Zero-Trust-Architektur Definition und On-Premise-Umsetzung.
In den letzten Jahren wurde der Begriff Zero Trust mitunter als Marketing-Buzzword verwendet. In dieser Ressource gehen wir zurück zu den Prinzipien von Zero Trust und dazu, wie sie sich on-premise umsetzen lassen, für Industrie und OT.
Was ist eine Zero-Trust-Architektur?
Eine Zero-Trust-Architektur beruht auf einer Prämisse: Die Position eines Benutzers, eines Geräts oder eines Datenflusses im Netzwerk ist keine Autorisierung. Das implizite Vertrauen in alles, was sich „innen" befindet, entfällt. Jede Zugriffsanfrage wird authentifiziert, autorisiert und kontinuierlich geprüft, unabhängig von ihrer Herkunft.
Das bricht mit dem Perimetermodell, das alles hinter der Firewall als vertrauenswürdig behandelt. In einem flachen Industrienetzwerk hat diese Abkürzung ihren Preis: Ein kompromittierter Arbeitsplatz erreicht eine SPS oder einen SCADA-Server ohne Hindernis. Zero Trust schließt diesen Weg.
Drei Elemente strukturieren das Modell: die Identität (wer oder was Zugriff anfragt), die Richtlinie (was erlaubt ist, nach dem Prinzip der geringsten Rechte) und die kontinuierliche Prüfung (die Kontrolle endet nicht beim Sitzungsbeginn).
Die Prinzipien von Zero Trust
Authentifizieren & Prüfen
Jeder Zugriff wird anhand aller verfügbaren Signale authentifiziert und autorisiert, Identität, Gerät und Kontext, nicht allein anhand der Netzwerkposition.
Geringste Rechte
Jeder Benutzer oder jedes System erhält nur den für seine Aufgabe nötigen Zugriff, für eine begrenzte Zeit. In einem OT-Netzwerk werden nur die legitimen Flüsse zwischen einer Leitstation und dem von ihr gesteuerten Gerät geöffnet.
Kompromittierung annehmen
Die Architektur wird unter der Annahme entworfen, dass ein Teil des Netzwerks bereits kompromittiert ist. Feingranulare Segmentierung, Protokollierung und Eindämmung der lateralen Bewegung begrenzen den Vorfall, statt ihn sich ausbreiten zu lassen.
Zero Trust und die Rahmenwerke: ANSSI, der europäische Rahmen und NIS2
In Frankreich ist die ANSSI die Referenz für kritische Betreiber. Ihre Empfehlungen zu Segmentierung, Zugriffskontrolle und Protokollierung decken sich mit den Prinzipien von Zero Trust, ohne stets dasselbe Vokabular zu verwenden. Die Behörde bleibt gegenüber paketierten „Zero Trust"-Angeboten zurückhaltend und empfiehlt eine schrittweise Umsetzung, aufbauend auf dem Bestand.
Auf europäischer Ebene schreibt die NIS2-Richtlinie Risikomanagement-Maßnahmen vor, Segmentierung, Zugriffskontrolle und Nachvollziehbarkeit, die derselben Logik folgen. Für die OT liefert die Norm IEC 62443 die technische Umsetzung mit ihren Zonen und Conduits; die ENISA ergänzt die bewährten Praktiken.
Das meistzitierte Architekturmodell bleibt die Publikation NIST SP 800-207. Sie benennt die Komponenten eines Zero-Trust-Systems: einen Policy Decision Point (PDP), der über jede Anfrage entscheidet, und einen Policy Enforcement Point (PEP), der die Entscheidung nah an der Ressource durchsetzt. Dieses PEP/PDP-Vokabular hat sich als gemeinsame Sprache durchgesetzt; es ergänzt die französischen und europäischen Rahmenwerke, es ersetzt sie nicht.
| Rahmenwerk | Rolle in Bezug auf Zero Trust |
|---|---|
ANSSI Frankreich · kritische Betreiber | Segmentierung, Zugriffskontrolle, Protokollierung; schrittweise Umsetzung |
NIS2 Europäische Union · Richtlinie 2022/2555 | Artikel 21: Segmentierung, Zugriffskontrolle, Nachvollziehbarkeit |
IEC 62443 Technische Norm OT/ICS | Zonen und Conduits: die technische Umsetzung der Segmentierung |
ENISA Europäische Cybersicherheitsagentur | Bewährte Praktiken zur Sicherung industrieller Systeme |
NIST SP 800-207 USA · Referenzmodell | PEP/PDP-Komponenten, Mikrosegmentierung, kontinuierliche Prüfung |
Zero Trust on-premise: warum Industrie und OT nicht von der Cloud abhängen können
Die meisten Zero-Trust-Angebote leiten die Zugriffskontrolle über einen Cloud-Dienst. In einer industriellen Umgebung hält diese Annahme selten: OT-Netzwerke sind segmentiert, mitunter air-gapped, und die Produktion kann nicht von einem Drittanbieter-Dienst abhängen.
Drei Rahmenbedingungen erfordern eine On-Premise-Umsetzung:
- Souveränität: Die Datenflüsse und Protokolle eines kritischen Systems müssen weder den Standort noch das Land verlassen.
- Latenz: Regelkreise vertragen keinen Umweg über einen entfernten Point of Presence.
- Kontinuität: Ein Standort muss auch ohne Internetverbindung betriebsfähig bleiben.
Das On-Premise-Zero-Trust wendet dieselben Prinzipien an, doch Entscheidungspunkt und Durchsetzungspunkt bleiben vor Ort, unter der Kontrolle des Betreibers. Genau das macht das Modell für eine industrielle Umgebung anwendbar, ohne Verfügbarkeit oder Souveränität zu opfern.
Zero Trust, Defense-in-Depth und das Purdue-Modell für die OT
Zero Trust ersetzt die Defense-in-Depth nicht: Es erweitert sie. Defense-in-Depth schichtet Schutzebenen, Firewalls, DMZ, Härtung, in der Annahme, dass keine unfehlbar ist. Zero Trust fügt eine Prüfung auf jeder Ebene hinzu, auch innerhalb des Perimeters, wo Defense-in-Depth meist aufhört.
Das Purdue-Modell ordnet industrielle Netzwerke in Ebenen, vom physischen Prozess (Ebene 0) bis zur Unternehmens-IT (Ebenen 4 und 5), mit der IT/OT-Grenze auf Ebene 3. Es hat echte Dienste geleistet, doch seine Grundlagen geraten unter Druck, insbesondere durch die IP-Konvergenz und Echtzeit-Flüsse, die alle Ebenen durchqueren.
Viele Netzwerke wirken im Schema segmentiert und bleiben in der Praxis flach. Drei Ursachen erklären das:
- Vertrauen nach Standort: Ein Gerät gilt als sicher, weil es im richtigen Subnetz liegt, sodass ein Angreifer, der in eine Ebene eindringt, alles erbt, was diese Ebene zulässt.
- Fehlende Geräteidentität: SPS, RTU und Sensoren kommunizieren oft im Klartext, ohne nachweisen zu können, wer sie sind.
- Fehlende Sichtbarkeit unterhalb des Perimeters: kein einheitliches Inventar, keine Audit-Spur auf Sitzungsebene.
Zero Trust in die OT zu bringen bedeutet, die Purdue-Ebenen in Vertrauenszonen zu überführen, die durch kontrollierte Conduits (IEC 62443) verbunden sind, laterale Bewegung durch Mikrosegmentierung (PVLAN) am Switch zu blockieren und die Richtlinie im Netzwerk durchzusetzen, agentenlos auf den Geräten. Die bestehende IP-Adressierung und Hardware bleiben erhalten; ältere Geräte, die keinen Agenten beherbergen können, sind ebenso geschützt wie die neuesten.
Wie Access Gate On-Premise-Zero-Trust umsetzt
Access Gate wird neben dem bestehenden Netzwerk eingesetzt, agentenlos auf den OT-Geräten und ohne Produktionsausfall. Es wendet die vier Säulen von Zero Trust nah an den Ressourcen an, vollständig on-premise.
Authentifizierung
Die Identität jedes Benutzers und jedes Systems vor jedem Zugriff feststellen: MFA, Access Screens, Verzeichnisintegration.
Kontrolle
Geringste Rechte über explizite Regeln durchsetzen, zwischen Zonen, pro Benutzer und pro Protokoll. Jeder nicht vorgesehene Fluss wird standardmäßig abgelehnt.
Proxy
Sitzungen über einen Proxy vermitteln, der die Richtlinie nah an der Ressource durchsetzt, ohne etwas auf dem Gerät zu installieren.
Audit
Jede Sitzung protokollieren und aufzeichnen für einen manipulationssicheren Nachweis, direkt im Audit nutzbar.
Zero-Trust-Architektur: das Wesentliche.
Explizite Prüfung, geringste Rechte, Kompromittierung annehmen, on-premise
Eine Zero-Trust-Architektur gewährt einem Benutzer, einem Gerät oder einem Fluss kein Vertrauen allein aufgrund seiner Position im Netzwerk. Jeder Zugriff wird authentifiziert, auf geringste Rechte beschränkt und kontinuierlich geprüft. Sie ruht auf drei Säulen: Identität, einer Zugriffsrichtlinie nach geringsten Rechten und kontinuierlicher Prüfung.
Ja. Die Prinzipien von Zero Trust, explizite Prüfung, geringste Rechte und Kompromittierung annehmen, hängen nicht von der Cloud ab. In einer industriellen Umgebung bleiben Entscheidungspunkt und Durchsetzungspunkt vor Ort, unter der Kontrolle des Betreibers. Das ist eine Voraussetzung für segmentierte oder isolierte Netzwerke, für Datensouveränität und für Produktionskontinuität ohne Internetverbindung.
Defense-in-Depth schichtet Schutzebenen unter der Annahme, dass keine perfekt ist. Zero Trust ersetzt sie nicht: Es erweitert sie, indem es eine Prüfung auf jeder Ebene verlangt, bis ins Innere des Perimeters. Beide Ansätze ergänzen sich: Zero Trust schließt das implizite Vertrauen, das nach dem Überschreiten des Perimeters bestehen bleibt.
Indem die Purdue-Ebenen als Vertrauenszonen behandelt werden, die durch kontrollierte Conduits (IEC 62443) verbunden sind: Jede Zonenüberschreitung wird zu einem Prüfpunkt. Da viele OT-Geräte keinen Agenten ausführen können, wird die Kontrolle im Netzwerk durchgesetzt, ohne etwas auf den SPS, HMIs oder Sensoren zu installieren.
Die Maßnahmen aus Artikel 21 der NIS2, Segmentierung, Zugriffskontrolle und Protokollierung, entsprechen dem, was eine Zero-Trust-Architektur umsetzt. Das OT-Netzwerk nach diesen Prinzipien zu gestalten ist ein direkter Weg zur NIS2-Konformität.