Ramsdata

+48 22 671 24 89

kontakt@ramsdata.com.pl

logo.png
KONTAKT

Certes Networks und kryptographische Segmentierung in industriellen Netzwerken

Industrielle Netzwerke (OT – Operational Technology) sind einer der schwierigsten Bereiche der Cybersicherheit. SCADA-Systeme, PLCs, DCS-Systeme und industrielle IoT-Geräte wurden mit Blick auf Verfügbarkeit und Determinismus entwickelt, nicht auf Sicherheit. Viele laufen mit veralteten Protokollen, unterstützen keine Verschlüsselung und können nicht aktualisiert werden, ohne Produktionsausfälle zu riskieren. Certes Networks bietet einen Ansatz zum Schutz dieser Umgebungen, der keine Änderung oder den Austausch vorhandener Geräte erfordert – die kryptografische Segmentierung.

Inhaltsverzeichnis

  1. Besonderheiten der Sicherheit industrieller Netzwerke (OT)
  2. Warum funktionieren traditionelle Sicherheitsansätze in der OT nicht?
  3. Was ist die kryptografische Segmentierung?
  4. Wie implementiert Certes Networks die kryptografische Segmentierung?
  5. Zero-Trust in OT-Umgebungen mit Certes
  6. Sichtbarkeit und Verkehrsüberwachung OT
  7. Anwendungsfälle – Energie, Fertigung, kritische Infrastruktur
  8. Wichtigste Schlussfolgerungen
  9. FAQ
  10. Zusammenfassung

Besonderheiten der Sicherheit industrieller Netzwerke (OT)

OT-Netzwerke unterscheiden sich in Bezug auf die Sicherheitsprioritäten grundlegend von IT-Netzwerken. In der IT liegt die Priorität bei CIA (Vertraulichkeit, Integrität, Verfügbarkeit) – mit Schwerpunkt auf der Vertraulichkeit. In der OT ist die Priorität eine umgekehrte CIA – Verfügbarkeit steht absolut an erster Stelle, dann die Integrität und zuletzt die Vertraulichkeit. Ausfallzeiten von Produktionsanlagen kosten Hunderttausende pro Stunde – daher wird jede Sicherheitsmaßnahme, die Ausfallzeiten verursachen oder riskieren kann, von OT-Betreibern abgelehnt.

Bei den Geräten in OT-Netzwerken handelt es sich um eingebettete Systeme mit oft jahrzehntealten Betriebssystemen, ohne die Möglichkeit, Sicherheitssoftware zu installieren, ohne Firmware-Updates der Hersteller, mit Kommunikationsprotokollen (Modbus, DNP3, Profibus, OPC), die nicht auf Sicherheit ausgelegt sind. Die IT/OT-Konvergenz – die Integration von Büronetzwerken mit Produktionsnetzwerken für die Zwecke von Industrie 4.0 – vergrößert die Angriffsfläche von Industrieumgebungen dramatisch. Die Certes Networks im Angebot von Ramsdata sind spezialisierte Verschlüsselungs- und Segmentierungslösungen für Unternehmens- und Industrieumgebungen.

Warum funktionieren traditionelle Sicherheitsansätze in der OT nicht?

Eine Firewall zwischen dem IT- und dem OT-Netzwerk (die so genannte industrielle DMZ) ist eine gute Praxis, aber unzureichend – sie schützt nicht vor seitlichem Datenverkehr innerhalb des OT-Netzwerks, verschlüsselt nicht die Kommunikation zwischen den Geräten und geht nicht auf das Problem der unsicheren Protokolle ein.

Die Installation von Sicherheitsagenten auf OT-Geräten ist in der Regel nicht möglich – SPS- oder DCS-Steuerungen unterstützen keine externe Software. Die Mikrosegmentierung über VLAN ist begrenzt und bietet keine Verschlüsselung. Das Ersetzen von OT-Geräten durch neuere, sicherheitsfähige Geräte ist unerschwinglich teuer und aufgrund der Produktionskontinuität oft unmöglich. Certes Networks bietet einen Ansatz, der diese Einschränkungen umgeht – Verschlüsselung und Segmentierung werden transparent, inline und ohne Änderung der OT-Geräte angewendet.

Was ist die kryptografische Segmentierung?

Die kryptografische Segmentierung ist ein Ansatz zur Isolierung von Netzwerksegmenten durch Verschlüsselung des Datenverkehrs zwischen ihnen und nicht durch traditionelle Netzwerkmechanismen (VLAN, Firewall). Anstelle der Frage „Was ist zwischen den Segmenten erlaubt?“ stellt die kryptografische Segmentierung die Frage „Wer kann diesen Datenverkehr lesen?“. Nur Geräte, die zur gleichen kryptografischen Gruppe gehören, können die Nachrichten entschlüsseln und lesen – andere Geräte sehen verschlüsselten, nicht lesbaren Datenverkehr.

Dieses Modell hat entscheidende Vorteile für OT-Umgebungen. Die Verschlüsselung erfolgt transparent – OT-Geräte wissen nicht, dass ihre Kommunikation verschlüsselt ist. Es sind keine Geräte- oder Softwareänderungen erforderlich. Die Segmentierungsrichtlinien werden zentral definiert und von einer dedizierten Certes-Appliance angewendet, nicht von den OT-Geräten selbst. Selbst wenn sich ein Angreifer physischen Zugang zu einem OT-Netzwerksegment verschafft, ist er nicht in der Lage, die Kommunikation zwischen Geräten aus anderen Verschlüsselungsgruppen zu lesen.

Wie implementiert Certes Networks die kryptografische Segmentierung?

Certes Networks implementiert die kryptografische Segmentierung durch dedizierte CryptoFlow Net Protector (CNP)-Geräte, die inline im OT-Netzwerk installiert werden – ohne die bestehende Infrastruktur zu verändern. CNPs sind für den Netzwerkverkehr transparent: OT-Geräte ‚wissen‘ nichts von ihrer Existenz und kommunizieren normal. CNPs verschlüsseln den Datenverkehr auf der Grundlage von Richtlinien, die zentral im Certes-Managementsystem (CipherTrust Manager oder Certes CipherPoint) definiert werden.

Kryptogruppen sind logische Segmente, zwischen denen der Datenverkehr erlaubt und verschlüsselt ist. Geräte, die derselben Gruppe zugewiesen sind, können miteinander kommunizieren, Geräte aus anderen Gruppen nicht, selbst wenn sie sich physisch im selben Netzwerk befinden. Die Änderung der Segmentierungsrichtlinien erfolgt zentral und wird sofort von allen CNPs im Netzwerk angewendet – keine Ausfallzeiten, keine Neukonfiguration von OT-Geräten.

Zero-Trust in OT-Umgebungen mit Certes

Zero Trust im OT bedeutet nicht einfach die Übertragung des IT-Modells auf eine industrielle Umgebung – es erfordert eine Anpassung an die Besonderheiten, bei denen die Nichtverfügbarkeit von Geräten (für Agenten, Updates) die Norm ist. Certes Networks implementiert Zero Trust-Prinzipien durch kryptographische Segmentierung ohne Agenten auf geschützten Geräten.

„Never trust, always verify“ bedeutet in der Certes-Umgebung: Jede Verbindung zwischen Segmenten erfordert eine kryptografische Autorisierung, Geräte können nur innerhalb autorisierter kryptografischer Gruppen kommunizieren, jede nicht autorisierte Verbindung wird automatisch verschlüsselt und unlesbar gemacht, und alle Datenflüsse werden zentral protokolliert. Das ist Zero Trust, angepasst an die Realität in der Industrie – keine Agenten, keine Geräteänderungen, kein Risiko von Ausfallzeiten. Weitere Informationen über Sicherheitslösungen für industrielle Netzwerke finden Sie bei Ramsdata.

Sichtbarkeit und Verkehrsüberwachung OT

Eine der größten Herausforderungen in OT-Umgebungen ist der Mangel an Transparenz – man weiß nicht, welche Geräte im Netzwerk vorhanden sind, welche Protokolle sie verwenden und wie die normalen Kommunikationsmuster aussehen. Certes Networks bietet Transparenz, ohne Agenten zu installieren, indem es den Netzwerkverkehr passiv analysiert.

Das Certes Überwachungssystem identifiziert OT-Geräte anhand ihrer Netzwerkkommunikation, bildet den Datenfluss zwischen den Geräten ab und erkennt Anomalien – unerwartete Verbindungen, unbekannte Protokolle, nicht autorisierter Datenverkehr zwischen Segmenten. Diese Transparenz ist die Grundlage einer effektiven kryptografischen Segmentierungspolitik – um die richtigen Gruppen zu definieren, müssen Sie zunächst verstehen, wer mit wem im OT-Netzwerk kommuniziert.

Anwendungsfälle – Energie, Fertigung, kritische Infrastruktur

Die Energie- und Versorgungswirtschaft ist ein Sektor, in dem die OT-Sicherheit für die öffentliche Sicherheit von entscheidender Bedeutung ist. SCADA-Systeme, die die Energieverteilung, Wasseraufbereitungsanlagen oder Gasnetze steuern, müssen von IT-Netzwerken und externen Bedrohungen isoliert werden. Certes Networks wird von Betreibern kritischer Infrastrukturen eingesetzt, um Umspannwerke, Umspannstationen und Leitstellen zu segmentieren.

Die industrielle Produktion erfordert eine Segmentierung zwischen Produktionslinien (damit ein Angriff auf eine Linie nicht auf andere übergreift), zwischen dem OT-Netzwerk und der IT und zwischen Umgebungen verschiedener Lieferanten (wenn externe Dienstleister Zugang zum OT-Netzwerk haben). Die kryptografische Segmentierung von Certes ermöglicht eine granulare Kontrolle dieses Zugangs, ohne dass das gesamte Netzwerk neu konfiguriert werden muss. Die Verkehrsinfrastruktur (Bahn, Luftfahrt, Häfen) ist ein weiterer Bereich, in dem Certes Networks zum Schutz von Verkehrsleitsystemen und kritischer Infrastruktur eingesetzt wird.

Wichtigste Schlussfolgerungen

  • OT-Netzwerke haben gegenüber der IT eine umgekehrte Sicherheitspriorität – die Verfügbarkeit steht absolut an erster Stelle.
  • Herkömmliche Sicherheitstools (Agenten, Firewalls) funktionieren nicht für OT-Geräte, die nicht verändert werden können.
  • Die kryptografische Segmentierung von Certes isoliert Segmente durch Verschlüsselung des Datenverkehrs, nicht durch Netzwerkmechanismen.
  • Die Implementierung ist für OT-Geräte transparent – es sind keine Änderungen oder Ausfallzeiten erforderlich.
  • Kryptographische Gruppen legen fest, wer mit wem kommunizieren und lesbare Daten austauschen darf.
  • Certes bietet OT-Netzwerksichtbarkeit ohne Agenten und Zero Trust ohne Geräteänderungen.

FAQ

Beeinträchtigt die kryptografische Segmentierung von Certes die Latenzzeit im OT-Netzwerk? Ja, aber auf eine minimale Weise. Dedizierte kryptografische Schaltkreise in CNPs minimieren die zusätzliche Latenzzeit – typischerweise weniger als 1 ms, was für die meisten OT-Protokolle akzeptabel ist.

Wie geht Certes mit OT-Protokollen (Modbus, DNP3) um? Certes verschlüsselt den Datenverkehr transparent auf Netzwerkebene – es verarbeitet nicht den Inhalt von OT-Protokollen. Geräte kommunizieren normal über Modbus, DNP3 usw., und Certes CNP verschlüsselt diese Übertragungen, ohne sie zu verändern.

Ist für die Implementierung von Certes ein Ausfall des OT-Netzwerks erforderlich? Die Inline-CNP-Bereitstellung kann während der physischen Installation kurze Wartungsintervalle (Minuten) erfordern. Spätere Änderungen an den Verschlüsselungsrichtlinien werden ohne Ausfallzeiten durchgeführt.

Wie verwaltet man kryptographische Schlüssel in der Certes-Umgebung? Certes CipherTrust Manager oder Certes CipherPoint verwalten die Schlüssel zentral. Die Schlüssel werden entsprechend der Sicherheitsrichtlinien automatisch rotiert, ohne die OT-Geräte zu beeinträchtigen.

Zusammenfassung

Die kryptografische Segmentierung von Certes Networks ist ein Ansatz für die OT-Sicherheit, der die Realitäten industrieller Umgebungen respektiert – die Notwendigkeit der Verfügbarkeit, der Nichtveränderbarkeit von Geräten und des Determinismus der Kommunikation. Transparente Inline-Bereitstellung ohne Ausfallzeiten, Zero Trust ohne Agenten und vollständige OT-Netzwerksichtbarkeit schaffen eine praktische Lösung für Bereiche, in denen andere Ansätze versagen. Setzen Sie sich mit Ramsdata – einem Partner von Certes Networks – in Verbindung, um die Implementierung der kryptografischen Segmentierung in Ihrem industriellen Netzwerk zu besprechen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

error: Content is protected !!