Zero-Trust-Architektur
Die neuartige Architektur folgt ‚Zero-Trust‘ nach Empfehlung des BSI, um die besonders sensiblen Industrienetze nahezu wartungsfrei zu schützen. Zero Trust erfüllt die Sicherheitsanforderungen von datengesteuerten Hybrid-Cloud-Umgebungen und bietet Unternehmen einen adaptiven und unterbrechungsfreien Schutz für Benutzer, Daten und Anlagen sowie die Möglichkeit, Bedrohungen proaktiv zu verwalten. Diese Praxis des stetigen Überprüfens statt Vertrauens zielt darauf ab, jeden Benutzer, jedes Gerät und jede Verbindung für jede einzelne Transaktion mit Sicherheit zu umgeben. Die Anwendung eines Zero-Trust-Frameworks kann auch Verteidigern helfen, Einblicke in ihr gesamtes Sicherheitsgeschäft zu gewinnen. Sie können Sicherheitsrichtlinien konsequent durchsetzen und Bedrohungen schneller und präziser erkennen und darauf reagieren.
Konsequente Isolation
Das Se.MIS-Konzept der Isolation zwischen Techniker und einzelner Maschine bzw. Maschinennetzwerk stellt dabei sicher, dass er zu keiner Zeit direkten Netzwerkzugriff auf die jeweilige Maschine bekommt. Somit lassen sich auch unsichere oder ‚ungepatchte‘ Systeme wie Windows XP/ 7 problemlos anbinden. Bei entsprechender Konfiguration kann ein Virenscanner auf dem Zielsystem ebenso entfallen. Alle Datei-Transfers werden in der digitalen Audit-Plattform dokumentiert und sind auf Viren und Schadcode überprüfbar bevor diese das Zielsystem erreichen. Auch softwarebasierte Datendioden sind möglich. Beim reglementierten Zugriff auf SPS-Steuerungen wird die Isolation konsequent fortgesetzt. Der Download kann disassembliert und mit dem Wartungsvorhaben verglichen werden. So hat auch unbekannter SPS-Schadcode keine Chance auf Eindringen.
Der Sicherheits-Manager
Kernstück ist der Se.MIS-Manager mit Web-Interface. Das Gesamtsystem wird im internen Netz betrieben und ist im Idealfall das einzige System mit indirektem Zugriff auf das isolierte Maschinennetzwerk. Der Manager kann in der Cloud oder außerhalb auf einem lokalen System installiert werden. Die komplette Lösung wird als digitaler Container vorinstalliert und vorkonfiguriert ausgeliefert. Steht ein Update an, wird dieser lediglich getauscht.