Nach Oben
Themen Industrie 4.0 Themenfelder
Zurück

Netzwerksegmentierung

Torben Griebe 28. August 2023
Wenn es darum geht, eine gewisse Hygiene innerhalb einer digitalen Infrastruktur zu pflegen, ist die Netzwerksegmentierung einer der wichtigsten Aspekte. Die Unterteilung in verschiedene Segmente hat dabei nicht nur organisatorische Vorteile, sondern bietet einen entscheidenden Mehrwert, wenn es um Effizienz und Sicherheit geht.

Die voranschreitende Digitalisierung, Vernetzung und die industrielle Automatisierung sind nicht immer im Einklang und der Schutz kritischer Infrastrukturen ist dadurch zunehmend herausfordernd. Im Gegensatz zu den meisten Unternehmen, wo der Anteil benutzerbasierter Endgeräte überwiegt, sind produzierende Betriebe zusätzlich gefordert. Geschäftskritische Systeme wie Maschinen mit teilweise veralteten Kommunikationsprotokollen und damit potenziell grösserer Angriffsfläche, müssen gut abgeschirmt und speziell geschützt werden.

Dabei spielt die saubere Trennung von Systemen in verschiedene Schichten eine essenzielle Rolle. Die Gruppierung und Unterteilung von Gerätschaften und Systemen in unterschiedliche Bereiche oder Zonen, ermöglicht es die Interaktion auf zwingend erforderliche Prozesse zu reduzieren. So kann man Datenströme besser koordinieren und steuern, Anomalien schneller erkennen und damit die Gefahr von einem erfolgreichen Cyber Angriff (Lateral Movement) oder sogar einem Produktionsausfall stark einschränken.

 

Sachlage

Bereits seit 40 Jahren gibt es Ansätze zur Trennung von Systemen in Schichten, wie z.B. das ISO/OSI-Referenzmodell in der Netzwerkkommunikation, welches mitunter die entsprechenden Standards innerhalb eines Netzwerks definiert hat. Heute gilt es jedoch nicht nur die Kommunikation sicherzustellen, sondern jede Ebene wo ein Datenaustausch stattfindet, gesondert abzusichern. Laut aktuellen Umfragen, hatten 9 von 10 Unternehmen in der Vergangenheit unerlaubte Zugriffe auf Ihre Systeme festgestellt und davon hatten über die Hälfte Auswirkungen auf OT-Systeme. Dies legt nahe, dass die strikte Trennung von produzierenden und datenverarbeitenden System-Schichten nur in den wenigsten Fällen ausreichend umgesetzt wurde.

Diese Trennung bedingt eine hohe Aufmerksamkeit und die stete Anpassung an aktuelle Standards und Ausgangslagen. So schützen inzwischen einige Unternehmen Ihre fragilsten Teilnetzwerke mit dedizierten Firewalls, Zugriffskontrollen und anderen erweiterten Schutzmechanismen.

 

Handlungsempfehlungen

Generelle Segmentierung

Trennen Sie Ihr Netzwerk in Teilsegmente auf und achten Sie darauf, dass der Datenfluss nur dann und dort stattfindet, wo dies auch erforderlich und gewollt ist

Asset Management

Stellen Sie sicher, dass Sie sämtliche Gerätschaften (IT/OT) und deren Funktion in Ihrer Umgebung kennen und dokumentiert haben

Klare Richtlinien

Basierend auf den ersten beiden Empfehlungen, sollten Sie verbindliche Richtlinien in Hinblick auf die Funktion, die Sicherheitsanforderungen und den Datenaustausch der jeweiligen Segmente festlegen

Zugriffssteuerung

Definieren Sie wer, wann und wo auf Daten und gewisse Segmente zugreifen kann. Dies kann in Form von Berechtigungen oder auch eigens dafür ausgelegten Komponenten geregelt werden

Monitoring

Überwachen Sie sämtliche Vorgänge innerhalb Ihres Netzwerks und legen Sie dabei ein Augenmerk auf die Parameter der produzierenden Umgebung wie auch auf sicherheitsrelevante Vorgänge

 

Interview

Im Gespräch mit Torben Griebe,  Project Manager / Lead Information Security Expert bei Supercomputing Systems AG, haben wir tiefgreifende Einblicke in die Thematik der Trennung von IT- und OT-Umgebungen gewonnen. Die gewonnenen Einsichten verdeutlichen die Bedeutung einer sorgfältigen Segmentierung für die Sicherheit industrieller Systeme. Dieses Interview offenbart die Gründe hinter dieser Sicherheitsmassnahme und zeigt auf, welche möglichen Konsequenzen eine Vernachlässigung dieser Prinzipien haben kann.

Warum sollte man beispielsweise den Office Layer (IT/Büro-Umgebung) vom Production Layer (OT/Produktionsumgebung) trennen?

Torben Griebe: Die Anforderungen und technischen Gegebenheiten in einer IT-Umgebung unterscheiden sich stark von denen in einer OT-Umgebung. In einer OT-Umgebung haben normalerweise Verfügbarkeit und Integrität eine höhere Priorität als Vertraulichkeit von Daten. IT-Systeme sind nahezu immer am Internet angeschlossen, bei OT-Systemen versucht man dies nach Möglichkeit zu vermeiden.

Daher ist es sinnvoll IT- und OT-Umgebungen voneinander zu trennen. Als Leitfaden empfehle ich hier sehr gerne das Purdue Modell, welches die verschiedenen Bereiche der IT und OT hierarchisch in Zonen segmentiert.

 

Muss ich Teilsegmente nochmals gesondert absichern oder reicht es diese weitestgehend voneinander getrennt zu halten?

Torben Griebe: Eine Absicherung der Teilsegment mit zugeschnittenen Security Controlls ist auf jeden Fall zu empfehlen. Es kann auch sinnvoll sein, die Teilsegmente noch weiter zu unterteilen, z.B. nach Gerätehersteller oder Produktionslinie.

Eine Business Impact Analyse oder Risikoanalyse, z.B. gemäss Standard ISA/IEC 62443, kann bei der Escheidung helfen, ob und wie die Teilsegmente zusätzlich abgesichert werden sollten.

 

Wie stelle ich sicher, dass Daten trotzdem in der IT aufbereitet und genutzt werden können?

Torben Griebe: OT-Systeme speichern anfallende Daten üblicherweise zentral in einem sogenannten Data Historian.

In der IT können diese Daten dann gelesen und nach Belieben weiterverarbeitet werden. Oder aber der Data Historian synchronisiert die Daten von sich aus auf einen Server in der IT. Mittels Zugriffsberechtigungen, Firewallregeln oder sogar dedizierter Hardware, z.B. einer Datendiode, können unberechtigte Zugriffe verhindert werden.

 

Was sind die möglichen Auswirkungen, wenn ich keine Segmentierung betreibe und mein Netzwerk flach halte?

Torben Griebe: Wie anfangs gesagt, IT-Systeme sind fast immer am Internet angebunden. Bei einer flachen Netzwerkarchitektur ist die Gefahr gross, dass auch die OT-Systeme vom Internet erreichbar sind. Dies erhöht die Wahrscheinlichkeit eines Angriffs auf die OT-Umgebung enorm.

Zusätzlich kann ein erfolgreicher Angriff nicht nur die Existenz eines Unternehmens sondern mitunter auch die persönliche Sicherheit gefährden.

Selution AG

Selution ist Experte für ganzheitliche Sicherheit und IT-Lösungen schweizweit. Sie begleiten Unternehmen bei digitalen Transformationen und schützen sie durch Managed Security Services vor modernsten Bedrohungen und Hackerangriffen.

www.selution.ch

Supercomputing Systems AG

Ihre Industrie 4.0 - Visionen in die Realität zu führen, ist unsere Passion und unser Antrieb. Von der Idee über die Machbarkeit und den Prototypen bis zur Industrialisierung und den Betrieb - wir unterstützen Sie in allen Phasen.

www.scs.ch
+41434561600
Torben Griebe

Torben Griebe

Lead Information Security Expert | Supercomputing Systems

Elija Boss

Account Manager, Selution AG

Unsere Website verwendet Cookies, damit wir die Page fortlaufend verbessern und Ihnen ein optimiertes Besucher-Erlebnis ermöglichen können. Wenn Sie auf dieser Webseite weiterlesen, erklären Sie sich mit der Verwendung von Cookies einverstanden.
Weitere Informationen zu Cookies finden Sie in unserer Datenschutzerklärung.

Wenn Sie das Setzen von Cookies z.B. durch Google Analytics unterbinden möchten, können Sie dies mithilfe dieses Browser Add-Ons einrichten.