Cyberangriffe, insbesondere in Form von nicht autorisierten Fernzugriffen, sind eine wachsende Bedrohung für Industriestandorte, an denen das IoT eine immer wichtigere Rolle spielt. Seit bereits einem Jahrzehnt beschäftigt sich die Betreibergesellschaft der Pariser Flughäfen Paris Aéroport mit diesem Problem. Ihre Industrie-IT hat Actemium in Zusammenarbeit mit Axians mittels der WALLIX-Lösung abgesichert.
Die Pariser Flughäfen arbeiten seit ca. zehn Jahren an einer verstärkten Absicherung ihrer Informationssysteme.
Die Cybersicherheits-Firma Barracuda schätzt, dass in den letzten 12 Monaten 95 % aller Industriefirmen von „Sicherheitsvorfällen“ betroffen waren. Dabei handelt es sich insbesondere um „Denial of Service“-Attacken (DDoS), unautorisierte Fernzugriffe auf Netzwerke, beeinträchtigte Lieferketten, Datendiebstahl, Ransomwares usw.
Aber derartige Cybersicherheits-Vorfälle, und insbesondere Sicherheitslücken im IIoT (Industrial Internet of Things), haben häufig Auswirkungen, die weit über monetäre Verluste hinausgehen und zu erheblichen Ausfallzeiten führen: 87 % aller Firmen, die Opfer eines solchen Vorfalls wurden, waren länger als einen Tag davon betroffen.
Die große Mehrheit der Industrieunternehmen ist zwischenzeitlich der Ansicht, dass mehr in die IIoT-Sicherheit von OT-Systemen (OT = Operation Technology*) investiert werden muss: 96 % aller Unternehmensleitungen mahnen höhere Investitionen in die Industriesicherheit an, 72 % aller Firmen haben bereits entsprechende Maßnahmen umgesetzt oder sind gerade dabei.
Schrittweises Vorgehen
Muss also nur noch die genaue Vorgehensweise festgelegt werden. „Dabei kommt es nicht nur auf die Bereitstellung der entsprechenden Gelder an, sondern auch darauf, dass die Ansprechpartner:innen im Unternehmen sowie die Anlagen selbst reif für solche Maßnahmen sind“, warnt Pierre Vidard. Der Projektleiter bei Actemium Maisons-Laffitte, der auf Industrieprozesse spezialisierten Marke von VINCI Energies, empfiehlt deshalb ein schrittweises Vorgehen.
„Natürlich hängt es vom jeweiligen Unternehmen ab, aber die erste Maßnahme besteht in der Abgrenzung der Anlagen nach dem Grundsatz der „geringstmöglichen Privilegien“. Dann muss eine Lösung für obsolete Hard- und Software gefunden werden, die nicht immer den neuesten Cyberheitssicherheitsstandards entspricht bzw. entsprechend parametriert werden muss.”
„Der dritte Schritt: Wir analysieren die Gewohnheiten und Verhaltensweisen der Nutzer:innen, um Best Practices umzusetzen, welche die alltägliche Arbeit möglichst wenig beeinflussen. Angesichts des Trends zu Homeoffice und Fernwartung muss schließlich der Betrieb per VPN abgesichert werden, oder besser noch über Lösungen vom Typ Bastion**.”
Bessere Rückverfolgbarkeit der Verbindungen
Paris Aéroport hat sich bereits vor einem Jahrzehnt an diese Arbeit gemacht, gemeinsam mit Actemium, die für die Maintenance ihrer Industrie-IT zuständig ist.
„Die Ansprechpartner:innen im Unternehmen, aber auch die Anlagen müssen reif für eine solche Lösung sein.”
„2020 wollten wir spezifisch auf die neuen Anforderungen im Bereich Fernwartung eingehen, Kanäle und Datenströme im Fernbetrieb besser managen und die Verbindungen besser rückverfolgen können, um Verstöße gegen das Protokoll zu verhindern“, erläutert Sébastien Hélaouet, Leiter Sicherheit und Administration der Industrienetzwerke der ADP-Gruppe.
Actemium schlug dem Pariser Flughafenbetreiber daher die WALLIX-Lösung vor. WALLIX ist ein auf Cybersicherheit und die Absicherung von Zugängen und digitalen Identitäten spezialisiertes Softwarehaus. Die von ihm entwickelte, gleichnamige Lösung vereinheitlicht das Management von Benutzerprivilegien.
Actemium stützte sich auf die Partnerschaft zwischen Axians, der ICT-Marke von VINCI Energies, und dem Softwarehersteller, um drei „Bastion“-Lösungen in der ADP-Gruppe zu installieren, wobei eine davon bereits 2021 in Betrieb ging. „Diese Lösung ermöglicht die zentrale Festlegung von Zugriffsrechten auf abgesicherte Verbindungen. Der Vorteil ist, dass sie auch über eine Schnittstelle zur Administration der Zugriffe mit Sitzungsverfolgung verfügt“, erläutert Vidard.
Das Unternehmen hat somit einen vollständigen Überblick über die Nutzung seiner IT, ob durch Externe, etwa im Rahmen von Maintenanceaktivitäten, oder eigene Mitarbeitende, die immer häufiger aus dem Homeoffice auf die Systeme zugreifen.
Sensibilisierung als Schlüssel zum Erfolg
Der Actemium-Projektleiter unterstreicht schließlich einen allzu häufig vernachlässigten Aspekt: Die Bedeutung des menschlichen Faktors für die erfolgreiche Umsetzung einer derartigen Lösung. „Bei allen neuen IT-Systemen, und vielleicht noch mehr bei Lösungen vom Typ „Bastion“, kommt es entscheidend auf die Sensibilisierung und Information der Nutzer:innen an. Wenn man die Leute nicht mit ins Boot holt, funktioniert es schlecht oder gar nicht.”
So wurde es bei Paris Aéroport als echter Vorteil gesehen, dass man jetzt auf alle Geräte zugreifen kann, ohne die IP-Adresse der jeweiligen Hardware einzugeben – auch wenn wegen WALLIX neben dem bestehenden VPN ein weiterer Anmeldeschritt notwendig wurde. „Außerdem ist eine solche abgesicherte Lösung ungemein beruhigend für externe wie interne Mitarbeitende“, so Vidard abschließend.
* Operational Technology oder Betriebstechnik: Verwendung von Hard- und Software zur Überwachung von Industrieanlagen.
** „Bastion“ ermöglicht die Steuerung und Bereitstellung eines Single Point of Access zu bestimmten, sensiblen Bereichen eines IT-Systems.
14/12/2022
