IT Zero Trust funktioniert durch die Installation von Agenten auf Endgeräten. Der Agent prüft den Gerätezustand, setzt Richtlinien durch und übermittelt Telemetriedaten. In OT-Umgebungen scheitert dieses Modell. PLCs betreiben proprietäre Firmware. CNCs laufen auf eingebetteten Betriebssystemen aus dem Jahr 2005. HMIs betreiben Windows XP Embedded ohne Aktualisierungspfad. Auf keinem dieser Geräte lässt sich ein Agent installieren. Ein anderer Ansatz ist erforderlich.
Warum Agenten in OT nicht funktionieren
Proprietäre Betriebssysteme
Die meisten PLCs und industriellen Steuerungen betreiben proprietäre Echtzeit-Betriebssysteme. Allen-Bradley verwendet ControlLogix OS. Siemens verwendet die Step 7-Laufzeitumgebung. Fanuc CNC-Steuerungen betreiben ihre eigene Firmware. Keines dieser Systeme unterstützt die Installation von Software Dritter.
Echtzeit-Anforderungen
Industrielle Steuerungen arbeiten in deterministischen Zyklen im Millisekundenbereich. Eine PLC, die alle 10 ms I/O abtastet, kann den CPU-Overhead oder das Timing-Jitter, das ein Sicherheitsagent verursacht, nicht tolerieren. Selbst eine kurze Verzögerung kann einen Sicherheitsfehler oder einen Produktionsstopp auslösen.
Kein Aktualisierungspfad
Viele OT-Geräte laufen seit 10 oder 20 Jahren mit derselben Firmware. Der Hersteller existiert möglicherweise nicht mehr. Selbst wenn Updates verfügbar sind, erfordern sie Produktionsausfallzeiten und eine erneute Qualifizierung. Die Kosten für das Patchen übersteigen häufig den Wert des Geräts.
Zertifizierung und Garantie
Industrielle Anlagen sind oft für bestimmte Konfigurationen zertifiziert. Die Installation nicht autorisierter Software macht die Garantie nichtig und kann Sicherheitszertifizierungen ungültig machen. In regulierten Branchen ist das keine Option.
Die Netzwerkschicht als Alternative
Statt das Gerät abzusichern, wird der Zugang zum Gerät abgesichert. Ein identitätsbewusster Proxy sitzt zwischen dem Benutzer und dem OT-Asset. Jede Verbindung läuft über den Proxy, der:
- Den Benutzer authentifiziert mit MFA, bevor die Sitzung aufgebaut wird
- Die Sitzung autorisiert auf Basis von Rolle, Asset, Protokoll und Zeitfenster
- Die Sitzung protokolliert mit Benutzeridentität, Zeitstempel und Nutzdaten
- Die Verbindung verschlüsselt zwischen dem Benutzer und dem Proxy
- Das Asset isoliert in einem Mikrosegment mit standardmäßigen Deny-Regeln
Das OT-Gerät arbeitet weiterhin exakt wie bisher. Es sieht dasselbe Protokoll, dieselben Verkehrsmuster, dasselbe Timing. Die Durchsetzung erfolgt am Proxy, nicht auf dem Gerät.
Was Sie ohne Agenten erhalten
| Fähigkeit | Agentenbasiert | Netzwerkschicht |
|---|---|---|
| Identitätsverifizierung | Ja | Ja (am Proxy) |
| MFA-Durchsetzung | Ja | Ja (am Proxy) |
| Sitzungsprotokollierung | Ja | Ja (am Proxy) |
| Protokollinspektion | Eingeschränkt | Ja (Deep Packet) |
| Gerätezustandsprüfung | Ja | Nein |
| Funktioniert auf Legacy-OT | Nein | Ja |
| Produktionsauswirkung | Störungsrisiko | Keine |
Die einzige Fähigkeit, die entfällt, ist die Gerätezustandsbestätigung. Der interne Zustand einer PLC lässt sich vom Netzwerk aus nicht verifizieren. Dafür lassen sich alle Verbindungen zu und von ihr verifizieren und kontrollieren – was CMMC, NIS2 und IEC 62443 tatsächlich fordern.
Die Overlay-Architektur
Access Gate wird als physische Appliance oder VM neben Ihrem bestehenden Netzwerk bereitgestellt. Es erstellt ein Overlay-Netzwerk im Adressraum 100.64.0.0/16. Jedes OT-Asset erhält einen Proxy-Endpunkt. Das Overlay übernimmt Identität, Zugangskontrolle, Protokollierung und Verschlüsselung. Das Underlay (Ihre vorhandenen Switches, VLANs und Verkabelung) bleibt unverändert.
Dies wird manchmal als „Lollipop-Architektur" bezeichnet, weil jedes Asset einen einzigen erzwungenen Pfad (den Stiel) zu seinem Proxy (dem Bonbon) hat. Keine laterale Bewegung zwischen Assets. Keine nicht authentifizierten Verbindungen. Keine nicht protokollierten Sitzungen.
Weitere Zero Trust OT-Ressourcen, Architekturleitfäden und Vergleiche finden Sie im Zero Trust für OT-Netzwerke Hub.
