Risikominimierung
Governance von Zero Trust in der produzierenden Industrie
Palo Alto Networks sieht IT-OT-Konvergenz als Innovationstreiber und als Risiko
Industrielle Hersteller gehören zu den ehrgeizigsten Unternehmen der Welt, wenn es darum geht, die Leistungsfähigkeit von Spitzentechnologien zur eigenen Modernisierung zu nutzen. Während sie im Jahr 2023 Pläne zur Verbesserung der Geschäftsergebnisse durch den Einsatz von Technologien wie 5G und IoT schmieden, sollten Fertigungsunternehmen nach Meinung von Palo Alto Networks auch zunehmend Innovationen in den Bereichen Governance und Cyber-Risikomanagement entwickeln.
OT-IT-Konvergenz treibt Modernisierung der Fertigung voran
Die Konvergenz der Betriebstechnologie (OT) in der Fabrikhalle mit der Informationstechnologie (IT) ist nahezu ein Synonym für die Modernisierung der Fertigung. Die OT-IT-Konvergenz ermöglicht neue digitale Prozesse, Fernverbindungen und intelligentere Prozesse. Es handelt sich dabei um eine ergebnisorientierte Transformation, von der die Führungskräfte den zukünftigen Erfolg abhängig machen.
Jüngste Studien von AT&T zeigen, dass die Fertigungsindustrie in Initiativen wie intelligente Lagerhaltung, Transportoptimierung und videobasierte Qualitätskontrolle in einem erheblichen Maße investiert. So ist die Branche bei der Einführung von Edge-Lösungen bereits heute der Energie-, Finanz- und Gesundheitsbranche voraus. Um jedoch den geschäftlichen Nutzen aus diesen Investitionen zu ziehen, müssen Hersteller die mit dieser unvermeidlichen Konvergenz einhergehenden Cyberrisiken erkennen und berücksichtigen.
Cyberkriminelle haben es zunehmend auf industrielle Steuerungssysteme (ICS) abgesehen, die das Fundament der OT-Ökosysteme bilden. Angreifer haben gelernt, sich die Hyperkonnektivität von ICS und die Konvergenz mit dem IT-Bereich zunutze zu machen, und das mit großem Erfolg. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das Thema ICS daher gesondert betrachtet und unter anderem Empfehlungen für Betreiber von ICS veröffentlicht. Dies ist zu begrüßen angesichts der weltweit aufsehenerregenden Angriffe des vergangenen Jahres auf Reifenhersteller, Windturbinenproduzenten, Stahlunternehmen, Automobilhersteller und viele mehr.
Risikoverringerung durch Zero Trust
Eine der vielversprechendsten Möglichkeiten für Hersteller, das Risiko dieser Art von Angriffen zu verringern, sind nach Meinung von Palo Alto Networks die Kontrollen, die eine Zero-Trust-Architektur bietet. Aus technischer Sicht vereint Zero Trust Sicherheitstechnologien für Endgeräte, Benutzer- oder Systemauthentifizierung und die Durchsetzung der Netzwerksicherheit, um den ungehinderten Zugriff auf OT- oder IT-Netzwerke zu verhindern und das Risiko unkontrollierter Seitwärtsbewegungen von Angreifern zu verringern. Mit Zero Trust wird der Zugriff abhängig von der Risikostufe der Benutzer (oder Maschinen oder Anwendungen) gewährt. Es ist ein einfaches, elegantes Konzept, das eine sorgfältige Ausführung erfordert.
Beim Aufbau einer Zero-Trust-Strategie spielen ZTNA-2.0-Lösungen eine wichtige Rolle zur Anwendung effektiverer Kontrollen auf Anwendungsebene, die auf Versuche der Kontoübernahme reagieren. ZTNA 2.0 kombiniert fein abgestuften, wenig privilegierten Zugriff mit kontinuierlicher Vertrauensprüfung und tiefgreifender, fortlaufender Sicherheitsinspektion, um alle Benutzer, Geräte, Anwendungen und Daten überall zu schützen – und das alles mit einem einfachen, einheitlichen Produkt.
Das Wichtigste ist jedoch, dass Zero Trust die Mitwirkung und Zusammenarbeit der Geschäftsinteressenten erfordert. Genauso wie die Geschäftsinteressenvertreter in der Fertigung den Vorstoß in Richtung Edge und alle Arten der digitalen Transformation und OT-IT-Konvergenz vorantreiben, müssen sie auch bei Zero-Trust-Initiativen eng eingebunden werden, um den Erfolg voranzutreiben. Technologie kann kommen und gehen, aber was die Hersteller wollen, sind Geschäftsergebnisse. Genau darauf müssen sich Fertigungsunternehmen bei Zero Trust konzentrieren – auf den Kern. Es muss vom Unternehmen vorangetrieben werden, das den Nordstern für die Zero Trust Governance setzt.
Zero Trust sollte in den Händen der Geschäftsverantwortlichen liegen
Zero-Trust-Projekte sollten in der Verantwortung des Unternehmens liegen, und es ist wichtig, Gespräche mit Herstellern, die am Aufbau einer Zero-Trust-Infrastruktur interessiert sind, wieder auf die geschäftlichen Grundlagen zu lenken. Hersteller beginnen in der Regel mit detaillierten technischen Fragen zu Elementen wie Secure Access Service Edge (SASE) und Remote Access Management. „Wir wollen Zero Trust einführen; wie können Sie uns dabei helfen?“ Palo Alto Networks geht in der Regel dann einen Schritt zurück und fragt: „Warum wollen Sie Zero Trust einführen? Was ist das Geschäftsziel dafür?“
In ähnlicher Weise versucht das Team, die Geschäftsinteressenten in gemeinsame Risikodiskussionen einzubeziehen, bevor es an die eigentliche architektonische Gestaltung geht. Dieser Schritt zurück führt hoffentlich dazu, dass sich der Hersteller auf Risikobewertungen und andere Aktivitäten zur Ausrichtung des Unternehmens konzentriert, die die Art und Weise des Risikomanagements auf der Grundlage von Geschäftszielen und nicht von engen technischen Spezifikationen bestimmen. Außerdem wird das gesamte Team dazu angeregt, darüber nachzudenken, wie der Wert von OT- und IT-Ressourcen bestimmt wird, und den Fahrplan dafür zu erstellen, wo und wie Zero-Trust-Sicherheitstechnologien im Laufe der Zeit eingesetzt werden.
Die Interessenvertreter des Unternehmens kennen die sich abzeichnenden geschäftlichen Bedingungen, regulatorischen Anforderungen, Partnerschaftsvereinbarungen und Überlegungen zur Lieferkette, die sich auf die Risikokalkulationen auswirken, am besten und am genauesten. Aus diesem Grund ist die Eigenverantwortung des Unternehmens der Eckpfeiler und die Grundlage für Zero Trust Governance. Inkrementelle Verbesserungen sollten um Sicherheitskontrollen herum aufgebaut werden, die das Risiko für die kritischsten betrieblichen Prozesse zuerst managen. Gleiches gilt für die Prozesse und Systeme, die durch neue Innovationen und Geschäftsmodelle am meisten gefährdet sind.
