Suche

IT/OT Segmentation

Schaffung von Festungen innerhalb der Festung

Eines der grundlegendsten Sicherheitsprobleme, das bei der Rückverfolgung erfolgreicher Angriffe festgestellt wurde, ist, dass Angreifer, sobald sie einen Zugangspunkt kompromittiert hatten, sich relativ leicht innerhalb des Netzes bewegen konnten. Während sich die äußere Begrenzung also als recht widerstandsfähig erwies, gab es praktisch keine Kontrolle, die die so genannten "lateralen Bewegungen" innerhalb des Netzwerks des Opfers einschränken konnte.

Die gute Nachricht ist: Es gibt eine Lösung für dieses Problem. Wenn ein Bedrohungsakteur erst einmal in einen einzelnen Teil des Netzwerks eingedrungen ist, z. B. in das Büro von Standort A, warum wird er dann nicht mit einer anderen Firewall konfrontiert, wenn er versucht, auf Standort B zuzugreifen? Warum sollte man ihn nicht mit einer viel schwieriger zu knackenden Firewall konfrontieren, wenn er versucht, auf die Buchhaltung zuzugreifen? Dies wird als "Segmentierung" bezeichnet, und obwohl dies zu den besten Praktiken gehören sollte, wird es oft übergangen, obwohl moderne Firewalls dies leicht umsetzen können, wenn sie richtig konfiguriert sind.

Nutzung der vollen Fähigkeiten einer Next-Gen Firewall

Die Segmentierung betrifft alle Schichten des OSI-Schichtenmodells. Neben einer rein physikalischen Trennung (Schicht 1), der Bildung virtueller LANs (VLAN) auf Schicht 2 und der Aufteilung eines Netzes in Subnetze (Schicht 3) ermöglichen die heutigen Technologien auch die strikte Isolierung des Netzverkehrs auf den höheren Schichten 4 -7, z. B. durch den Einsatz einer Next-Generation-Firewall (NGFW). Auch wenn die Segmentierung von Experten eingerichtet werden sollte: Ist sie einmal eingerichtet, wird sie sowohl Ihre Sicherheit als auch den Wert Ihrer Firewall massiv erhöhen.

Fokussierung auf den OT-Kontext

Industrielle Netzwerke verwenden sehr ähnliche Technologien, wie Sie sie von Ihrer Unternehmens- und Büro-IT kennen. Die meisten basieren auf IP und Ethernet und nutzen drahtlose oder drahtgebundene Übertragungswege. Aber hier enden die Ähnlichkeiten. Serielle Übertragungswege sind auch heute noch weit verbreitet, wie RS232 oder RS485.

Anforderungen wie Echtzeit, Fehlertoleranz, gesicherte Bandbreite und Latenzzeit sind in industriellen Netzen extrem wichtig. Die Verfügbarkeit geht über die Integrität und Vertraulichkeit von Daten hinaus und hat schwerwiegende Folgen. Diese Designprinzipien industrieller Protokolle werden heute auf Ethernet und IP übertragen und ganze industrielle Systemlandschaften darauf migriert.

Was auf der einen Seite eine allgegenwärtige Vernetzung mit den gleichen Technologien wie in der Unternehmens- und Büro-IT bedeutet, hat auf der anderen Seite unangenehme Nebeneffekte: erhebliche Sicherheitsrisiken, wenn keine geeigneten Netzgestaltungsprinzipien, z.B. angepasste Netzsegmentierungen, eingesetzt werden.

Die Segmentierung der Infrastruktur ist der erste Schritt zu einer ganzheitlichen Betrachtung sowohl Ihrer klassischen IT als auch Ihrer industriellen Produktionslandschaft.

Services, die wir anbieten:

  • wir prüfen Ihre Infrastruktur und bereiten die Architektur für eine effektive Segmentierung vor
  • wir kümmern uns um die Lieferung, Installation und Konfiguration der NGFW
  • auch im weiteren Verlauf können Sie jederzeit auf ein Team von erfahrenen NGFW-Experten zurückgreifen

Unsere Technologie-Partner:

  • CheckPoint
  • Palo Alto Networks
  • Fortinet

Incident Response Hotline

Ein Cybersecurity Incident, bei dem Sie sofortige Hilfe benötigen?

Kontaktieren Sie unsere 24/7/365 Incident Response Hotline.