Sicherheit für Operational Technology (OT) mit Privileged Remote Access und Netzwerktunneln

Operational Technology (OT) wird immer stärker mit IT-Systemen vernetzt und erhöht dadurch den Bedarf für fortschrittliche Sicherheitsmaßnahmen. Herkömmliche Sicherheitsmodelle, die auf dem Perimeterschutz basieren, reichen zum Schutz von kritischen Infrastrukturen beim Gerätezugriff auf physische Systeme und OT-Umgebungen, wie beispielsweise pharmazeutischen Einrichtungen, Produktionsstätten oder Bohrinseln, nicht mehr aus. Gegen komplexe Cyberbedrohungen kommen Remote-Access-Netzwerktunnel ins Spiel, die sichere Zugriffe auf OT- und IT-Umgebungen ermöglichen. Jeder Zugriffsversuch wird dabei im Sinne moderner Sicherheitsstrategien einer strengen Identitätsprüfung unterzogen.

Netzwerktunnel ermöglichen den sicheren Transport von Daten über ein eigentlich nicht unterstütztes Netzwerk. Die verschlüsselten Punkt-zu-Punkt-Verbindungen lassen sich zu jedem Gerät oder Endpunkt aufbauen — unabhängig vom zugrundeliegenden Protokoll, der für die Verbindung benötigten Software oder dem Standort. Sie ergänzen alle anderen protokollspezifischen Zugriffe, die das BeyondTrust-Produkt bietet (wie SSH, RDP, SQL und Kubernetes), indem sie die sensible Kommunikation im kritischen OT-Betrieb schützen und unbefugte Zugriffe verhindern.

Durch die nahtlose Integration von ZTNA-Prinzipien (Zero Trust Network Access, ZTNA) sind identitätssichere Just-in-Time-Zugriffe möglich, die speziell auf OT-Umgebungen zugeschnitten sind. Im Gegensatz zu herkömmlichen VPNs bieten BeyondTrust Network Tunnels eine skalierbare und sicherere Lösung, die Unternehmen den Echtzeitzugriff sowie die Steuerung und Überwachung über herkömmliche und physische Systeme hinweg ermöglicht. Fortschrittliche ZTNA-Funktionen in Kombination mit robuster Sitzungsüberwachung, Auditierung und kurzlebigen Zertifikaten erlauben es, dass böswillige Akteure selbst im Falle einer Kompromittierung von Anmeldeinformationen schnell ausgeschlossen werden.

Mehr zu Privileged Remote Access und zur Absicherung von OT-Umgebungen erfahren Sie im Interview mit Sebastian Mankowski, Principal Product Manager of Privileged Remote Access.

Sebastian Mankowski: Privileged Remote Access kommt aus dem Bereich Privileged Access Management (PAM) und schützt den Remote-Zugriff auf privilegierte Konten in IT-Umgebungen. Das Produkt hat sich als führende PAM-Lösung etabliert und deckt als einheitliche Lösung für unterschiedlichste Umgebungen und Einsatzszenarien viele Funktionen und Anwendungsfälle ab. Durch die Integration von Zero-Trust-Vorgaben, erstklassigem Sitzungsmanagement und praxiserprobten Zugriffskontrollen werden Punkt-zu-Punkt-Verbindungen aufgebaut, ohne unzuverlässige VPNs oder andere Middleware in der OT-Umgebung einsetzen zu müssen. Gartner bezeichnet das als Remote Privilege Access Management (RPAM).

Sebastian Mankowski: Es gibt eine Reihe von Herausforderungen im OT-Umfeld, die sich mit Privileged Remote Access direkt adressieren lassen:

1) Zu alte Betriebssysteme

Viele OT-Umgebungen basieren auf älteren Betriebssystemen wie Windows 10 oder Windows 7. Es handelt sich dabei um Systeme, auf die Unternehmen beim Betrieb wertvoller und kritischer Geräte angewiesen sind. Sie lassen sich aber häufig nicht aufrüsten oder aktualisieren. Deshalb benötigen Organisationen weiterhin sichere Zugriffsmöglichkeiten aus der Ferne. BeyondTrust Privileged Remote Access ermöglicht den sicheren Zugriff auf jedes Gerät, das im OT-Bereich eingesetzt wird.

2) Zu wenig Standardisierung

OT-Umgebungen erfordern in der Regel viele nicht standardisierte, kundenspezifische Geräte von Siemens-Ausrüstung bis zu speicherprogrammierbaren Steuerungen (SPS), die auf benutzerdefinierten Protokollen laufen und maßgeschneiderte Herstellersoftware für die Verbindung erfordern. Deshalb waren Unternehmen in der Vergangenheit dazu gezwungen, anfällige, unzuverlässige und schwer zu konfigurierende VPNs einzusetzen. Viele Sicherheitsvorgaben wurden dabei notgedrungen umgangen und Löcher in Firewall-Umgebungen gerissen, damit externe Personen mit diesen Geräten interagieren konnten.

Genau hier setzen die maßgeschneiderten Netzwerktunnel von Privileged Remote Access an. Sie bieten Punkt-zu-Punkt-Zugriff auf benutzerdefinierte Systeme in isolierten und nicht routingfähigen OT-Netzwerken, ohne dass VPN- oder breite Netzwerkzugriffe erforderlich sind. Zudem ermöglichen sie die Beschränkung auf ausgehende Verbindungen, die zu Prüfzwecken vollständig aufgezeichnet werden. Privileged Remote Access erfordert keine Bereitstellung aufwendiger Appliances und setzt die Purdue-Model-Sicherheitsanforderungen des Referenzmodells für Automations- und Industrienetze zum Schutz von Operational Technology (OT) um.

3) Zu viele Tools

Eine weitere Herausforderung ist die Minimierung des Einsatzgebietes von Software, Tools und Drittanbietern, die regelmäßigen Netzwerkzugriff für Wartungs- und Administrationsaufgaben benötigen. Wachsen Unternehmen, werden auch ihre Geschäftssysteme immer komplexer, und die Anzahl der benötigten Technikexperten steigt ebenfalls. Der zusätzliche Arbeitsaufwand zur Integration von immer mehr Software-Tools, die von mehreren Teams und Verantwortlichen verwaltet werden, treibt die Betriebskosten gewaltig in die Höhe.

Als einheitliche Zugriffslösung, die IT- und OT-Ressourcen eines Unternehmens vollständig umfasst – Cloud, On-Premises oder Hybrid – löst Privileged Remote Access diese Herausforderungen auf Basis einer konsistenten und benutzerfreundlichen Technologieplattform. Techniker müssen nicht ständig zwischen verschiedenen Lösungen wechseln, wenn sie unterschiedliche Arbeiten ausführen. IT- und Infrastruktur-Administratoren können alles an einem Ort mit einheitlichen Richtlinien und Prozessen steuern. IT-Sicherheitsteams verfügen über einen konsolidierten Satz auditierbarer Protokolle und Berichte, um die Einhaltung von IT-Compliance-Vorgaben überprüfen zu können.

Sebastian Mankowski: „Privileged Remote Access Network Tunneling“ ist einfach der jüngste Schritt zur Lösung spezifischer Herausforderungen, mit denen Unternehmen im OT-Umfeld konfrontiert sind. Die Funktionalität zielt darauf ab, für sichere Konnektivität zwischen benutzerspezifischer Software und benutzerdefinierten Geräten und Maschinen zu sorgen, die in der Vergangenheit auf VPNs angewiesen waren.

Unternehmen waren sich der Unsicherheit von VPNs stets bewusst, aber hatten zumeist nur wenige Alternativen. Herkömmliche ZTNA-Ansätze auf der Anwendungsebene greifen zu kurz, wenn es um benutzerdefinierte SPS-Steuerungen und -Geräte oder herstellerspezifische Softwareprogramme geht, die für den Betrieb unverzichtbar sind. In der Regel wurden VPNs als Notlösung eingesetzt — trotz vieler Bedenken mit Blick auf die bekannten Sicherheitslücken, trotz Schwierigkeiten bei der Wartung und trotz vieler Herausforderung bei der Konfiguration, um Cyberangriffe und Seitwärtsbewegungen im Netzwerk zuverlässig verhindern zu können.

Eine steigende Zahl von Angriffen auf OT-Infrastrukturen und cyber-physische Systeme (CPS) wie Pipelines, Energie- und Fertigungsanlagen und eine Vielzahl offengelegter Sicherheitslücken in häufig eingesetzten VPN-Lösungen haben dazu geführt, dass Unternehmen einen besseren Weg zur Absicherung von OT-Zugriffen und Verfügbarkeit der eingesetzten Systeme finden müssen. Speziell zur Lösung dieser Kundenanforderungen wurde Privileged Remote Access Network Tunneling entwickelt.

Sebastian Mankowski: Kurz gesagt wendet Privileged Remote Access Network Tunneling die Zero-Trust-basierten Netzwerktunnel auf der Anwendungsschicht auch auf die Netzwerkschicht an. So können Kunden verschlüsselte Punkt-zu-Punkt-Verbindungen erstellen, um Zugriff auf SSH-, RDP-, Kubernetes- und Datenbankressourcen (wie Postgres) zu erhalten.

Das funktioniert für jedes System, unabhängig von Standort, Protokoll oder eingesetzter Software. Wir müssen nicht einmal einen Software-Agenten auf dem Endpunkt installieren. Unsere schlanken Jumpoint-Proxys sorgen dafür, dass der Remotezugriff auch über die verfügbaren Ressourcen in isolierten und nicht routingfähigen Netzwerken (z. B. Werksstandorte) eingerichtet werden kann. Auf diese Weise entstehen keine Lücken im Firewall-Regelwerk, und die Anforderungen des Purdue-Model-Frameworks werden vollständig eingehalten.

Endanwender profitieren von einem nahtlosen Benutzererlebnis: Sie authentifizieren sich einfach bei Privileged Remote Access, können per Anwahl auf OT-Systeme eine Verbindung herstellen, und arbeiten dann mit der lokalen Software, die sie benötigen. IT-Administratoren wiederum müssen sich nicht um offene VPN-Verbindungen oder sicherheitsrelevante Fehlkonfigurationen sorgen. Die Sicherheitsverantwortlichen wissen, dass das Prinzip der geringsten Rechte durchgesetzt wird und alle Aktivitäten einer Sitzung überwacht und vollständig protokolliert werden.

Sebastian Mankowski: Wir wussten von Anfang an, dass unsere Kunden die Einhaltung der Purdue-Model-Sicherheitsanforderungen besonders wichtig ist. Deshalb legten wir unser besonderes Augenmerk darauf, dass die Jumpoint-Proxys einfach implementierbar sind und die Segmentierung zwischen einzelnen Netzwerken aufrechterhalten wird. Wir wussten auch, dass diese Standards entscheidend sind, um Outbound-Verbindungen zu isolierten Netzwerken zu vereinfachen, Firewall-Manipulation zu vermeiden und starke Sicherheitsvorkehrungen einzuhalten.

Ein wichtiger Kundenwunsch war, dass die Jumpoints das Dynamic Host Configuration Protocol (DHCP) steuern sollten, da nur wenige OT-Netzwerke selbst über DHCP-Server verfügten und mit Remote-Domain Name System (DNS) arbeiteten. Beide Funktionen sind jetzt vollständig in Privileged Remote Access verfügbar!

Dieses Kunden-Feedback ist uns bei Design und Entwicklung besonders wichtig, und eine erfolgreiche Zusammenarbeit ist der Schlüssel dafür, dass die Lösung in realen Betriebs- und Sicherheitsumgebungen perfekt funktioniert.

Sebastian Mankowski: Unser Hauptziel ist, dass Privileged Remote Access allen Bedürfnissen unserer Kunden entspricht, einschließlich derjenigen im OT-Bereich. Darauf konzentrieren wir unsere Investitionen und arbeiten an einige Funktionen, die in naher Zukunft veröffentlicht werden:

• Effizientere Jumpoints im Proxy-Modus mit Clustering und erweiterte Redundanz für Jumpoints im Proxy-Modus.
• Unterstützung von zusätzlichen Plattformen mit Netzwerktunneln, wie z. B. macOS-Workstations.

Langfristig freuen wir uns darauf, weitere Möglichkeiten rund um die automatisierte Erkennung von Endpunkten in OT-Netzwerken zu erforschen. Das Wunschergebnis wäre, wiederholende und manuelle Arbeiten bei der Bereitstellung und Registrierung neuer Systeme zu reduzieren oder ganz zu vermeiden.

Wir haben auch weiterhin ein offenes Ohr für unsere Kunden und wollen ihre Wünsche und Ideen umsetzen.

Wenn Sie mehr über Privileged Remote Access und Netzwerktunnel erfahren möchten, besuchen Sie unsere Webseite, fordern Sie eine kostenlose Testversion an oder nehmen Sie direkt mit uns Kontakt auf.