Share
Beitragsbild zu Mit Identity und Access Management zu NIS2-Konformität

Mit Identity und Access Management zu NIS2-Konformität

Die fertigende Industrie steht im Fadenkreuz von Cyberattacken. Angriffe nehmen nicht nur zu – laut aktuellen Studien vermeldeten z.B. Fertigungsunternehmen für Anfang 2023 über 700 Angriffe pro Woche (ein Anstieg von knapp 9% zum Vorjahr) – sondern werden zugleich raffinierter und stellen die Cybersicherheit von Industrien auf die Probe, welche in einigen Fällen ohnehin nicht optimal auf die besonderen Anforderungen von Operational Technology-Systemen (kurz OT) ausgelegt ist. Neue Regulierungen, wie beispielsweise NIS2, sollen nun länderübergreifend für mehr Sicherheit sorgen. Diese Neuauflage der NIS-Richtlinie betrifft kritische Industrien, und wird zudem von immer mehr Zulieferern dieser erwartet. Organisationen stehen bei der Umsetzung vor einigen Herausforderungen, allerdings gibt es auch elementare und einfach zu implementierende Sicherheitstechnologien, wie beispielsweise Privileged Access Management (PAM), die bereits viele der Anforderungen abdecken können.

Cybersecurity in der Industrie: Gefahren und Regulierungen

Während Unternehmen in allen erdenklichen Industrien Opfer eines Cyberangriffs werden können, bietet die fertigende Industrie durch die komplexen Verbindungen zwischen IT und der OT einige besondere Herausforderungen, die sich Hacker zu Nutze machen können.

Nicht ausreichend geschützte Maschinen können als Einfallstor in das Unternehmensnetzwerk missbraucht werden und Hackern somit Zugang zu einer Palette an Daten und Steuerungsfunktionen verschaffen. Beispielsweise können sie die Produktion lahmlegen und damit den kompletten Geschäftsbetrieb beeinflussen. Das besondere Gefährdungspotenzial ergibt sich aus den Kerneigenschaften der Industrie 4.0: Industrielle Netzwerke sind kleinteilig und stellen eine Vielzahl an Verbindungen zwischen den verschiedenen Maschinen, den Steuerungssystemen, sowie den Menschen, die diese Maschinen verwalten, her – Stichpunkt IoT Verknüpfung. Dabei entstehen Knotenpunkte zwischen verschiedenen Ebenen und Zuständigkeiten im Unternehmen – und da die Absicherung der jeweiligen IT- und OT-Systeme traditionell insular aufgebaut ist, können hier blinde Flecken entstehen.

Zunehmend werden auch externe Elemente oder Nutzer in das Netzwerk eingeführt, beispielsweise Zulieferer, Wartungspersonal oder Steuerungssysteme für Produktionsanlagen. Dabei ist es heutzutage beinahe unumgänglich, einen Remote-Zugang bereitzustellen, was jedoch auch eine entsprechende Anpassung der Sicherheitsstrategie erfordert.

Regulierungen für die Cybersicherheit in der Industrie – NIS2 im Fokus

Ganzheitliche Cybersicherheit im Unternehmen zu gewährleisten, wird nicht nur aus Geschäfts- und Reputationsgründen forciert, sondern auch von der Gesetzgebung vorgeschrieben. Mit NIS2 ist Anfang 2023 eine Richtlinie für die Vereinheitlichung und Stärkung der Cyberresilienz der Mitgliedsstaaten der EU in Kraft getreten, die bis Oktober 2024 in das nationale Recht umgesetzt werden muss. Die Neuauflage der „Network and Information Security (NIS) Directive“ erweitert auch die Anzahl der betroffenen Unternehmen:  NIS2 weitet sich nun auch auf mittelgroße und große Unternehmen in sogenannten „Kritischen Sektoren“ sowie „wesentliche“ und „wichtige Einrichtungen“ aus. NIS2 umfasst Maßnahmen wie das Cyber-Risikomanagement, die Offenlegung von Schwachstellen sowie die Sicherheit der Lieferkette, und auch von Zulieferern der betroffenen Unternehmen wird Compliance erwartet, was jedoch Einigen bis dato noch nicht bewusst ist.

PAM in OT – für mehr Sicherheit und Compliance

Um Compliance mit der NIS2-Richtlinie gewährleisten zu können, müssen betroffene Organisationen eine stabile, skalierbare Sicherheitspolitik etablieren und technische und organisatorische Maßnahmen ergreifen. Die Einhaltung sowie der Nachweis ist mit Aufwand verbunden, zielt jedoch darauf ab, die Sicherheit kritischer IT- und OT-Umgebungen zu stärken und sollte keinesfalls vernachlässigt werden.

NIS2 beruft sich unter anderem auf die Zuweisung von Zugangsrechten für Privilegierte Benutzer. Dies verfügen über bestimmte Berechtigungen innerhalb der Organisationsnetzwerke und es muss sichergestellt werden, dass nur tatsächlich befugte Nutzer auf sensible Ressourcen, seien es nun Daten oder der Zugang zu OT-Umgebungen, zugreifen können. Somit ist Privileged Access Management unumgänglich.

Besonders in komplexen OT-Systemen, die sich durch eine Vielzahl an Pfaden zwischen smarten Geräten und den Prozessebenen auszeichnen, muss definiert werden, welche Gruppen welche Berechtigungen erhalten, und dies zentral und sicher verwaltet werden. Grundsätzlich werden Zugänge und Berechtigungen dabei nach dem Least-Privilege-Prinzip vergeben, wonach Nutzer nur die Rechte erhalten, die davor anhand der Sicherheitspolitik der Organisation und den Richtlinien, die diese beeinflussen, für die jeweilige Rolle vorgesehen sind.

Der Zugang zum System erfolgt dank PAM durch einen Single Point of Access, wodurch das OT-Perimeter gesichert und ungesicherte Schnittstellen für Fernzugriffe eliminiert werden. Dies bedeutet jedoch nicht, dass keine Remote-Verbindungen mehr möglich sind. Auch diese werden – wie alle Systemnutzer – durch einen dreistufigen Sicherheitsprozess kontrolliert, bestehend aus Identifizierung, Authentisierung und Autorisierung. Dringt beispielsweise ein Hacker über ein nicht-gesichertes IoT-Gerät in das Unternehmensnetzwerk ein und versucht auf sensible Ressourcen zuzugreifen, wird das dank der fehlenden Berechtigungen erkannt und verhindert.

Um die Compliance mit NIS2 und weiteren Sicherheitsvorgaben nachzuweisen, ermöglicht ein PAM-Tool auch die Nachverfolgbarkeit der Zugriffe. Wie detailliert Sitzungen aufgezeichnet werden, kann dabei variiert werden – unter anderem anhand der Einstufung in verschiedene Risikoklassen, die gesonderte Sicherheitsmaßnahmen verlangen. Auf diese Weise können nicht autorisierte Zugriffe aufgezeigt und nachverfolgt werden – und in weitere Sicherheitsmaßnahmen mit einbezogen werden. Außerdem verpflichtet NIS2 die Unternehmen dazu, regelmäßige Risikobewertungen durchzuführen.

Fazit

Die Sicherung von OT-Landschaften stellt durch komplexe Verflechtungen innerhalb der Organisationsnetzwerke und einer Reihe von Regularien eine Herausforderung für Viele dar. Anhand der EU-weit eintretenden NIS2-Richtlinie zeigt sich, dass die Einhaltung dieser Sicherheitsvorgaben durch effizientes Privileged Access Management maßgeblich unterstützt werden kann. PAM verhindert unautorisierte Zugriffe auf Daten oder Systeme und erlaubt es den (berechtigten) Personen und Systemen dennoch, ohne Effizienzverlust zu arbeiten. Gleichzeitig ermöglicht es die Nachverfolgbarkeit der Sitzungen und unterstützt damit das Auditing.

Autor: Stefan Rabben, Area Sales Director DACH and Eastern Europe bei WALLIX Group

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden