Der Zero-Trust-Ansatz
Netzwerk-Teilnehmer sollten nur miteinander in einen Austausch treten, wenn sie einander auch tatsächlich vertrauen können und sichergestellt ist, dass die Kommunikation nicht durch unberechtigte Dritte zustande gekommen ist. Hierzu müssen sie mit sicheren digitalen Identitäten ausgestattet werden. Mit ihnen kann die Systemintegrität von Komponenten und Maschinen, kann die Kontrolle von Prozessen, Zugängen und Rechten geprüft und verifiziert werden. So lässt sich das Risiko der Kompromittierung eines Nutzerkontos, einer Maschine, eines Systems oder einer Anwendung drastisch reduzieren. Wenn bekannt ist, welcher Nutzer zu welchem Zeitpunkt auf welches System Zugriff haben darf und faktisch hat, können unberechtigte Zugriffe identifiziert, können Anomalien im Verhalten von Mensch, Maschine und OT-System aufgespürt werden. Das Prinzip heißt Zero Trust.
Maßnahmen orchestrieren
Um Identitäten zu vergeben, zu managen und abzusichern, kommen Identity and Access Management (IAM)-Lösungen zum Einsatz. Sie helfen sicherzustellen, dass nur die richtigen Identitäten – ob Mensch oder Maschine – zur richtigen Zeit aus den richtigen Gründen auf die richtigen Ressourcen zugreifen können.
Eine automatisierte Variante der Methode stellt die Identity Governance and Administration (IGA), auch Identity Security genannt, dar. IGA ist ein Richtlinien-basiertes Rahmenwerk und ein Set von Sicherheitslösungen, um identitätsbezogene Sicherheitsrisiken automatisch zu reduzieren. Mit IGA sollen die Erstellung, das Management und die Zertifizierung von Nutzerkonten, Rollen und Zugangsrechten beschleunigt werden.
Zwei PAM-Varianten möglich
Um dann noch die privilegierten Zugänge der Administratoren abzusichern, werden Privileged Access Management (PAM)-Systeme eingesetzt. Diese zentralisieren das Management von Administrator-Profilen und stellen gemäß dem Zero Trust-Prinzip sicher, dass auch diese Nutzergruppe keine unnötigen Berechtigungen erhält. Beim PAM wird zwischen Privileged Account and Session Management (PASM) und Privilege Elevation and Delegation Management (PEDM) unterschieden. Beiden Varianten arbeiten nach dem Zero Trust-Ansatz, doch bei PASM werden temporäre Passwörter für den unbeschränkten Zugriff auf spezifische Arbeitsorte vergeben. Bei PEDM hingegen werden ohne zeitliche Beschränkung inhaltlich beschränkte Zugänge zu einzelnen Systemen gewährt.