Der traditionelle Ansatz zur Absicherung von digitalisierten Geschäfts- und Produktionsprozessen geht davon aus, dass sich alle Geräte, Applikationen sowie die Kommunikation zwischen diesen im unternehmenseigenen Netzwerk befinden. Daher konzentrierte man sich bisher folgerichtig auf die Absicherung des Netzes am Perimeter, also der Trennlinie zwischen internem und öffentlichem Netzwerk. Innerhalb des Netzes selbst war überwiegend eine unbeschränkte Kommunikation möglich. Dieser Ansatz passt nicht mehr zur Realität. Heutige Infrastrukturen sind in ihrer Komplexität wesentlich größer und erstrecken sich oft über mehrere Netze. Hinzu kommen immer mehr fremd verwaltete Systeme wie Cloud-Umgebungen oder ferngewartete Maschinen. Gleichzeitig werden immer kritischere Geschäftsprozesse digitalisiert und vernetzt. Dadurch steigen die Anforderungen an die Verfügbarkeit und Zuverlässigkeit sowie den Datenschutz. Der einfache Ansatz der netzfokussierten Sicherheit skaliert in der heutigen Zeit immer schlechter.

Als Reaktion auf diese neuen Rahmenbedingungen in der Cybersicherheit rückt mit dem Zero-Trust-Paradigma eine Security-Architektur in den Mittelpunkt, die auf eine Absicherung der an einem Geschäfts- oder Produktionsprozess beteiligten einzelnen Endgeräte, Nutzer und Dienste sowie der Kommunikationspfade zwischen ihnen setzt. Man entfernt sich also von der Idee, dass eine Kontrolle am Netzperimeter ausreichend möglich ist.

Zero-Trust Networking

Wie Zero-Trust Networking Access in der Industrie in Form eines sogenannten Software-Defined Perimeter implementiert werden kann, lässt sich exemplarisch an der Fernwartungslösung Genubox zeigen. Fernwartung setzt voraus, dass sich Dienstleister aus einem externen, potenziell unsicheren Netzwerk mit einer Maschine oder Anlage innerhalb eines internen, sicherheitssensiblen Produktionsbereichs verbinden können. Um eine sichere Fernwartungs-Session einzuleiten, verbindet sich bei der Genubox-Lösung eine Servicebox aus dem internen Netzwerk zu einem vom externen Fernwarter erreichbaren Rendezvouz-Server. Der Fernwarter wiederum baut über eine Fernwartungs-App eine verschlüsselte Kommunikation zu diesem Perimeter auf. Nach erfolgreicher Authentisierung wird ein Zugriff nur auf spezifische Dienste ermöglicht, wie zum Beispiel auf den Desktop der zu wartenden Maschine, das Terminal (via SSH) oder auf ausgewählte Ports. Genubox erlaubt externen Clients also den Zugriff in eine interne Infrastruktur nur nach entsprechend starker Authentisierung und auch nur dediziert zu explizit definierten Services. Im Gegensatz zu einem klassischen Virtual Private Network (VPN) findet keine komplette Netzkopplung statt.

Ergebnis: robustere und resiliente Netze

Mit Zero-Trust Networking wird also das Vertrauen in die Sicherheit des Gesamtnetzes durch das Vertrauen in die Sicherheit spezifischer Kommunikationsendpunkte ersetzt. Eine Kompromittierung einzelner Endpunkte ist damit auf die erlaubten Kommunikationsbeziehungen beschränkt und gefährdet nicht mehr das Gesamtnetz. Dieses Vorgehen gibt dem Betreiber die Kontrolle über seine Anlagen zurück, senkt proaktiv die Angriffsfläche und erlaubt eine schnellere Detektion und Begrenzung von Angriffen sowie eine schnelle und gezielte Recovery. Das Resultat sind robustere und resiliente Netze, passend zur höheren Kritikalität moderner digitaler Geschäftsprozesse.

Autor: Martina Hafner, Marketing Communications Manager