Zero Trust: Cybersecurity im Business-Umfeld mit KI und Machine Learning
Nico Werner, Vorsitzender des PMeV-Fachbereichs Cybersecurity, über die Zero Trust-Strategie.
Industrie 4.0 bietet Cyberkriminellen neue Angriffsflächen, denn in den zunehmend digitalisierten Produktionsprozessen müssen vernetzte Systeme miteinander sprechen. Genau darin liegt das Problem: Je mehr IT und OT zusammenwachsen, desto mehr Schlupflöcher entstehen, durch die schädliche Daten in Unternehmen eindringen oder Informationen unerwünscht nach außen abfließen. Um die Sicherheit zu erhöhen, braucht es eine ganzheitliche Strategie, die dem Mantra folgt: Vertraue niemandem! Das schreibt Nico Werner, Vorsitzender des PMeV-Fachbereichs Cybersecurity in seinem Beitrag für GIT SICHERHEIT.
In einer idealen Welt sind die Informationstechnologie (IT) und die Operational Technology (OT) physisch streng voneinander getrennt. Doch in der Realität ist die Welt nicht ideal. Es findet sich nahezu immer eine Schnittstelle zwischen dem in Büros und Rechenzentren verwendeten Unternehmens-LAN und den Prozessnetzwerken der Betriebe – auch wenn sich die Unternehmen dessen nicht bewusst sind. Solange Produktionsumgebungen in sich geschlossen und nicht ans Internet angebunden waren, konnten Hacker sie schwerlich knacken. Doch das ändert sich, je smarter die Fabriken werden– beispielsweise um Herstellern oder externen Dienstleistern einen Fernzugriff für die Wartung zu ermöglichen. Durch die Vernetzung spielt es plötzlich auch eine Rolle, dass viele industrielle Leit- und Steuerungssysteme veraltet sind und seit längerem keine Sicherheits-Updates mehr erhalten haben. Cyberkriminelle haben damit leichtes Spiel.
IT wird zum Einfallstor in die OT
Die digitale Transformation verknüpft alles mit jedem und wird in wenigen Jahren IT- und OT-Netze komplett miteinander verweben. In dieser durchlässigen Welt des Industriellen Internet of Things (IoT) nutzen Cyberkriminelle die IT als Einfallstor, um in die OT einzudringen. Im Vergleich zur klassischen Unternehmens-IT können Sicherheitsvorfälle bei industriellen Systemen zu wesentlich größeren Schäden führen – etwa, wenn eine Fertigungslinie stillsteht, eine fehlgesteuerte Anlage Menschen verletzt oder durch den Angriff auf eine kritische Infrastruktur ein Stromnetz offline geht. Jede erfolgreiche Industrie-4.0-Strategie muss deswegen Cybersecurity hohe Priorität einräumen und Sicherheit ganzheitlich denken im Dreiklang von Technologie, Prozess und Mensch. Statische Sicherheit nach dem bisherigen Prinzip „Security as a Function“, das alleine auf der technischen Ebene ansetzt, reicht bei weitem nicht mehr aus.
Neben immer ausgefeilteren Cyberattacken durch professionelle Hacker existiert auch eine wachsende Bedrohung durch Innentäter. Konkrete Zahlen gibt es nicht, aber die Art der Angriffe lässt Rückschlüsse auf Insiderwissen von Mitarbeitern zu, etwa bei Denial-of-Service-Attacken auf nur intern bekannte IP-Adressen. Diese Entwicklung ist nur einer von vielen Gründen, die Sicherheitsstruktur gemäß „Zero Trust“ umzubauen. Das Konzept ist ein Paradigmenwechsel, denn es macht grundsätzlich keinen Unterschied zwischen Nutzern, Geräten oder Diensten innerhalb und außerhalb des eigenen Netzwerks. Es vertraut grundsätzlich keinem, prüft den kompletten Datenverkehr und alle Beteiligten müssen sich authentifizieren.
IT-Sicherheitsgesetz 2.0 stellt neue Anforderungen
Angesichts der steigenden Zahl an Cyberattacken stellt sich mittlerweile nicht mehr die Frage „ob“ ein Unternehmen angegriffen wird, sondern „wann“. Ohne Vorkehrungen bleiben Kriminelle in Netzwerken oft zu lange unbemerkt. Das neue IT-Sicherheitsgesetz 2.0 legt deswegen den Schwerpunkt auf die Angriffserkennung und erhöht die Kompetenzen des Bundesamtes für Sicherheit in der Informationstechnik (BSI), damit es Sicherheitslücken detektieren und Cyberangriffe abwehren kann.
Betreiber von Kritischen Infrastrukturen (KRITIS) müssen in der Lage sein, einen Angriff mit geeigneten Technologien zu erkennen. Dafür brauchen sie ein Monitoringsystem, wie SIEM (Security Information und Event Management), das mithilfe künstlicher Intelligenz potenzielle Bedrohungen identifiziert, um schnell reagieren zu können. OT-Systeme sind allerdings noch nicht auf aktive Monitoring-Tools ausgelegt und fahren sich herunter, wenn die Anwendung zu scharf eingestellt ist. Im Sinne der Sicherheit lassen sich die Mauern zwar unendlich hochziehen, doch wenn Mensch und Maschine dann nicht mehr arbeiten können, ist auch nichts gewonnen. Ein ganzheitliches Sicherheitssystem hält deswegen die Waage zwischen Security und Usability.
Um das Thema Sicherheit effektiv umzusetzen, fehlen Unternehmen oft die personellen Kapazitäten oder das qualitative Know-how. Schließen lässt sich diese Lücke durch die Automation der Sicherheit. Dabei verändert sich der Blickwinkel: weg von „Security by Function“ hin zum ganzheitlichen „Security by Design“. Dieses Prinzip integriert Sicherheit zusätzlich in schriftlich definierten Prozessen – z. B. zur Risikoanalyse oder Qualitätssicherung – und bildet Rollen, Verantwortlichkeiten und Tätigkeiten innerhalb der Organisation sowie die benötigten Technologien ab. Das setzt von Anfang an ein durchdachtes Sicherheitskonzept voraus, das ausgehend von der Aufgabe der Technik u. a. die Voraussetzungen für die prozesskonforme Anwendung durch die Nutzer analysiert. Zero Trust drückt sich an dieser Stelle darin aus, dass beispielsweise von Herstellern implementierte Standardprotokolle abgeschaltet werden, wenn sie für die eigentliche Aufgabenerfüllung nicht notwendig sind.
Harmlose Gegenstände werden zu Hacking-Tools
Nicht jede Gefahr ist offensichtlich. Um Cyberkriminellen den Weg ins Unternehmen zu versperren, ist es wichtig, sich möglicher Hacking-Tools bewusst zu sein. Harmlose Gegenstände, wie z.B. die auf Messen in großer Zahl als Giveaways verschenkten USB-Sticks oder von Kunden mitgebrachte externen Festplatten, können Viren oder Schadsoftware auf das Netzwerk übertragen. Zero Trust kann auch in diesem Fall gravierende Schäden oder Datenverluste verhindern, indem grundsätzlich jeder mobile Datenträger eine Datenschleuse, wie InDEx, durchlaufen muss. Erst wenn ein Unternehmensrechner einen erfolgreich absolvierten Scan erkennt, erlaubt er den gefahrlosen Anschluss.
Jede Cybersecurity-Strategie ist nur so gut wie ihr schwächstes Glied. Im ganzheitlichen Dreiklang sind das nicht die Technologien und Prozesse, sondern der Mensch. Cyberkriminelle machen sich das zunutze. Geschickt erzeugen sie Stresssituationen über Gefühle wie Empathie oder Angst, um leichter an Informationen zu gelangen. Regelmäßige Awareness-Trainings könnten die Aufmerksamkeit gegenüber dieser Gefahr hoch halten, allerdings vernachlässigen viele Unternehmen es sträflich, ihre Mitarbeiter entsprechend zu schulen. Doch je durchlässiger die Trennlinie zwischen IT und OT in der Industrie 4.0 wird, desto wichtiger wird ein zeitgemäßer Schutz gegen ausgefeilte Cyberkriminalität gemäß dem Motto: Zero Trust!