Zero-Trust - ein Konzept für bessere
Cybersicherheit in der Industrie 4.0?

Interview mit Carsten Marmulla

Die umfassende Digitalisierung der Produktion, welche häufig unter dem Trendbegriff “Industrie 4.0” zusammengefasst wird, birgt große Herausforderungen in der Konzeption und Umsetzung. Insbesondere gilt dies in Bezug darauf, Kommunikationsverbindungen zwischen Informationstechnologe (IT) und Operativer Technologie (OT) sicher zu gestalten und Cyberangriffe zu verhindern. Zum Schutz und zur Härtung dieser häufig auch kritischen Infrastrukturen (KRITIS) raten Experten zu an Risiko- und Schutzniveau anpassbaren Methodenansätzen wie beispielsweise “Zero Trust”-Konzepten oder der Implementierung von CARTA.

Carsten Marmulla, Senior Trusted Advisor und Geschäftsführer von carmasec sowie Experte für IT-Governance, Risk & Compliance, stellt uns im Interview den “Zero Trust”-Ansatz vor, analysiert Anwendungsfälle und spricht über die praktische Umsetzungen in Unternehmen.

 

Zum Autor

Profilbild Carsten Marmulla Geschäftsführer carmasecCarsten Marmulla ist Managing Partner der auf Cybersicherheit spezialisierten Beratungsboutique carmasec mit Hauptsitz in Essen. Als „Trusted Advisor“ ist er seit mehr als 20 Jahren Ansprechpartner für die Themenbereiche IT-Governance, Risk & Compliance sowohl bei mittelständischen Unternehmen als auch im Konzernumfeld.

Kontaktieren Sie Carsten Marmulla bei Rückfragen oder für eine kostenfreie Erstberatung

 

Frage:

Herr Marmulla, zunächst möchten wir die Begriffe klären: Was besagt das Konzept des “Zero Trust”? Warum wurde es entwickelt?

Antwort:

Risk ManagementDas Konzept von “Zero Trust” ist nicht neu. Die Idee entstand bereits im Jahr 2003 aufgrund der Feststellung, dass der reine Perimeterschutz, also die Abschirmung von vermeintlich vertrauenswürdigen Geräten gegen externe Kommunikationspartner durch eine Firewall, irgendwann nicht mehr ausreichen würde, um das notwendige und erwünschte Schutzniveau aufrecht erhalten zu können. Aufgrund des rein quantitativen und teils exponentiellen Wachstums von IoT-Geräten (Internet of Things) sowie dem Wunsch zur smarten Vernetzung aller Produktionsanlagen mit dem Internet kann man die Größenordnung der Problemstellung erahnen. Gleichzeitig gibt dies einen ersten Eindruck von den zu erwartenden Schwierigkeiten bei der Realisierung eines gleichmäßig hohen und angemessenen Schutzniveaus. Hinzu kommt die ebenfalls steigende Zahl von Arbeitsgeräten aus der Office-IT, die ebenso wie die zunehmend genutzten Cloud-Dienstleistungen bei der Risikobetrachtung berücksichtigt werden müssen.

Der “Zero Trust”-Ansatz geht zunächst davon aus, dass grundsätzlich jedem neuen Gerät kein Vertrauen entgegengebracht wird. Dies ist unabhängig von dem Netz, in dem es sich befindet, und der Person, in deren Besitz und Verantwortung sich dieses Gerät befindet. Beim Aufbau von Kommunikationsverbindungen muss somit ein gegenseitiges Vertrauensverhältnis anhand definierter Parameter aufgebaut und eine beidseitige Authentifizierung der Gegenstellen durchgeführt werden.

Frage:

Warum ist klassischer Perimeter-Schutz in der heutigen Zeit nicht mehr sicher? Wo sehen Sie die größten Risiken?

Antwort:

Spätestens die aktuelle Ausnahmesituation hat uns gezeigt, dass bei der Umstellung auf Telearbeit in Form von “Home-Office” oder “Remote-Work” klassische Perimeterabsicherungen als Schutz vor Cyberkriminalität nicht ausreichend wirksam sind. Da in diesem Fall der Zugriff auf unternehmensinterne Daten und Systeme aus und mit weniger gut abgesicherten Infrastrukturen erfolgen, können Schwachstellen durch Angreifer schneller und effektiver ausgenutzt werden. Dazu gibt es zahlreiche Beispiele von leider erfolgreichen Cyberangriffen durch Erpressungstrojaner (“Ransomware”), wie beispielsweise im Dezember 2020 bei der Funke Mediengruppe in Essen. Deren automatisierte Produktionsstraßen für die Regionalteile der Tageszeitungen wurden kompromittiert. Als Folge konnte über mehrere Wochen lediglich ein Notbetrieb aufrecht erhalten werden und viele Prozessabläufe mussten wieder auf langsamere, manuelle Arbeitsweisen umgestellt werden.

Mit einem erfolgreich umgesetzten “Zero Trust”-Ansatz hätte auch diese Cyberattacke in ihren Auswirkungen vermindert oder sogar vollständig verhindert werden können, da die Bedingungen für ein Vertrauensverhältnis zwischen Kommunikationspartnern nicht nur statische Rahmenbedingungen erfüllen müssen, sondern auch adaptiv auf die jeweiligen Situationen anpassbar sind. Marker für die Kompromittierung von Systemen (so genannte “Indicators of Compromise, IoC”) können auch in dieser Konzeption dynamisch berücksichtigt werden.

Darüber hinaus existiert als erweitere Methodik der im Jahr 2017 vom internationalen Marktforschungs- und Beratungsunternehmen Gartner entwickelten Ansatz namens “CARTA” (“Continuous Adaptive Risk and Trust Assessment”, dt.: “Kontinuierliche und adaptive Risiko- und Vertrauensbewertung”). Diese setzt auf Basis der “Zero Trust”-Methodik auf und erweitert diese um eine kontinuierliche Überwachung der Infrastrukturkomponenten sowie eine dynamische Prüfung auf Anomalien und Abweichungen zu definierten Verhaltensweisen in Form eines “Whitelistings”.

Frage:

Mit der Entscheidung für die Umstellung vom klassischen Perimeterschutz auf Zero Trust sind sicherlich nicht nur Vorteile verbunden, denn der Paradigmenwechsel erfordert zunächst initial einen Aufwand bei der Konzeption und Implementierung. Auch erhöht sich im Regelbetrieb tendenziell die Reaktionszeit, da mittels Handshake die gegenseitige Authentifizierung bei jeder Kommunikationsverbindung neu und adaptiv zu prüfen ist. Für wen lohnt sich dieser Aufwand?

Antwort:

Zero-Trust-Konzept: Sicherung von WindmühlenparksGrundsätzlich lohnt sich die Umsetzung von “Zero Trust”- Konzepten zum Schutz von dezentral organisierter kritischer Infrastruktur wie beispielsweise Windkraft- oder Industrieanlagen. Jedes Windrad enthält beispielsweise einen kleinen Steuerungscomputer, der ursprünglich nicht dafür entwickelt und produziert wurde, um dauerhaft mit dem Internet verbunden zu sein. Entsprechende gängige Sicherheitsmaßnahmen zum Schutz vor unautorisiertem Zugriff sind dementsprechend nicht Design-Bestandteile in der Entwicklung gewesen. Deshalb sind Angriffe auf diese Infrastrukturen leider bereits mit sehr einfachen Mitteln wirkungsvoll. Sie können für den Betreiber umsatz- und geschäftsschädigend sein und zudem Haftungsprobleme auslösen. Hier sind Betreiber gut beraten, Risiken bereits im Vorfeld des Einsatzes zu analysieren und ggf. zusätzliche Maßnahmen zur Sicherung dieser kritischen Infrastrukturen einzuplanen.

Unternehmen mit mehreren Produktionsstandorten oder einem hohen Aufkommen von Tele-Arbeit, die kritische Daten verarbeiten, sollten ebenfalls grundsätzlich jegliche Kommunikationsverbindungen hinterfragen. Weitere Anwendungsfälle sind im Maschinenbau oder im Gesundheitswesen zu finden – sicherlich erinnern sich viele an die Attacke auf die Europäische Arzneimittel-Agentur im Dezember 2020; Ziel des Angriffs waren hier Daten zum Corona-Impfstoff von BioNTech/Pfizer.

“Zero Trust”- Konzepte sind aber nicht für jeden Betrieb umsetzbar, da sie hinsichtlich der Komplexität und bzgl. des Aufwands bei Konzeption, Implementierung und Betriebsmanagement nicht für jeden Anwendungsfall geeignet sind. Es empfiehlt sich auch hier ein risikoorientierter Ansatz, der die bestehende Infrastruktur hinsichtlich Volumen und Komplexität bewertet und pragmatisch möglichst wirksame Maßnahmen für das jeweilige Anwenderunternehmen bietet.

Frage:

Der “Zero Trust”-Ansatz wurde zum ersten Mal im Jahr 2003 vom Jericho Forum (heute: The Open Group) vorgestellt. Im Jahr 2014 wurde vom Schweizer Security-Ingenieur Gianclaudio Moresi die erste Systemumgebung nach “Zero Trust”-Prinzipien aufgebaut. Aus Ihrer Perspektive als Unternehmensberater: Warum werden im Jahr 2021 nicht verstärkt innovative und wirksame Methodiken zum Schutz vor Cyberangriffen eingesetzt anstatt am Perimeterschutz festzuhalten?

Antwort:

Es fehlt an einem risikobasierten Ansatz, um überhaupt eine Bewertungsgrundlage zu haben und darauf aufbauend Entscheidungen treffen zu können. Das Sicherheitsniveau durch Perimeterschutz kann sehr trügerisch und unzureichend sein: Wenn man nicht regelmäßig die Wirksamkeit der risikomindernden Maßnahmen überprüft, wird erst bei der Entdeckung eines Sicherheitsvorfalls der Mangel und ein entsprechender Handlungsbedarf sichtbar.

Allerdings erleben wir gerade in der aktuellen Ausnahmesituation, dass Unternehmen umdenken, sich auch im Bereich der Cybersicherheit an die Rahmenbedingungen anpassen und sich neuen Ansätzen öffnen. Krisensituationen sind schwer vorhersehbar und “schwarze Schwäne” haben eine sehr niedrige Eintrittswahrscheinlichkeit, gleichzeitig aber enormes Schadenspotential. Und die Ausnahme wird zunehmend zur neuen Regel: in der so genannten VUCA-Welt müssen wir lernen, mit Unsicherheiten und Unplanbarkeiten umzugehen und uns hierauf besser vorzubereiten. Methodisch sind die Lösungsansätze in vielen Variationen bereits erprobt und getestet, es fehlt manchmal noch der “letzte Ruck” für die wegweisende Entscheidung.

Der Perimeterschutz war über eine lange Zeit eine gute Lösung und ist teilweise immer noch angemessen. Im Rahmen des Risikomanagements ist jedoch zu prüfen, ob dies für die jeweiligen Rahmenbedingungen weiterhin zutrifft.

Frage:

Häufig besteht die Herausforderung für einen mittelständischen Geschäftsführer in der Umsetzung von Maßnahmen der Cybersicherheit nicht im strategischen Verständnis, sondern in der operativen Durchführung. Was raten Sie Ihren Kunden, die eine “Zero Trust”-Architektur in ihrer Infrastruktur implementieren wollen?

Antwort:

Mittelständische Unternehmer stehen heutzutage in einem international umkämpften Wettbewerbsumfeld und müssen sich im Rahmen der Digitalisierung grundsätzlich Gedanken machen, wie sich Geschäftsmodelle optimieren lassen. Hierbei hat die Abgrenzung gegenüber Mitbewerbern ebenso Relevanz wie die bessere Vermeidung negativer Geschäftsauswirkungen.

Die Themenfelder Cybersicherheit und Digitalisierung sind schon jedes für sich genommen komplex und umfangreich. In der Kombination kann schnell der Eindruck entstehen, dass es schier unmöglich ist, diese professionell zu meistern. Dabei werden häufig übersteigerte Erwartungshaltungen in diese Themen projiziert. Es geht nicht darum, das nächste “Fort Knox” aufzubauen oder Perfektion anzustreben. Gerade im Kontext der Cybersicherheit ist der erste Schritt entscheidend, der Wille den Status Quo zu verbessern und sein Unternehmen bewusst besser gegen Cyberangriffe zu schützen. Dann fällt es auch leichter, sich mit verschiedenen Methodenmodellen und “Best Practices” auseinander zu setzen und diese zum eigenen Vorteil für sich anzupassen und im Unternehmen einzuführen. Mit Hilfe von Modellen zur Messung von Reifegraden im Bereich der Cybersicherheit und der Cyber-Resilienz ist dann auch belegbar, wie gut ein Unternehmen im Vergleich zum Wettbewerb positioniert ist und wie das Kosten-/Nutzenverhältnis ist.

Ein weiterer früher Schritt ist die Etablierung eines Risikomanagements für ein Unternehmen, in dem Bedrohungen und Schwachstellen erfasst, analysiert, bewertet und klassifiziert werden. Danach können zielgerichtet Maßnahmen definiert und implementiert werden. Dies kann als ein Beispiel auch die Konzeption und Implementierung einer “Zero Trust”-Architektur im Unternehmen sein.

Lesetipps

Bildschirm mit Mouseklick auf Security-Button

Whitepaper

Risiko und Vertrauen: Mit dem CARTA-Ansatz sicher digital vernetzen

Key Art zum Whitepaper Reifegradmodelle in der Cybersicherheit

Whitepaper

Reifegradmodelle für die Cybersicherheit Ihres Unternehmens

Logo The Open Group

Zero Trust Security Architecture

Website der Zero Trust Architecture (ZTA) Working Group.