Fernzugriff auf die Automatisierungstechnik
Zero Trust stärkt Zellenschutz
Homeoffice und Fernzugriff - was viele Hersteller IT-seitig bereits umsetzen, weckt auf Werks- und Konstruktionsebene noch oft Begehrlichkeiten. Doch auch hier können Aufgaben extern erledigt werden. Für solche Projekte kooperieren Siemens und Zscaler Inc., um einen duchgängigen Zero Trust-Sicherheitsansatz für OT/IT zu ermöglichen.
Klassischer perimeter-basierter Ansatz mit Fernzugriff über Rendezvous Server und Jump Host auf segmentiertes OT-Netzwerk mit separaten, über eigene Firewalls abgesicherten, vertrauenswürdigen Zellen.
Klassischer perimeter-basierter Ansatz mit Fernzugriff über Rendezvous Server und Jump Host auf segmentiertes OT-Netzwerk mit separaten, über eigene Firewalls abgesicherten, vertrauenswürdigen Zellen. Bild: Siemens AG

Es war eine Frage der Zeit, bis das aus der Bürowelt kommende mobile Arbeiten – aus dem Homeoffice oder der Ferne allgemein – auch auf die Welt der Operational Technology (OT) abstrahlen würde. Zumal sich beide Spähren ohnehin mehr und mehr verzahnen. Die Pandemie hat den Wunsch vieler Prozess- und Anlagenbetreiber nach Zugriffsmöglichkeiten von außen, über die Fernwartung hinaus, weiter verstärkt. Diese Marktanforderung bewogen die beiden Unternehmen Siemens und Zscaler Inc, einen durchgängigen Zero-Trust-Sicherheitsansatz für OT/IT zu erarbeiten.

OT ist nicht IT!

Heterogene, oft über Jahre gewachsene industrielle Kommunikationsnetzwerke stellen in mehrfacher Hinsicht andere Anforderungen als reine IT-Lösungen. Daten in der Produktion müssen vielfach deterministisch in Echtzeit kommuniziert werden. Zudem sind oft Safety-Funktionen, Verfügbarkeit und Knowhow-Schutz sicherzustellen. Hinzu kommt, dass ältere Komponenten mitunter gänzlich offen und unverschlüsselt kommunizieren. Um Cyberangriffe abwehren zu können, wurden auf die Industrie abgestimmte Schutzkonzepte entwickelt, wie das Defense-in-Depth-Konzept, die tiefengestaffelte Verteidigung nach IEC62443. Die Netzwerksicherheit fußt dabei auf einer individuellen Risikobewertung und segmentierten Netzwerken mit separat über eigene Firewalls geschützten Produktionszellen. Der Austausch mit dem Büronetzwerk oder Internet läuft in einem solchen perimeterbasierten Netzwerk über eine sogenannte demilitarisierte Zone (DMZ) oder spezielle Rendezvous Server und Jump Hosts. In Büronetzwerken mit ihren vielen meist neueren Devices und ständigen Veränderungen hat sich dagegen häufig ein Schutzkonzept etabliert, bei dem keinem Teilnehmer per se vertraut wird (never trust, always verify). Dieser Zero-Trust-Ansatz setzt voraus, dass alle Netzwerkteilnehmer – Benutzer wie Geräte – erst ihre Identität und Integrität nachweisen, bevor die Kommunikation mit der Zielressource aufgebaut wird. Weil viele Automatisierungskomponenten und Netzwerkinfrastrukturen damit überfordert wären, lässt sich dieses zentral verwaltete Konzept nicht ohne Anpassungen vollständig auf industrielle Netzwerke übertragen.

Scalance LPE ist eine klein und robust ausgelegte lokale Verarbeitungsplattform etwa für Edge-Anwendungen.
Scalance LPE ist eine klein und robust ausgelegte lokale Verarbeitungsplattform etwa für Edge-Anwendungen.Bild: Siemens AG

Konvergente Lösungen

Um OT und IT dennoch zu integrieren, haben Siemens und Zscaler ihre Systemkompetenzen so gebündelt, dass ein Zero-Trust-Sicherheitsansatz für OT/IT-Umgebungen möglich wird. Als rubuste Hardware an oder in den Fertigungszellen dient die lokale Verarbeitungsplattform Scalance LPE (Local Processing Engine) von Siemens. Deren Kernaufgabe ist das Sammeln von Daten und deren Vorverarbeitung nahe am Prozess. Dazu wird das Gerät via Ethernet in ein Zellennetzwerk eingebunden. Das Edge-Device mit einem Betriebssystem auf Linux-Basis führt den App Connector des cloud-basierten Remote Access-Service Zscaler Private Access (ZPA) aus, der sich als Docker-Container installieren lässt. Über den App Connector können die Edge-Devices von Siemens in der Zero-Trust-Exchange-Cloud-Plattform aufgenommen und konfiguriert werden. Anschließend fungiert sie als Zero-Trust-Gateway für ihre Zelle, die in sich als vertrauenswürdig betrachtet wird. Die Plattform überwacht die für den Zugriff notwendigen Regelsätze und stellt die Schnittstellen für Identity Provider bereit. Sie lässt nur identifizierte und autorisierte Teilnehmer auf die für diese freigegebenen Ressourcen zugreifen. So können unternehmensweit administrierte Anwender aus der Ferne und abgesichert auf lokale Produktions- oder Entwicklungssysteme zugreifen. Spezifische Berechtigungskonzepte unterstützen die Anforderungen von Echtzeit- oder Safety-Anwendungen wie der Verfügbarkeit und des Knowhow-Schutzes. Dabei soll das zentrale Management in der Plattform ermöglichen, zusätzliche Verbindungen für das Zusammenspiel von OT und IT einzurichten und gleichzeitig die Firewall-Regelsätze restriktiver zu konfigurieren.

Administratoren können in der Cloud-Plattform Zugriffsregeln definieren.
Administratoren können in der Cloud-Plattform Zugriffsregeln definieren.Bild: Siemens AG

Anwender mit Zscaler- und Siemens-Infrastruktur gesucht

Nachdem Siemens das Konzept in den eigenen Netzwerken mit hunderttausend Zscaler-Teilnehmern getestet hat, will man nun weitere geeignete Anwendungen im Produktions- und Entwicklungsumfeld definieren und Lösungen dafür umzusetzen. Im Fokus stehen zunächst Unternehmen, die IT-seitig bereits auf die Zscaler-Plattform und in der Produktion auf Netzwerktechnik von Siemens setzen. Diese können den neuen Ansatz ohne großen Aufwand und grundlegende Veränderungen an der Netzwerkinfrastruktur implementieren.

Lösungen weiter nutzbar

Bestehende Defense-in-Depth-Konzepte bleiben beim Griff zum neuen Angebot weiterhin bestehen und werden lediglich um Zero-Trust-Funktionalitäten erweitert. Auch klassische VPN-basierte Fernzugriffe sowie die dazugehörige Management-Plattform sollen weiterentwickelt werden. Je nach Branche, Anwendungsfall und Unternehmensrichtlinie bieten beide Konzepte Vorteile. Doch langfristig gesehen könnten Zero-Trust-Konzepte nicht nur Betriebskosten senken, sondern auch zu einer höheren Cybersicherheit im Produktionsumfeld beitragen.

www.siemens.de

Das könnte Sie auch Interessieren

Anzeige

Anzeige

Bild: Bildschoen - Boris Trenkel
Bild: Bildschoen - Boris Trenkel
Digitale Plattform für die TGA im Hochhaus

Digitale Plattform für die TGA im Hochhaus

Gemeinsam mit dem Immobilienunternehmen Heimstaden hat Metr ein 19-stöckiges Hochhaus mit 150 Wohneinheiten grundlegend digitalisiert. Heizungsanlage, Trinkwasserinstallation, Aufzüge und auch die Schließanlage werden nun in einem zentralen Dashboard fernüberwacht. Das Projekt zeigt: Die Lösung des Berliner Technologieunternehmen lässt sich umfangreich und schnell erweitern – auch in großen Gebäudekomplexen.

Bild: Endian SRL
Bild: Endian SRL
10-Punkte-Plan

10-Punkte-Plan

Die Zahl der Cyberattacken ist in 2021 rasant gestiegen. Mit der wachsenden Vernetzung sowie der Integration von Software rückt auch die Operational Technologie (OT) zunehmend in den Fokus der Angreifer. Endian, Anbieter im Bereich Industrial IoT und Security, empfiehlt zehn Schutzmaßnahmen für die OT.

Bild: ProSoft Software Vertriebs GmbH
Bild: ProSoft Software Vertriebs GmbH
Erst mal durch 
die Datenschleuse

Erst mal durch die Datenschleuse

Der Grad der Vernetzung und Digitalisierung in der Produktion hat in Deutschland gerade bei KMUs noch viel Potenzial. 2018 lag die Digitalisierungsquote erst bei 30 Prozent, respektive 20 Prozent bei kleineren Unternehmen. Durch die konsequente Digitalisierung kann laut der Unternehmensberatung McKinsey der Wirtschaftsstandort Deutschland bis 2025 insgesamt 126 Milliarden Euro zusätzlich an Wertschöpfung erreichen und Standortnachteile abfedern. Immerhin 25 Prozent der Wertschöpfung entfallen in Deutschland auf das produzierende Gewerbe.

Anzeige

Anzeige

Anzeige