Industrielle Steuerungssysteme: ein wertvolles Ziel für Cyberkriminelle

Über Jahrzehnte waren industrielle Steuerungssysteme (Industrial Control Systems, ICS) – kritische Produktionssysteme in den Betriebstechnologie-Umgebungen (Operational Technology, OT) von Industrieunternehmen – von anderen Systemen und dem Internet isoliert. Mit der zunehmenden Vernetzung von IT-Systemen und OT-Umgebungen gehört diese Abschottung jedoch der Vergangenheit an, wodurch das Risiko erfolgreicher Cyberangriffe deutlich steigt.

Der Einsatz handelsüblicher Technologien auf der Betriebs- und Überwachsungsebene von ICS-Architekturen – auf denen sich Mensch-Maschine-Schnittstellen, Datenbanken für Prozessdaten, Workstations und weitere Computersysteme finden – bedeutet neue Risiken bei der Nutzung kommerzieller Betriebssysteme. Aufgrund der hohen Verfügbarkeitsanforderungen von ICS-Ressourcen wirken Unternehmen ihnen indes nur selten entgegen. Ursachen dieser Risiken sind unter anderem:

  • eine große Anzahl von privilegierten und Administratorkonten, über die Benutzer und Anwendungen auf die ICS-Umgebung zugreifen können
  • gemeinsam genutzte Konten, die den Zugriff auf kritische Systeme ohne individuelle Kontrolle gestatten
  • Industrieanwendungen mit eingebetteten, hartcodierten Zugangsdaten
  • Workstations mit vollen Administratorrechten

Um diese Risiken zu mindern und Compliance-Anforderungen einzuhalten, müssen Industrieunternehmen privilegierte Accounts für den Zugriff auf ICS-Umgebungen aktiv schützen und überwachen. Mit der CyberArk Privileged Account Security Lösung können Unternehmen den Zugriff auf privilegierte Accounts, die Zugang zu kritischen Systemen bieten, sichern, überwachen und kontrollieren. Dabei sorgt die Lösung mit zahlreichen Funktionen für einen umfassenden Privileged-Account-Schutz in industriellen Steuerungssystemen:

  • Erkennung aller privilegierten Accounts und Vertrauensbeziehungen in Windows- und Unix-Umgebungen
  • Entfernung hartcodierter Zugangsdaten aus Industrieanwendungen und sichere Speicherung in einer Umgebung mit Zugriffskontrolle
  • sichere Speicherung und automatisierte Rotation der von Remote-Benutzern und Anwendungen verwendeten Zugangsdaten privilegierter Accounts (Passwörter und SSH-Keys)
  • Isolierung privilegierter Sessions mittels eines gehärteten Jump-Servers zur Trennung kritischer Systeme von angreifbaren Benutzergeräten sowie Aufzeichnung und Live-Überwachung privilegierter Sessions
  • Durchsetzung von Least-Privilege-Richtlinien für Superuser auf kritischen Systemen
  • Benachrichtigungen in Echtzeit über ungewöhnliche Aktivitäten privilegierter Accounts

Die integrierte Lösung von CyberArk wird auf einer einzigen Plattform bereitgestellt, lässt sich zentral verwalten und bietet die nötige Skalierbarkeit für den Einsatz in großen, komplexen und heterogenen OT-Umgebungen. So können Unternehmen die Konten einer großen Anzahl von Remote-Benutzern mit granularen Kontrollen und unterschiedlichen Genehmigungsverfahren äußerst effizient verwalten.

Vorteile:

  • Identifizierung von Privileged-Account-Risiken durch die Ermittlung aller privilegierten Benutzer- und Anwendungskonten – einschließlich solcher für den Remote-Zugriff –, Zugangsdaten und Vertrauensbeziehungen
  • Senkung des Risikos unbefugter Zugriffe auf kritische Systeme durch die Sicherung und Kontrolle des Zugriffs auf privilegierte Accounts
  • Erhöhung der Sicherheit von Industrieanwendungen durch die Entfernung hartcodierter Zugangsdaten
  • Ermöglichung eines sicheren Remote-Zugriffs bei verringertem Risiko, dass Schadsoftware von Benutzergeräten auf kritische Systeme gelangt
  • Erfüllung von Compliance-Anforderungen mit einem vollständigen Audit-Trail aller Benutzeraktivitäten und Zugriffe auf privilegierte Accounts
  • Senkung des Risikos eines vorsätzlichen oder unbeabsichtigten Missbrauchs erhöhter Berechtigungen
  • deutliche Reduzierung von Gelegenheiten für Angriffe und Begrenzung des möglichen Schadens dank präziser, priorisierter Meldungen laufender Angriffe in Echtzeit

Normen und Vorschriften:

Die CyberArk Privileged Account Security Lösung versetzt Unternehmen in die Lage, Normen und Industrievorschriften verschiedenster Organisationen und Behörden in Bezug auf die Sicherheit privilegierter Accounts einzuhalten:

  • North American Electric Reliability Corporation – Critical Infrastructure Protection (NERC CIP)
  • National Institute of Standards and Technology (NIST) SP-800-82
  • Europäische Agentur für Netz- und Informationssicherheit (ENISA)