Nachhaltige NAC-Lösung für cyber-resilienten Betrieb
Malte Marquardt | Dezember 14, 2023
Ein NAC-System muss eine nachhaltige Umsetzung einer Sicherheitsstrategie ermöglichen, indem es konfigurative und strategische Freiheiten einräumt. Dies ermöglicht einen maximalen Aktionsradius für das NAC, der nicht im Widerspruch zu einer gleichbleibend hohen Anlagenverfügbarkeit stehen darf. Insbesondere in OT-Netzwerken ist der Einsatz von Network Access Control lange Zeit vermieden worden, da NAC in der Vergangenheit oft als Technologie angesehen wurde, die die Geschäftskontinuität negativ beeinflusst. Mit Blick auf die verschärfte Bedrohungslage und die Entwicklung der IT-OT-Konvergenz müssen Maßnahmen der OT-Security überdacht werden. Wie kann NAC dabei helfen?
Anlagenverfügbarkeit hat oberste Priorität
Die Anlagenverfügbarkeit in OT-Systemen darf niemals aufgrund von NAC-Maßnahmen gefährdet werden. Produktionsmaschinen nutzen in der Regel nicht die klassischen Protokolle, die in IT-Systemen üblich sind. Daher ist es in OT-Umgebung oft nicht möglich, dass ein Fremdsystem, wie beispielsweise eine NAC-Lösung, in die Kommunikation eingreift. Wird ein unbekanntes Endgerät angeschlossen, kann der neue Zugriff nicht so einfach unterbunden werden, wie in klassischen IT-Umgebungen. Denn die Unterbindung der Kommunikation in Anlagen ist nicht gewünscht, da Unterbrechungen den Betrieb gefährden könnten. Wird ein Endgerät einfach aus dem Netzwerk entfernt, könnte dies zu weitreichenden Wechselwirkungen führen.
Um den nahtlosen Betrieb sicherzustellen, werden in Produktionen oft andere Sicherheitsstrategien genutzt, beispielsweise Firewall-Zonen oder das Abkapseln einzelner Produktionsbereiche zu sogenannten Zellen. Diese Sicherungsstrategien sind häufig nicht endgerätezentrisch, sondern haben zum Ziel, komplette Funktionsbereiche einer Anlage zu segmentieren, um eine Beeinflussung von außen zu unterbinden.
Eine Produktionszelle ist ein einzelner Funktionsbereich innerhalb einer Produktion. Die Einteilung erfolgt meist anhand spezieller Bauteile wie Roboter, Transportsysteme oder Produktionslinien. Diese Produktionszelle arbeitet häufig in sich autark und kann über einen gewissen Zeitraum selbstständig funktionieren, ohne dass Informationen von außen zugeführt werden müssen. macmon NAC bietet verschiedene Lösungsmöglichkeiten, um eine Netzwerkgefährdung durch unbekannte Endgeräte einzuschränken, ohne den Betrieb zu beeinträchtigen.
Eine Methode ist beispielsweise eine Benachrichtigung des nächstangebundenen Ethernet-basierten IP-Ports. Hier greift macmon NAC wieder und kann eine Aktion auslösen, wie beispielsweise die Alarmierung eines Netzwerkadmins und eine temporäre physische Trennung der Zelle vom restlichen Netzwerk. Der abgekapselte Teil der Anlage arbeitet weiter und beeinflusst den Betrieb nicht. So kann eine automatische Quarantäne der Zelle erfolgen, in der ein unbekanntes Endgerät registriert wurde. Der Admin hat nun innerhalb eines gewissen Zeitrahmens die Möglichkeit, das verdächtige Netzwerkereignis zu untersuchen, ohne dass der Betrieb unterbrochen oder gefährdet wird.
Nachhaltige Umsetzung der Sicherheitsstrategie
Ein NAC-System sollte keine starren Umsetzungsstrategien vorgeben, sondern vielmehr flexible Optionen bieten, um eine langfristige und nachhaltige Sicherheitslösung zu sein.
Im Gegensatz zu anderen NAC-Anbietern ist macmon NAC eine herstellerunabhängige NAC-Lösung. Zahlreiche andere NAC-Lösungen erfordern großflächige Umbaumaßnahmen, die Anschaffung spezieller Netzwerkkomponenten sowie zukünftige Neuanschaffungen und Erneuerungen. Insbesondere in OT-Systemen kann ein solcher Um- oder Ausbau mit hohen Kosten verbunden sein, der oft zum Hemmnis wird, überhaupt in eine NAC-Lösung zu investieren. Denn mit der erstmaligen Implementierung einer herstellerabhängigen Lösung begibt man sich in ein langfristiges Abhängigkeitsverhältnis, das immer wieder Investitionen einfordern kann. Häufig sind Erneuerungen mit einer möglichen Gefährdung des Betriebs verbunden, denn im Zusammenhang mit den langen Lebenszyklen einiger Produktionsmaschinen besteht auch die Möglichkeit, dass einige Teile nicht mehr lieferbar sind. Die Neuanschaffung von Hardware für die NAC-Lösung ist meist in einem deutlich kürzeren Zeitraum notwendig als es die OT-Systeme erfordern würden. Eine herstellerabhängige Lösung ist daher für viele OT-Verantwortliche finanziell nicht attraktiv und außerdem nicht nachhaltig.
Mit der herstellerunabhängigen Lösung macmon NAC entfallen die soeben aufgeführten Problematiken. Die NAC-Lösung bedarf keiner umfangreichen Hardware-Nachrüstungen im Netzwerk und ist langfristig nachhaltig. Heterogene Infrastrukturen und Netzwerke, wie sie in der OT-Welt üblich sind, erfordern flexible und zukunftssichere Softwarelösungen.
Während Network Access Control in IT-Systemen längst gängig ist, wird der Zweck in OT-Umgebungen häufig in Frage gestellt. Lesen Sie jetzt mehr dazu, welchen Nutzen NAC für Operational Technology hat: 12 Gründe für NAC in OT