Zugriffsrechte verwalten
Für jeden Mitarbeiter ein eigenes Netz
Die Bedrohung durch Cyberattacken ist greifbar, das erkennen auch die Unternehmen. Jedoch haben verschiedene Abteilungen unterschiedliche Anforderungen an die IT-Sicherheit. Mit Privileged-Access-Lösungen kann man diesen Unterschieden Rechnung tragen.
Bild: Wallix DeutschlandIn seinem aktuellen Bericht zur Lage der IT-Sicherheit warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) davor, dass ungezielte Angriffe auf Produktionssysteme oft erfolgreich sind, weil Unternehmen häufig Altsysteme einsetzen und keine geeigneten Prozesse und kaum Knowhow zur IT-Sicherheit für den Produktionsbereich vorhanden sind. Hersteller und Maschinenbauer würden zudem von den Betreibern keine ausreichenden Informationen über die notwendigen Sicherheitsanforderungen erhalten, so das BSI. Diese würden von den Betreibern weder eingefordert noch seien entsprechende Ressourcen vorgesehen. Zudem fehle es bei den Herstellern vielfach an Prozessen, um mit Schwachstellen in eigenen Produkten umzugehen, diese zu kommunizieren und für eine Fehlerbeseitigung Sorge zu tragen. Eine deutliche Kritik. Allerdings sollte man verstehen, dass die Herausforderung durch die digitale Integration für IT-Abteilungen und Betriebsleiter in der Produktion ungleich schwieriger ist als in anderen Branchen. Die Lebenszyklen von Maschinen und die Größe der Assets sind in keiner anderen Branche so groß. Zudem werden Anlagen und Fertigungsstraßen der Industrie über Jahrzehnte abgeschrieben und sind nur schwer komplett auswechselbar. Zugleich steigen aber die Anforderungen an die Produktivität. Durch Modernisierungsprojekte dürfen operationale Abläufe daher nicht zu beeinträchtigt werden - längere Wartungsfenster sind aus Sicht der Wettbewerbsfähigkeit nicht möglich, ein Komplettstillstand zur Neuaufsetzung der Netzwerke ist undenkbar. Die Legacy-Herausforderung und die hohen Anforderungen an die Produktivität müssen auch von IT-Abteilungen beachtet werden. Die neue Konkurrenzsituation ist besonders kritisch, da die Digitalisierung den Markt für neue Anbieter öffnet, die ohne Fertigungsmittel Lösungen in digitaler Form anbieten. Etablierten Unternehmen droht dabei der Abstieg in das Commodity-Geschäft, falls sie es nicht schaffen, ihr Knowhow digital zu vermarkten.
Bild: Wallix DeutschlandUmsetzung ist schwierig
In den Führungsebenen stehen die Themen Digitalisierung und die Gefahr durch Cyberattacken auf der Tagesordnung. Die Umsetzung und die Abwehr gestalten sich jedoch nicht einfach. IT-Verantwortliche verlangen häufig mehr Einfluss in die Prozesssteuerung und möchten, dass smarte Produktionsanlagen ebenfalls unter ihre Verwaltungsgewalt fallen. Betriebsverantwortliche wollen dagegen das volle Potenzial von vernetzten Geräten nutzen, fürchten aber, dass durch Umstellungen die Anlagen nicht richtig funktionieren könnten. Hinzu kommt, dass sich durch die Modernisierung auch die Bezugsmodelle für Maschinen und Anlagen ändern. Geräte werden geleast oder durch On-Demand-Services ersetzt. Dies erfordert auch immer mehr gesicherte Fernwartungszugänge. Ursprüngliche geschlossene Netzwerke und Insellösungen sind somit online, wodurch der Verwaltungsaufwand steigt. IT-Verantwortliche müssen Lösungen finden, wie sie trotz der wachsenden Anzahl an Aufgaben die Compliance-Vorgaben erfüllen und Auditsicherheit gewährleisten können. Neben der Endpunktsicherheit geht es dabei vor allem um den Faktor Mensch und die Frage, wer zu welcher Zeit über welche Plattform auf welche Systeme zugreifen darf. Zeitgleich sollten aber Betriebsleiter die Möglichkeit haben, Probleme im operativen Bereich ohne lange Bürokratieprozesse zu beseitigen. Sie benötigen Mittel, die es ihnen erlauben, Dienstleistern und externen Experten im Fall der Fälle schnell Zugriff auf die nötigen Bereiche zu gewähren. Die Schwierigkeit bestand dabei bisher darin, die Bedürfnisse beider Seiten in Einklang zu bringen. Durch IoT- und Cloudtechnologie funktionieren Wirtschaft und Gesellschaft als 'Always-on-Modell'. Die Industrie braucht neben entsprechenden IT-Sicherheitsmechanismen vor allem flexible Wege, um die Verwaltung von unterschiedlichen Administrationsaccounts zu erleichtern.
Die Brücke zwischen IT und OT
Ein Wartungszugriff kann viel Aufwand bedeuten: Das Fernzugriffsfenster eines Technikers darf nicht gegen IT-Sicherheitsrichtlinien verstoßen und der gesamte Vorgang muss trotzdem protokolliert werden. Gleichzeitig muss sichergestellt werden, dass es sich nicht um einen geschickt getarnten Angriff handelt. Ein solcher Konflikt zwischen OT und IT kann in der Praxis durch Privileged-Access-Lösungen (PAM) beseitigt werden. Diese lassen sich genau auf die Vorgaben der IT-Abteilungen abstimmen und können dann von der Betriebsverantwortlichen genutzt werden, um Rechte von Nutzern granular zu erweitern. Die Lösung übernimmt dabei die Protokollierung und die Absicherung der Accounts. Für besonders kritische Bereiche können zudem Sessions aufgezeichnet oder das Vier-Augen-Prinzip festgelegt werden. Im Betriebsalltag ist PAM ein einfaches Tool zur Verwaltung von Nutzer mit erhöhten Zugriffsrechten, dass sich agentenlos in jede Umgebung integrieren lässt. Die User brauchen keine umfassenden IT-Kenntnisse und die Freigaben können im Umfang und Zeitraum auf das Nötigste begrenzt werden. Dadurch werden keine Konten mehr vergessen - beispielsweise, wenn ein Angestellter das Unternehmen verlässt. Auch das ungewollte Teilen von Zugängen wird unterbunden. IT-Verantwortliche können zudem Sicherheitsvorgaben einfacher umsetzen: Alle Aktionen werden aufgenommen und bei Problemen ist nachvollziehbar, wie es zu einem Vorfall kommen konnte. Cyberangriffen kann zudem durch Passwortmanagement und Segmentierung vorbeugt werden. Gerade bei Ransomware wird die Bedrohung deutlich abgemildert. Zudem können Angriffe aus dem Inneren einer Firma leichter enttarnt und gesperrt werden.
Jeder hat Sicherheitsbedenken
Für jedes Produktionsunternehmen liegt die Zukunft in der Digitalisierung, und in fast jeder Organisation gibt es dabei Sicherheitsbedenken. Die Anmerkung des BSI ist dabei keine neue Erkenntnis, den entsprechenden Abteilungen in den Firmen fehlt es jedoch oft an praktischen Mitteln, um die Gesamtherausforderung umzusetzen. Durch eine gemeinsame Management-Plattform für Accounts mit erhöhten Zugriffsrechten können Unternehmen eine Grundlage schaffen, um die unterschiedlichen Anforderungen von IT-Security und Betriebsabläufen abzudecken. PAM bietet daher die Möglichkeit, die kontrastreichen Anforderungen von Produktivität und IT-Sicherheit unter einen Hut zu bringen. Besonders Accounts mit erhöhter Sicherheitsfreigabe sind hier im Visier der Cyberkriminellen, da sie den Angreifern eine breite Palette zur deren Bereicherung eröffnen. Mikromanagement allein ist schon zeitaufwendig und unwirtschaftlich. Durch die speziellen Anforderungen potenziert sich diese Problematik - falls sich eine Organisation nicht entsprechend aufstellt.
Die Bedrohung durch Cyberattacken ist greifbar, das erkennen auch die Unternehmen. Jedoch haben verschiedene Abteilungen unterschiedliche Anforderungen an die IT-Sicherheit. Mit Privileged-Access-Lösungen kann man diesen Unterschieden Rechnung tragen.
Bild: Wallix DeutschlandIn seinem aktuellen Bericht zur Lage der IT-Sicherheit warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) davor, dass ungezielte Angriffe auf Produktionssysteme oft erfolgreich sind, weil Unternehmen häufig Altsysteme einsetzen und keine geeigneten Prozesse und kaum Knowhow zur IT-Sicherheit für den Produktionsbereich vorhanden sind. Hersteller und Maschinenbauer würden zudem von den Betreibern keine ausreichenden Informationen über die notwendigen Sicherheitsanforderungen erhalten, so das BSI. Diese würden von den Betreibern weder eingefordert noch seien entsprechende Ressourcen vorgesehen. Zudem fehle es bei den Herstellern vielfach an Prozessen, um mit Schwachstellen in eigenen Produkten umzugehen, diese zu kommunizieren und für eine Fehlerbeseitigung Sorge zu tragen. Eine deutliche Kritik. Allerdings sollte man verstehen, dass die Herausforderung durch die digitale Integration für IT-Abteilungen und Betriebsleiter in der Produktion ungleich schwieriger ist als in anderen Branchen. Die Lebenszyklen von Maschinen und die Größe der Assets sind in keiner anderen Branche so groß. Zudem werden Anlagen und Fertigungsstraßen der Industrie über Jahrzehnte abgeschrieben und sind nur schwer komplett auswechselbar. Zugleich steigen aber die Anforderungen an die Produktivität. Durch Modernisierungsprojekte dürfen operationale Abläufe daher nicht zu beeinträchtigt werden - längere Wartungsfenster sind aus Sicht der Wettbewerbsfähigkeit nicht möglich, ein Komplettstillstand zur Neuaufsetzung der Netzwerke ist undenkbar. Die Legacy-Herausforderung und die hohen Anforderungen an die Produktivität müssen auch von IT-Abteilungen beachtet werden. Die neue Konkurrenzsituation ist besonders kritisch, da die Digitalisierung den Markt für neue Anbieter öffnet, die ohne Fertigungsmittel Lösungen in digitaler Form anbieten. Etablierten Unternehmen droht dabei der Abstieg in das Commodity-Geschäft, falls sie es nicht schaffen, ihr Knowhow digital zu vermarkten.
Bild: Wallix DeutschlandUmsetzung ist schwierig
In den Führungsebenen stehen die Themen Digitalisierung und die Gefahr durch Cyberattacken auf der Tagesordnung. Die Umsetzung und die Abwehr gestalten sich jedoch nicht einfach. IT-Verantwortliche verlangen häufig mehr Einfluss in die Prozesssteuerung und möchten, dass smarte Produktionsanlagen ebenfalls unter ihre Verwaltungsgewalt fallen. Betriebsverantwortliche wollen dagegen das volle Potenzial von vernetzten Geräten nutzen, fürchten aber, dass durch Umstellungen die Anlagen nicht richtig funktionieren könnten. Hinzu kommt, dass sich durch die Modernisierung auch die Bezugsmodelle für Maschinen und Anlagen ändern. Geräte werden geleast oder durch On-Demand-Services ersetzt. Dies erfordert auch immer mehr gesicherte Fernwartungszugänge. Ursprüngliche geschlossene Netzwerke und Insellösungen sind somit online, wodurch der Verwaltungsaufwand steigt. IT-Verantwortliche müssen Lösungen finden, wie sie trotz der wachsenden Anzahl an Aufgaben die Compliance-Vorgaben erfüllen und Auditsicherheit gewährleisten können. Neben der Endpunktsicherheit geht es dabei vor allem um den Faktor Mensch und die Frage, wer zu welcher Zeit über welche Plattform auf welche Systeme zugreifen darf. Zeitgleich sollten aber Betriebsleiter die Möglichkeit haben, Probleme im operativen Bereich ohne lange Bürokratieprozesse zu beseitigen. Sie benötigen Mittel, die es ihnen erlauben, Dienstleistern und externen Experten im Fall der Fälle schnell Zugriff auf die nötigen Bereiche zu gewähren. Die Schwierigkeit bestand dabei bisher darin, die Bedürfnisse beider Seiten in Einklang zu bringen. Durch IoT- und Cloudtechnologie funktionieren Wirtschaft und Gesellschaft als 'Always-on-Modell'. Die Industrie braucht neben entsprechenden IT-Sicherheitsmechanismen vor allem flexible Wege, um die Verwaltung von unterschiedlichen Administrationsaccounts zu erleichtern.
Die Brücke zwischen IT und OT
Ein Wartungszugriff kann viel Aufwand bedeuten: Das Fernzugriffsfenster eines Technikers darf nicht gegen IT-Sicherheitsrichtlinien verstoßen und der gesamte Vorgang muss trotzdem protokolliert werden. Gleichzeitig muss sichergestellt werden, dass es sich nicht um einen geschickt getarnten Angriff handelt. Ein solcher Konflikt zwischen OT und IT kann in der Praxis durch Privileged-Access-Lösungen (PAM) beseitigt werden. Diese lassen sich genau auf die Vorgaben der IT-Abteilungen abstimmen und können dann von der Betriebsverantwortlichen genutzt werden, um Rechte von Nutzern granular zu erweitern. Die Lösung übernimmt dabei die Protokollierung und die Absicherung der Accounts. Für besonders kritische Bereiche können zudem Sessions aufgezeichnet oder das Vier-Augen-Prinzip festgelegt werden. Im Betriebsalltag ist PAM ein einfaches Tool zur Verwaltung von Nutzer mit erhöhten Zugriffsrechten, dass sich agentenlos in jede Umgebung integrieren lässt. Die User brauchen keine umfassenden IT-Kenntnisse und die Freigaben können im Umfang und Zeitraum auf das Nötigste begrenzt werden. Dadurch werden keine Konten mehr vergessen - beispielsweise, wenn ein Angestellter das Unternehmen verlässt. Auch das ungewollte Teilen von Zugängen wird unterbunden. IT-Verantwortliche können zudem Sicherheitsvorgaben einfacher umsetzen: Alle Aktionen werden aufgenommen und bei Problemen ist nachvollziehbar, wie es zu einem Vorfall kommen konnte. Cyberangriffen kann zudem durch Passwortmanagement und Segmentierung vorbeugt werden. Gerade bei Ransomware wird die Bedrohung deutlich abgemildert. Zudem können Angriffe aus dem Inneren einer Firma leichter enttarnt und gesperrt werden.
Jeder hat Sicherheitsbedenken
Für jedes Produktionsunternehmen liegt die Zukunft in der Digitalisierung, und in fast jeder Organisation gibt es dabei Sicherheitsbedenken. Die Anmerkung des BSI ist dabei keine neue Erkenntnis, den entsprechenden Abteilungen in den Firmen fehlt es jedoch oft an praktischen Mitteln, um die Gesamtherausforderung umzusetzen. Durch eine gemeinsame Management-Plattform für Accounts mit erhöhten Zugriffsrechten können Unternehmen eine Grundlage schaffen, um die unterschiedlichen Anforderungen von IT-Security und Betriebsabläufen abzudecken. PAM bietet daher die Möglichkeit, die kontrastreichen Anforderungen von Produktivität und IT-Sicherheit unter einen Hut zu bringen. Besonders Accounts mit erhöhter Sicherheitsfreigabe sind hier im Visier der Cyberkriminellen, da sie den Angreifern eine breite Palette zur deren Bereicherung eröffnen. Mikromanagement allein ist schon zeitaufwendig und unwirtschaftlich. Durch die speziellen Anforderungen potenziert sich diese Problematik - falls sich eine Organisation nicht entsprechend aufstellt.
Wallix Deutschland
Dieser Artikel erschien in IT&Production September 2018 - 06.09.18.Für weitere Artikel besuchen Sie www.it-production.com
