{"id":19762,"date":"2021-10-20T11:49:00","date_gmt":"2021-10-20T09:49:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=19762"},"modified":"2021-09-23T08:59:04","modified_gmt":"2021-09-23T06:59:04","slug":"zero-trust-fuer-ein-sicheres-5g-mobilfunketz","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=19762","title":{"rendered":"Zero Trust f\u00fcr ein sicheres 5G-Mobilfunketz"},"content":{"rendered":"\n

Autor\/Redakteur:\u00a0 Christian Vogt, Vice President DACH bei Fortinet<\/a>\/gg<\/p>\n\n\n\n

Deutschland gilt im internationalen Vergleich in Sachen Mobilfunk eher als Nachz\u00fcgler. Das soll sich f\u00fcr den neuen Mobilfunkstandard 5G allerdings \u00e4ndern \u2013 und die Anbieter arbeiten hart daran. Ende 2019 waren hierzulande laut Bundesnetzagentur<\/a> gerade einmal 139 5G-Basisstationen in Betrieb. Ende 2020 allerdings waren es bereits beachtliche 19.510. Ein gutes Zeichen, da die 5G-Netzwerke als Grundpfeiler f\u00fcr den Ausbau des industriellen Internets der Dinge (IIoT) dienen, gerade im Bereich der kritischen Infrastrukturen.<\/p>\n\n\n\n

\"\"<\/a>
Screenshot: Sysbus<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Gleichwohl: Um das volle Potenzial von 5G zu nutzen, m\u00fcssen Unternehmen \u00fcber die Nutzung \u00f6ffentlicher Netze hinausdenken. Denn die sind auf Privatanwender ausgelegt und nicht f\u00fcr industrielle Zwecke konzipiert. In einer Studie von 2020 prognostizierte ABI Research<\/a>, dass die Anzahl privater Unternehmensnetzwerke die der \u00f6ffentlichen Netzwerke bis zum Jahr 2036 \u00fcberholen w\u00fcrde. Aus gutem Grund: Unternehmen k\u00f6nnen ihr privaten Mobilfunknetze schnell implementieren und an den eigenen Bedarf anpassen. Private 5G-Netzwerke schaffen also die Basis f\u00fcr eine Transformation der Betriebstechnologie (OT) hin zu stabilen integrierten Industrie 4.0-Systemen.<\/p>\n\n\n\n

Gerade angesichts der immer weiter steigenden Zahl an Cyber-Angriffen ist es essenziell f\u00fcr Unternehmen, ihre Betriebstechnologie (OT) bestm\u00f6glich zu sch\u00fctzen. Das ist schon mit den bestehenden Netzwerken eine Herausforderung. Unternehmen denken zwar regelm\u00e4\u00dfig an die Sicherung der unternehmenseigenen IT-Netzwerke, richten den Fokus jedoch nicht (ausreichend) darauf, auch die OT-Netzwerke zu sichern.<\/p>\n\n\n\n

Neben einer detaillierten Bestandsaufnahme der aktuellen IT- und OT-Sicherheit sollten Unternehmen ihren Blick insbesondere auf den menschlichen Faktor legen \u2013 denn nach wie vor stellt der die gr\u00f6\u00dfte Fehlerquelle dar. Das kann zum einen durch Schulungen geschehen, zum anderen durch eine Zero-Trust-Access (ZTA) Policy.<\/p>\n\n\n\n

Kein Vertrauen f\u00fcr Niemanden<\/strong><\/p>\n\n\n\n

ZTA nimmt an, dass jedes Ger\u00e4t in einem Netzwerk potenziell infiziert sein k\u00f6nnte und jeder Benutzer in der Lage ist, kritische Ressourcen zu kompromittieren. Niemand ist vertrauensw\u00fcrdig, solange das System dessen Identit\u00e4t nicht einwandfrei best\u00e4tigt hat. Das Zero-Trust-Modell gew\u00e4hrt den Benutzern ausschlie\u00dflich Zugriff auf Ressourcen, die f\u00fcr ihre Rolle oder Aufgabe erforderlich sind.<\/p>\n\n\n\n

Brute-Force-Angriffe auf schwache Passw\u00f6rter oder Social-Engineering-Methoden wie E-Mail-Phishing k\u00f6nnen die Identit\u00e4ten der Anwender kompromittieren. Daher m\u00fcssen alle Personen und Ger\u00e4te, die ein Netzwerk oder eine Anwendung nutzen m\u00f6chten, eine strikte Verifizierung durchlaufen, in der Regel mit einer Multi-Faktor-Authentifizierung (MFA).<\/p>\n\n\n\n

Hierbei m\u00fcssen die Anwender ihre Anmeldedaten auf unterschiedliche Weise mehrfach best\u00e4tigen, etwa per SMS, Telefon oder Authentifizierungs-Anwendung. Nach dem erfolgreichen Login greift die rollenbasierte Zugriffskontrolle (Role Based Access Control, RBAC), die dem authentifizierten Benutzer die zugeh\u00f6rigen Zugriffsrechte und Services zuordnet.<\/p>\n\n\n\n\n\n\n\n

ZTA umfasst zudem eine Netzwerk-Zugangskontrolle (Network Access Control, NAC), die Transparenz in einem Netzwerk schafft. Die steigende Zahl der IoT-Ger\u00e4te sowie Bring-Your-Own-Device-(BYOD)-Strategien resultieren in einer kaum noch \u00fcberschaubaren Masse von zu verwaltenden Elementen. Dieser Flut m\u00fcssen die Sicherheitsverantwortlichen nun Herr werden. Eine NAC-L\u00f6sung erm\u00f6glicht es ihnen, jedes mit dem Netzwerk verbundene Elemente einzusehen und den Zugriff von Ger\u00e4ten und Benutzern zu steuern. So k\u00f6nnen sie sicherstellen, dass nur entsprechend der Compliance-Richtlinien verifizierte Nutzer und autorisierte Ger\u00e4te auf das Netzwerk zugreifen k\u00f6nnen. Um das Risiko der Kompromittierung von Ger\u00e4ten zu minimieren, m\u00fcssen NAC-Prozesse binnen weniger Sekunden abgeschlossen sein.<\/p>\n\n\n\n

Da die Mitarbeiter in der Regel ihre BYOD-Ger\u00e4te nicht nur gesch\u00e4ftlich, sondern auch privat nutzen, sollten Unternehmen \u00fcber die Schutzmechanismen au\u00dferhalb ihres gesicherten Unternehmensnetzwerks nachdenken. Um diese Herausforderungen zu bew\u00e4ltigen, muss die Endpunktsicherheit Bestandteil einer jeden ZTA-L\u00f6sung sein. Diese sollte eine Hygiene-Kontrolle au\u00dferhalb des Netzwerks bieten, einschlie\u00dflich des Scans von Schwachstellen, Web-Filterung und Patch-Richtlinien. Au\u00dferdem sollte die L\u00f6sung sichere und flexible Optionen f\u00fcr die Verbindung via Virtual Private Network (VPN) bieten.<\/p>\n\n\n\n

Ebenso wie Identity Management Tools m\u00fcssen auch L\u00f6sungen zur Unterst\u00fctzung von SSO f\u00fcr die Endpunktsicherheit eingesetzt werden. Ist ein Endpunkt mit dem Netzwerk verbunden, muss die L\u00f6sung Informationen \u00fcber den Ger\u00e4testatus an weitere Netzwerk- und Security-Komponenten melden, um das Risiko zu ermitteln und eine geeignete Zugriffsberechtigung zuzuweisen.<\/p>\n\n\n\n

Vier Schutzma\u00dfnahmen gegen Cyber-Angriffe<\/strong><\/p>\n\n\n\n

Neben ZTA gibt es f\u00fcr Unternehmen weitere M\u00f6glichkeiten, ihr Netzwerk vor Angriffen zu sch\u00fctzen:<\/p>\n\n\n\n

  1. Sandboxing: <\/strong>E-Mails sind eines der beliebtesten Einfallstore. Eine sichere E-Mail-Gateway-L\u00f6sung bietet bereits eine gute Sicherheitsgrundlage gegen solche Angriffe. Mit Sandboxing k\u00f6nnen Unternehmen eine weitere Schutzschicht einziehen. Moderne Malware kann klassische Security-Ma\u00dfnahmen umgehen und bislang unbekannte Schwachstellen ausnutzen. Um das zu verhindern, kann eine Malware-Sandbox jede verd\u00e4chtige Mail genau pr\u00fcfen, noch bevor sie die Unternehmensserver erreicht und Schaden anrichten k\u00f6nnte.
    <\/li>
  2. Mikrosegmentierung: <\/strong>Einer der wichtigsten Schritte ist die Mikrosegmentierung, also die Einteilung der Produktionsumgebung in kleinstm\u00f6gliche Einheiten, im Produktionsbereich. Dadurch k\u00f6nnen die Sicherheitsverantwortlichen jedes Netzwerk, jede Produktionslinie separat ansteuern \u2013 und selbst bei einem erfolgreichen Angriff den Schaden durch eine schnelle Reaktion minimieren. Die Security-Systeme m\u00fcssen zudem ein virtuelles Air Gap zwischen OT und IT schaffen, um sie vor Bedrohungen zu sch\u00fctzen und deren Auswirkungen einzud\u00e4mmen.
    <\/li>
  3. Web-basierte Firewalls: <\/strong>Eine Web Application Firewall (WAF) tr\u00e4gt zum Schutz von Webanwendungen bei, indem sie den HTTP-Datenverkehr zu und von einem Webdienst filtert und \u00fcberwacht. Sie ist die erste Verteidigungslinie gegen Cyber-Angriffe. Implementieren Unternehmen neue Webanwendungen oder Schnittstellen (APIs) k\u00f6nnen diese durch Schwachstellen im Webserver, Server-Plugins oder anderen Problemen Ansatzpunkte f\u00fcr Angreifer sein. Eine WAF hilft dabei, diese Anwendungen sowie die verarbeiteten Daten zu sch\u00fctzen.
    <\/li>
  4. Regelm\u00e4\u00dfige Patches: <\/strong>Unternehmen sollten zum Schutz der Betriebstechnologie regelm\u00e4\u00dfig geplante Sicherheitsupdates veranlassen. Das sollte selbstverst\u00e4ndlich sein, aber eine oft geh\u00f6rte Bef\u00fcrchtung ist, dass Software-Updates den Produktionsbetrieb verz\u00f6gern oder sogar lahmlegen k\u00f6nnten. Als Konsequenz daraus erhalten industrielle Ger\u00e4te h\u00e4ufig kritische Updates nicht rechtzeitig oder gar nicht, sodass bekannte Schwachstellen \u00fcber Wochen oder sogar Monate bis Jahre bestehen bleiben k\u00f6nnen. In solch einem Fall helfen virtuelle Security Patches. Diese k\u00f6nnen die Ger\u00e4te bis zum n\u00e4chsten Software- oder Hardware-Update sch\u00fctzen.\u00a0<\/li><\/ol>\n\n\n\n

    Risikofaktor Mensch minimieren<\/strong><\/p>\n\n\n\n

    Gro\u00dfe Fabriken und wichtige Logistik-Drehscheiben sind attraktive Ziele f\u00fcr Cyber-Angriffe. Unternehmen k\u00f6nnen sich allerdings durch diverse Ma\u00dfnahmen sch\u00fctzen und so hohe Verluste durch Erpressung oder Produktionsausf\u00e4lle verhindern. Dazu k\u00f6nnen sie einerseits auf eine Mikrosegmentierung der OT-Netze setzen sowie auf webbasierte Firewalls und regelm\u00e4\u00dfige Sicherheitspatches \u2013 auch f\u00fcr die OT. Andererseits sorgen eine strikte ZTA-Policy und die Aufkl\u00e4rung der Mitarbeiter f\u00fcr einen umfassenden Schutz. Wenn Mitarbeiter sich der Risiken und m\u00f6glichen Einfallstore bewusst sind, Angriffe fr\u00fchzeitig erkennen und verhindern zu k\u00f6nnen, dann ist schon viel gewonnen.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Deutschland gilt im internationalen Vergleich in Sachen Mobilfunk eher als Nachz\u00fcgler. Das soll sich f\u00fcr den neuen Mobilfunkstandard 5G allerdings \u00e4ndern \u2013 und die Anbieter arbeiten hart daran. Ende 2019 waren hierzulande laut Bundesnetzagentur gerade einmal 139 5G-Basisstationen in Betrieb. Ende 2020 allerdings waren es bereits beachtliche 19.510. Ein gutes Zeichen, da die 5G-Netzwerke als Grundpfeiler f\u00fcr den Ausbau des industriellen Internets der Dinge (IIoT) dienen, gerade im Bereich der kritischen Infrastrukturen.<\/p>\n","protected":false},"author":3,"featured_media":19763,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[7115,6258,821,8728,12160,6586,1862,4337,2802,15280],"class_list":["post-19762","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-5g","tag-byod","tag-fortinet","tag-iiot","tag-mikrosegmentierung","tag-mobile-computing","tag-patch","tag-sandboxing","tag-waf","tag-zta"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19762","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=19762"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19762\/revisions"}],"predecessor-version":[{"id":19764,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19762\/revisions\/19764"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/19763"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=19762"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=19762"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=19762"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}