Sie beherrschen eine verhaltensbasierte dynamische Mikrosegmentierung physischer Netzwerke bis auf Ebene der Anwendungen und ermöglichen eine Kapselung von Angriffen in Echtzeit. Bei erkannter Gefahr kann Geräten oder Anwendungen der Zugang zu bestimmten Ressourcen automatisch entzogen werden.
Sichere Fernzugriffe
Fernzugriffe, sei es für die Fernüberwachung oder die datenbasierte Prozessoptimierung, zählen zu den unverzichtbaren Maßnahmen der Industrie 4.0. Ihr Ziel ist es, eine Verbindung vom Maschinenhersteller bis in die Feldebene des Betreibers herzustellen. Aus Sicht der Cyber-Sicherheit sind erfahrungsgemäß offene oder unzureichend gesicherte Remote-Zugänge der einfachste und erfolgreichste Weg, um von außen in die Netzwerke von Fabriken einzudringen. Dies wird über schwache oder kompromittierte Authentisierung ermöglicht, aber auch über eine direkte Netzkopplung zwischen dem potenziell unsicheren Netz des Fernwarters und dem Zielnetz.
Aus Perspektive der IT-Sicherheit sollte man daher unbedingt darauf achten, dass externe Diensteanbieter nur Zugriff auf die benötigten Zielsystem-Applikationen und nicht das komplette Netz erhalten. Dabei sollte der Zugriff über sichere und speziell gehärtete Komponenten und nach der Multi-Faktor-Authentifizierung erfolgen. Alle Zugriffe müssen möglichst granular nachvollziehbar sein, zum Beispiel auch über eine Videoaufzeichnung der Remote-Desktop-Sessions und der übertragenen Dateien. Im Betrieb ist aus Effizienz- und Sicherheitsgründen ein zentrales Management der erlaubten Fernwartungszugriffe unverzichtbar. Und zur nahtlosen Integration sollten gängige Authentifizierungsdienste unterstützt werden
Bestandsanlagen in digitalen Ökosystemen schützen
Zusammenfassend lässt sich sagen, dass die Anforderungen an die industrielle Cyber-Sicherheit durch digitale Ökosysteme noch umfangreicher und komplexer werden. Mit der richtigen Sicherheitsstrategie können aber auch Bestandsanlagen (Brownfield) gut und effizient gegen Cyber-Angriffe nachgerüstet bzw. geschützt werden. Besondere Aufmerksamkeit sollte dabei auf Fernwartungszugängen sowie für Industrie 4.0 und Predictive Maintenance genutzten, nachträglich aufgesetzten Datenschnittstellen liegen. Zur Implementierung ist ein ganzheitliches, typischerweise mehrschichtiges Sicherheitskonzept zwingend erforderlich (Defense in Depth). Der Datenverkehr im Netzwerk sollte strengen Regeln folgen, die transparent, bei Bedarf anpassbar und jederzeit auf ihre Einhaltung überprüfbar sind. Alle Zugänge müssen verifiziert, auf jeweils minimal notwendige Funktionalität beschränkt, protokolliert sowie zentral und benutzerfreundlich verwaltet werden können. Auf dieser Basis sind dann später weiterführende Sicherheitskonzepte, wie Zero Trust Network Architecture (ZTNA), implementierbar.