ClickCount-Tag
https://ad13.adfarm1.adition.com/redi?sid=4306557&gdpr=${GDPR}&gdpr_consent=${GDPR_CONSENT_39}&kid=6481691&bid=19736518
Security-Maßnahmen können im Extremfall die Arbeit im Unternehmen behindern. Um diese Over-Security zu verhindern, setzt Stefan Rabben, Sales Director DACH bei Wallix, auf Privileged Access Management und Digital Trust. Damit sei der Spagat zwischen Sicherheit und Produktivität zu meistern.
IoT4industry&business: OT-Security rückt immer mehr in den Fokus der Aufmerksamkeit. Wo liegen die größten Herausforderungen?
Stefan Rabben: Die größte Herausforderung ist tatsächlich, dass IT und OT organisatorisch noch nicht zusammengefunden haben und die Cybersecurity meist in der IT aufgehängt ist. Doch dort werden die OT-Komponenten, die für Produktionsprozesse notwendig sind, nicht vollständig berücksichtigt. Denn die OT-Infrastrukturen sind anders gebaut. Es gibt dort Systeme, die andere Protokolle sprechen oder schon so veraltet sind, dass sie nicht mehr den gängigen Sicherheitsanforderungen entsprechen. Man kann aber nicht jedes Mal einen Roboter, der eine halbe Million Euro gekostet hat, wie eine neue Softwareversion austauschen. In den IT-Abteilungen fehlen häufig die Kenntnisse, was man stattdessen tun kann. Wir müssen schauen, dass wir Möglichkeiten und Wege finden unsichere Protokolle, Betriebssysteme und Maschinen trotzdem sicher anzubinden. Wir müssen also die Sicherheit ein bisschen anders denken. Digital Trust wäre ein Ansatz, um die IT und die OT zumindest soweit über gemeinsame Schnittstellen zu vereinen, dass auch die IT-Security in die Lage versetzt wird, die Kontrolle über die OT-Systeme mit zu übernehmen.
IoT: Glauben Sie, dass die IT-Security auch etwas von der OT-Security lernen kann?
Stefan Rabben: Ja, absolut. Die OT hat immer schon sehr pragmatisch agiert. Sie war immer darauf ausgerichtet Dinge zu beschleunigen. Da wurden Skripte erstellt, Zugangsdaten, Benutzernamen und Passworte statisch in ein Script geschrieben. Negativer Effekt war die Möglichkeit eine Schatten-IT zu schaffen. Ich glaube schon, dass die IT in dem einen oder anderen Punkt von der OT lernen könnte, etwas pragmatischer zu sein. Und sicherlich muss die IT auch lernen, dass die OT andere Prioritäten hat. Aber am Ende des Tages dürfen wir nicht vergessen, dass IT und OT dem gleichen Ziel dienen: nämlich der Profitabilität und dem Erfolg des Unternehmens.
IoT: Die Pandemie hat uns sehr viele intelligente Features beschert. Was hat sich rückblickend als positiv bzw. negativ herauskristallisiert?
Stefan Rabben: Sehr viele Projekte und Arbeiten, die früher ausnahmslos vor Ort gemacht werden mussten, passieren mittlerweile remote. Und das ist ein sehr positiver Outcome der Corona-Pandemie. Auch viele kleine Unternehmen haben Möglichkeiten und Schnittstellen geschaffen, um von außen auf ihre Systeme zugreifen zu können. Auf der anderen Seite hat das aber die Angriffsflächen vergrößert und neue Risiken geschaffen. Gerade durch Remote-Verbindungen sind neue Hintertüren entstanden und das haben die Hacker sehr schnell erkannt. Mittels unserer Expertise im Privileged Access Management sehen wir es bei Wallix als unsere Aufgabe dafür zu sorgen, dass die Mitarbeiter und externen Partner einerseits remote zugreifen können und andererseits technologische Funktionen haben, damit eine sichere, verschlüsselte, eindeutig identifizierbare sowie nachvollziehbare Verbindung entsteht.
IoT: Wallix stellt ein Whitepaper mit sieben Schritten zur Verbesserung der OT-Sicherheit zur Verfügung. Können Sie uns die Details erklären?
Stefan Rabben: Diese sieben Schritte sind ein bisschen wie eine Checkliste und Best Practice zugleich. Der erste Schritt ist die Festlegung und Ausarbeitung eines wirksamen Governance-Modells. Es müssen zuerst die organisatorischen Maßnahmen festgeschrieben sein. Ohne die geht es nicht. Im zweiten Schritt geht es um die Bereitstellung der Geräte- und Netzwerktopografie. Welche Systeme sind besonders schützenswert, was ist hochkritisch? Der dritte Punkt legt die Netzwerksegmentierung fest. Wo liegen die kritischen Systeme? Muss ich sie voneinander trennen? Weiter geht es zur Zentralisierung und Sicherung des Remote-Zugriffs als Schritt vier. Da geht es um die Schnittstellen für den Fernzugriff und darum die ganzen Hintertürchen in den Firewalls zu eliminieren. Der fünfte Schritt behandelt die Sicherung des Benutzerzugriffs. Jeder Nutzer hat eine bestimmte Rolle und damit bestimmte Rechte – oder eben nicht. Bei der Sicherung der Endgeräte im Schritt sechs geht es ganz klar um die End-to-end-Security. Denn auch ein Produktionsroboter oder der Windows Server, auf dem alles gesteuert wird, ist ein Endgerät innerhalb dessen es bestimmte Einschränkungen gibt. Und der letzte Punkt ist die Einhaltung der regulatorischen Vorgaben. Wie kann ich die vorangegangenen sechs Schritte leicht darstellen? Wir wollen keine ‚Over-Security’ haben, die nur Einschränkung bedeutet. Denn die OT-Mitarbeiter sollen weiter ihren Job machen können. Es geht um eine vernünftige rollen- und risikobasierte Einschätzung. Und damit gibt es dann einen vernünftigen Leitfaden.
IoT: Das klingt sehr kompliziert. Es scheint verständlich, dass viele Unternehmen sich scheuen mit dem Ausrollen einer Security-Strategie zur starten.
Stefan Rabben: Wir sehen diese Scheu oft, tatsächlich anzufangen und einen Anforderungskatalog zu schreiben. Viele Unternehmen wissen, dass sie etwas machen müssen, verschieben aber aus Angst vor einem Berg Arbeit gleich alles. Daher gehen wir sehr pragmatisch an ein Projekt wie das Access-Management heran. Im Normalfall weiß der Kunde was seine wirklich kritischen Systeme sind. Wenn die ausfallen, dann steht die Produktion still. Und sie haben grundsätzlich eine relativ klare Idee davon, wer wie und auf was zugreifen können soll. Wir helfen den Kunden über Vergleiche und Erfahrungen ein Konzept zu überarbeiten oder teilweise neu zu schreiben, um die strukturierten Beziehungen herauszuarbeiten. Diesen Prozess machen wir mit unseren Kunden innerhalb von ein paar Tagen durch. Und der Kunde hat schnell sein Aha-Erlebnis, weil er eine ganz klare Übersicht bekommen hat.
IoT: Sie haben den Begriff Digital Trust erwähnt. Was bedeutet dieser Ansatz?
Stefan Rabben: Ein gängiges und auch sehr bekanntes Prinzip ist Zero Trust. Das bedeutet, dass niemandem vertraut wird. Digital Trust ist eine Weiterentwicklung. Dieser Ansatz spricht den Technologien und den Mitarbeitern in einer gewissen Art und Weise ein digitales Vertrauen aus und bietet ein zusätzliches Auffangnetz. Die Idee dahinter ist es, eine Situation zu schaffen, in der man sagt: Eigentlich vertraue ich einem Benutzer nicht, aber ich habe digitale Maßnahmen in der OT-Security ergriffen, die es dem User ermöglichen, dennoch seine Arbeit zu machen, ohne durch Sicherheitsmechanismen behindert zu werden. Das bedeutet: Sollte doch irgendwo etwas schief gehen, würden technische Maßnahmen einen möglichen Vertrauensmissbrauch unterbinden. Zero Trust klingt nur nach Ablehnung. Und das behindert auch die Produktivität. Gerade in der OT spielt Produktivität eine sehr große Rolle. Und wenn man da mit zu viel Security kommt, die nicht intelligent oder vorausdenkend eingesetzt ist, dann kann das auch die Produktionseffizienz deutlich verringern.
IoT: Können Sie konkrete Beispiele für einen Privileged Access nennen?
Stefan Rabben: Ein System-Administrator könnte rein theoretisch über die Microsoft Management Console einfach einen neuen Account anlegen, der als Bypass und als Backdoor verwendet werden könnte. Ein Regelwerke unterbindet das und sagt: Auf einem Hochrisiko-System werden keine zusätzlichen Accounts angelegt oder die Zwischenablage ist nicht verfügbar und auch der Datei-Up- und -Download ist nur eingeschränkt möglich bzw. nur, wenn vorher ein Anti-Malware-Scan stattgefunden hat. Ein weiteres Beispiel betrifft einen Datenbank-Administrator, der die Datenbanken aktualisieren, patchen oder einfach auf den neuesten Stand bringen muss. Das soll er auch tun, aber er soll die Datenbank auf gar keinen Fall kopieren oder irgendwelche Abfragen machen können. Wir versuchen mit den entsprechenden Policies den Zugriff so weit einzuschränken, dass die Sicherheit nicht gefährdet ist. Aber ohne die eigentliche Tätigkeit zu unterbinden. Sollte in irgendeiner Art und Weise doch ein Missbrauch passieren, dann kann man sehr schnell sehen, wo es passiert ist und kann Abhilfe schaffen. Diese Nachvollziehbarkeit oder Struktur ist etwas, was am Ende des Tages dem Unternehmen sehr viel mehr bringt als nur Inselweise zu patchen oder irgendwo eine Sicherheitstechnologie anzuwenden und dabei trotzdem den Blick aufs Ganze nicht zu haben.
IoT: Wie erreichen Unternehmen die viel zitierte Cyberresilienz?
Stefan Rabben: Wenn man wirklich Cyberresilienz erreichen will, muss man organisatorisch sehr viel machen. Und am Ende des Tages gibt es dann noch die menschliche Komponente. Damit müssen sich die Unternehmen auseinandersetzen und ihre Mitarbeiter schulen, damit sie nicht auf Ransomeware- oder Phishing-Attacken hereinfallen. Und wir müssen uns auch den ethischen und rechtlichen Prozess anschauen. Der Schutz des Unternehmens hat natürlich Vorrang. Dennoch kann man nicht einfach die Benutzer-Aktivitäten von jedem Mitarbeiter überwachen und auswerten. Es muss einen zwingenden Grund geben, wenn man eine mögliche Verbindung im Nachhinein auditiert. Daher raten wir unseren Kunden, so früh wie möglich den Betriebsrat miteinzubinden. Der muss wissen, dass das ein Tool der Cybersecurity ist und es nicht darum geht, die Mitarbeiter zu überwachen, sondern – ganz im Gegenteil– ihnen ein Sicherheitsnetz zu geben.
IoT: Die Cyberangriffe werden immer mehr und Cybersecurity ist nur der Oberbegriff für viele mögliche Maßnahmen, oder?
Stefan Rabben: Cybersecurity ist ein umfassendes Konzept, das man breitflächig ausrollen muss. Denn wenn man Sicherheitslücken und Hintertürchen in seinem Regelwerk hat, bringt die ganz Cybersecurity nichts. Deswegen muss man die verschiedenen Technologien wie Firewalls, Anti-Malware-Systeme, das Vulnerability Management und so weiter in Harmonie bringen. Und deswegen ist es wichtig, dass es Schnittstellen und Verbindungen gibt, die eine Integration ermöglichen. Wichtig ist, dass das Ganze mit Sinn und Verstand gemacht wird. Dass die Interaktion zwischen Benutzer und dem kritischen Target nach einem Regelwerk abläuft, das für das Unternehmen akzeptabel ist. Und dafür gibt es Best Practices und Erfahrungswerte, wie man so ein Konzept tatsächlich relativ schnell aufsetzt. Man muss sich neuen Technologien gegenüber öffnen. Denn auch die Cyberkriminalität entwickelt sich permanent weiter. Die Angriffe werden immer komplexer, werden immer schwerer nachvollziehbar und immer schwerer zu entdecken. Viele Unternehmen merken ja noch nicht mal, dass sie tatsächlich geleakt wurden und sich der Trojaner bereits innerhalb ihrer Mauern befindet. Wir sind gerade an einem Wendepunkt, an dem auch die Komplexität und die KI-gestützten Cyberangriffe exponentiell ansteigen werden. Und wenn man das ignoriert, dann kann es nur krachen.
