13 Prozent der geschäftskritischsten OT-Assets wie Engineering-Workstations nutzen eine unsichere Internetverbindung. Jede Dritte (36 %) dieser Anlagen weist zudem mindestens eine bekannte bereits ausgenutzte Schwachstelle (KEV) auf. Dadurch sind sie aus der Ferne einfach zugängliche Einstiegspunkte für Angreifer. Vor diesem Hintergrund stellt Claroty, Spezialist für die Sicherheit von cyberphysischen Systemen (CPS), seinen neuen „Claroty xDome Secure Access“ (ehemals Claroty Secure Remote Access) vor. Die Lösung bietet einen reibungslosen Fernzugang und eine sichere Kontrolle über die Interaktionen mit cyberphysischen Systemen. Auf diese Weise wird die Produktivität gesteigert, die Komplexität und das Risiko reduziert sowie die Compliance sichergestellt.
Laut Gartner „wurden CPS-Technologien (oft synonym als OT/IoT/IIoT/ICS/IACS/SCADA usw. bezeichnet), die Produktions- oder unternehmenskritische Prozesse unterstützen, zunächst isoliert eingesetzt, sind aber zunehmend miteinander und mit Unternehmenssystemen verbunden. Darüber hinaus benötigen die Unternehmen jetzt OEMs, Auftragnehmer und Mitarbeiter, um sie aus der Ferne zu betreiben, zu warten und zu aktualisieren.“
Um die Folgen dieser zunehmenden Konnektivität für die Sicherheit zu verdeutlichen, hat Team82, die Forschungseinheit von Claroty, eine Stichprobe von über 125.000 OT-Assets inklusive ihrer Internetverbindung und Angreifbarkeit analysiert.
Die wichtigsten Ergebnisse:
- 3,7 Prozent aller OT-Geräte nutzen eine unsichere Internetverbindung, d. h. sie kommunizieren allgemein mit dem Internet. Dies ermöglicht es Angreifern, den IP-Adressraum leicht zu scannen, um sie zu entdecken und in der Folge zu versuchen, aus der Ferne auf sie zuzugreifen.
- 13 Prozent der Engineering-Workstations (EWS) und Mensch-Maschine-Schnittstellen (HMIs) verfügen über eine unsichere Internetverbindung. Diese zentralen Anlagen werden zur Überwachung, Steuerung und Aktualisierung von Produktionssystemen verwendet. Da sie mit der Purdue-Modellarchitektur für ICS und in einigen Fällen mit dem IT-Netzwerk des Unternehmens verbunden sind, können Angreifer sie als Ausgangspunkt für laterale Bewegungen nutzen.
- 36 Prozent der unsicher mit dem Internet verbundenen EWS und HMIs enthalten mindestens eine bekannte ausgenutzte Schwachstelle (KEV). Die Kombination aus hoher Kritikalität, hoher Gefährdung und hoher Ausnutzbarkeit macht diese Anlagen zu bevorzugten Zielen für Angreifer, deren Ziel die maximale Störung des Betriebs ist.
„Unsere Untersuchungen belegen, dass der zunehmende Fernzugriff eine größere Angriffsfläche und ein höheres Ausfallrisiko kritischer Infrastrukturen mit sich bringt. Dies kann sich letztlich auf die öffentliche Sicherheit und die Verfügbarkeit lebenswichtiger Dienste auswirken“, erklärt Amir Preminger, Vice President of Research von Claroty. „Da der Fernzugriff auf geschäftskritische OT-Anlagen wie EWS und HMIs heute zum Standard gehört, müssen Unternehmen sicherstellen, dass sie in der Lage sind, den Zugriff auf bestimmte Anlagen gezielt nach dem Least-Privilege-Prinzip zu gewähren.“
Die kompletten Forschungsergebnisse können hier heruntergeladen werden.
In der Vergangenheit erfolgte der Fernzugriff zum Betrieb, die Wartung und Aktualisierung von CPS häufig über VPNs. Allerdings haben sich diese zunehmend als unsicher und komplex in der Verwaltung erwiesen. „Darüber hinaus bieten die meisten VPNs einen breiten Netzzugang, und die Bemühungen, diesen breiten Zugang auf einer granulareren Ebene einzuschränken, führen zu einer komplexen und kostspieligen Kontrolle“, so die Analysten von Gartner.
Um die einzigartigen und komplexen Sicherheitsherausforderungen zu bewältigen, die sich aus der Zunahme des CPS-Fernzugriffs ergeben, wurde „xDome Secure Access“ speziell für die besonderen Anforderungen des OT-Bereichs entwickelt. Die Lösung schafft das perfekte Gleichgewicht zwischen reibungslosem Zugriff und sicherer Kontrolle über die Interaktion von Dritten mit cyber-physischen Systemen. Auf diese Weise wird die Produktivität gesteigert, die Komplexität und das Risiko reduziert und die Compliance für Anwender und Partner sichergestellt. Durch die Integration grundlegender Sicherheitsprinzipien wie Identity-Governance and Administration (IGA), Privileged-Access-Management (PAM) und Zero-Trust-Network-Access (ZTNA) bietet Claroty-xDome-Secure-Access umfassende Sicherheit für die CPS-Landschaft.
Die wichtigsten Vorteile:
- Höhere Produktivität: Der nahtlose Zugriff sowohl für Anwender als auch für Dritte reduziert die MTTR (Mean Time to Repair), indem er eine schnellere Problemlösung ermöglicht, unter Bedingungen mit geringer Bandbreite arbeitet, eine hohe Systemverfügbarkeit und die Ausfallsicherheit kritischer Standorte gewährleistet.
- Reduzierte Risiken: Die Lösung umfasst ein maßgeschneidertes Zero-Trust-Framework, PAM- und IGA-Funktionen zur Verbesserung des Incident-Managements, der Zugriffskontrollen und der Systemüberwachung. So können Unternehmen den gesamten Identity-Lifecycle von der Einführung bis zur Außerbetriebnahme mit äußerster Präzision steuern und damit ihre Risiken nachhaltig reduzieren.
- Geringere Komplexität: Die skalierbare, Cloud-basierte Architektur bietet die Flexibilität, sowohl vor Ort als auch in der Cloud nahtlos zu arbeiten, und reduziert so die administrative Komplexität erheblich. Die Lösung vereinfacht auch administrative Aufgaben, die eine ständige Überwachung erfordern, indem sie sich nahtlos in Identitäts- und Zugriffsmanagement-Tools (IAM) integriert, das Identitätsmanagement verbessert und eine zentrale Standortverwaltung und Richtlinienerstellung ermöglicht.
- Compliance einhalten: Die Lösung orientiert sich an den wichtigsten Richtlinien und bietet die erforderlichen Kontrollen für die Echtzeitprotokollierung und -prüfung von Benutzeridentitäten. Dies ist für umfassende Audit-Trails und die Einhaltung gesetzlicher Vorschriften von entscheidender Bedeutung, um Unternehmen vor möglichen rechtlichen und finanziellen Strafen zu schützen.
„Reibungsloser Zugang zu industriellen CPS-Assets ist für die Maximierung der Geschäftsergebnisse unerlässlich, allerdings sind viele dieser Anlagen traditionell ‚insecure by design‘. Ein sicherer CPS-Zugriff erfordert ein präzises Zugriffsmanagement, Identitätsmanagement, privilegierten Zugriff und Identity-Governance-Funktionen, die alle für die hohen Anforderungen, Umgebungsbedingungen und Risikotoleranzen von OT-Umgebungen ausgelegt sind. Jeder Zugriff auf ein OT-Gerät ist per Definition ein privilegierter Zugriff, da er sich auf die Sicherheit und Verfügbarkeit auswirken kann“, sagt Grant Geyer, Chief Product Officer bei Claroty. „Claroty-xDome-Secure-Access bietet nicht nur reibungslosen Zugang zur Maximierung der Produktivität, sondern auch integrierte Sicherheit, die für den Anwender unsichtbar ist, was für den Schutz kritischer Infrastrukturen entscheidend ist.“
#Claroty
