Remote Access und OT-Sicherheit – Sicherer Fernzugriff auf industrielle Netzwerke

Remote Arbeit bedeutet, dass Sie Ihre Arbeit von zu Hause aus erledigen können. Viele denken dabei an Büroangestellte, die vor dem Computer im eigenen Zuhause arbeiten, hauptsächlich Büroanwendungen anwenden und sich über Videokonferenzen mit Kollegen in Verbindung setzen. Allerdings ist Remote Arbeit mehr als nur Home-Office: Vor allem durch die Folgen von COVID-19 wurden auch zahlreiche industrielle Arbeitsplätze in den privaten Bereich überführt, zum Beispiel, um Produktionsanlagen und wichtige Infrastrukturen, wie OT-Netzwerke, aus der Ferne zu verwalten.

Beim Fernzugriff auf OT-Netzwerke sollten Unternehmen in vier Bereichen besonders vorsichtig sein, obwohl IT- und OT-Netzwerke ihre Unterschiede haben.

Die Grundregeln sicherer Fernzugriffe in OT-Netzwerken

Es ist von Bedeutung, dass Unternehmen alle Fernverbindungen überwachen – auch die scheinbar unwichtigen. Idealerweise sind sie in der Lage, Remote-Sitzungen in Echtzeit zu beobachten, die Zugriffsanfragen der Benutzer je nach Zweck, Dauer und Häufigkeit zu verwalten und die Sitzungen mit einem Mausklick zu beenden. Auf diese Weise wird das Risiko von internen und externen Bedrohungen (Dritte wie Vertragspartner sind hierbei eingeschlossen) deutlich verringert, ohne dass Produktivität leidet oder es gar zu kostspieligen Produktionsunterbrechungen kommt.

Da Unternehmen immer mehr auf Remote-Konnektivität angewiesen sind, ist es darüber hinaus entscheidend, granulare Zugriffsberechtigungen für Remote-Benutzer zu definieren und auch durchzusetzen. Dies gilt insbesondere für diejenigen mit privilegiertem Zugriff. Bei Industrieunternehmen sollten die Zugriffsrechte dabei einem mehrschichtigen Netzwerk-Verteidigungsmodell (etwa dem Perdue-Modell) entsprechen. Dadurch werden laterale Bewegungen eines Angreifers im Falle einer Kompromittierung deutlich erschwert und die sensibelsten und kritischsten Bereiche besser geschützt.

Authentifizierung: Eines der größten Risiken im Kontext der schnellen Einführung von Fernzugriffen ist vor allem die gemeinsame Nutzung sowie die Verwaltung von Passwörtern. Gerade das Teilen von Passwörtern mit Kollegen und Partnern ist in diesem Bereich leider gängige Praxis. Unternehmen sollten, wo immer dies möglich ist, die Verwendung von Credentials durch Dritte unterbinden, zumindest aber deutlich einschränken. Dies kann beispielsweise dadurch gelingen, dass für alle Fernzugriffssitzungen eine Genehmigung des Administrators benötigt wird. Auch Passwort-Tresore und Multi-Faktor-Authentifizierung sind wirksame Methoden, um sich vor Kompromittierungen zu schützen.

Auditierung und Compliance: Ähnlich wie im Bereich des Home-Office wird der Remote-Zugriff auf industrielle Anlagen und kritische Infrastrukturen auch nach der Pandemie ein beherrschendes Thema bleiben. Gerade im Hinblick auf entfernt gelegene Produktions- und Betriebsstätten ergeben sich hierdurch enorme Vorteile. Aber eben auch Risiken: Angreifern steht auf diese Weise ein interessanter Angriffsvektor zur Verfügung, den sie zukünftig wahrscheinlich mehr und mehr nutzen werden. Und trotz aller Sicherheitsanstrengungen werden einige erfolgreich sein. Aus diesem Grund sollten Unternehmen darauf bedacht sein, alle Sitzungsaktivitäten und die Verwendung von Berechtigungsnachweisen für den Fernzugriff zu erfassen und zu dokumentieren, um die Anforderungen der Compliance zu erfüllen und zukünftige forensische Analysen zu erleichtern.

Die Grenzen des VPN für Secure Remote Support

Wie beim Zugriff auf IT-Netzwerke setzen auch im OT-Bereich viele Unternehmen noch immer auf VPNs. Diese über lange Jahre bewährte Technologie ist relativ benutzerfreundlich und bietet einige Datenschutz- und Sicherheitsfunktionen. Und auch wenn sie sich zu einem gewissen Grad weiterentwickelt haben, bergen sie doch auch gewisse Risiken. Dies gilt umso mehr für ihren Einsatz in OT-Infrastrukturen:

• VPNs bieten eine sichere Art des Zugriffs auf ein Netzwerk, allerdings können sie nicht vollständig kontrollieren, wer welche spezifischen Informationen innerhalb des Netzwerks abrufen, wie lange der Zugriff dauert und welche Aktionen im Netzwerk durchgeführt werden können. Sobald sich Nutzer mithilfe eines VPNs in einem Netzwerk befinden, endet die Kontrolle der administrierenden Stelle über ihre Handlungen. Dies bedeutet gleichzeitig, dass es für potenzielle Cyberkriminelle leichter ist, in das System einzudringen. Dieses Problem kann zwar durch den Zero Trust-Ansatz weitestgehend ausgeglichen werden; allerdings sind entsprechende Lösungen oft nur für IT-Netzwerke geeignet, da sie nicht alle Anwendungsfälle unterstützen, die für OT-Netzwerke erforderlich sind.
• VPN-Sitzungen werden in Protokolldateien aufgezeichnet, allerdings enthalten diese nur minimale Informationen und keine Details über die Aktivitäten, die während der Sitzung durchgeführt wurden. Dies ist für Auditierungs-, Compliance- und forensische Zwecke jedoch unzureichend.

Durch die gesteigerte Angriffsfläche bieten traditionelle VPNs einen potenziellen Einstiegspunkt für Angreifer. So können gestohlene Anmeldedaten eines legitimen Benutzers einem Cyberkriminellen eine ideale Ausgangsbasis für weitere gefährliche Aktivitäten sein.

Neue Fernzugriffslösungen, die speziell für die Anforderungen von OT-Netzwerken entwickelt wurden, gehen weit über traditionelle VPN-Funktionalitäten hinaus!

Neue Fernzugriffslösungen, die speziell für die Anforderungen von OT-Netzwerken entwickelt wurden, gehen weit über traditionelle VPN-Funktionalitäten hinausnd folgen einem Security-by-Design-Ansatz. So sind diese teilweise auf einer zweistufigen Architektur aufgebaut, welche das Purdue-Modell beibehält und die Angriffsfläche dadurch minimiert, dass Netzwerkkomponenten vor einem direkten Zugriff geschützt werden. Der entfernte Nutzer erhält lediglich eine gerenderte Ansicht des jeweiligen Assets – was für ihn jedoch nicht wahrnehmbar oder störend ist – während zwischen ihm und dem Asset die Secure Remote Access-Lösung den Zugriff und die Aktivitäten kontrolliert. Auch verfügen diese oftmals über lokal gespeicherte, detaillierte Audit Trails, die schnelles Troubleshooting ermöglichen, und sind in ihrer Benutzeroberfläche bewusst einfach gehalten, um Workflows möglichst wenig zu beeinträchtigen. Denn Sicherheit und sicherer Fernzugriff kann nur gewährleistet werden, wenn Lösungen die Mitarbeiter unterstützen, anstatt als Hürde angesehen zu werden.

Mit unserer VISULOX Remote Support Security Lösung profitieren Sie von: 

• … einer effizinete Verwatung von privilegierten Zugängen, die die Sicherheit Ihres Unternehmens erhöht.
• … einer schnellen Implementierung, mit der Sie bereits nach wenigen Stunden und ohne massiven finanziellen Aufwand Ihre Remote Zugriffe schützen.
• … einem praktischen Tool, mit dem Sie Fehler bei Arbeiten in Ihrer Infratstruktur besser nachvollziehen, beheben und nachweisen können.

Überlassen Sie die Sicherheit Ihres Unternehmens nicht dem Zufall, sondern nutzen Sie mit VISULOX Remote Support ein Tool, das sich an Sie und Ihre individuelle Situation anpasst. 

In den letzten Jahren haben wir Kunden in den verschiedensten Branchen vor kriminellen Aktivitäten geschützt – von Logistik über Zulieferer und IT-Unternehmen bis hin zur kritischen Infrastruktur. Überzeugen Sie sich selbst von unserer Expertise und vereinbaren Sie ein unverbindliches Erstgespräch

Wir freuen uns darauf, Sie kennenzulernen und Ihnen zu zeigen, wie unsere Security Remote Support Lösung Ihre sensiblen Daten und die Zugriffe auf Ihre Infrastruktur schützt.