Chief Cybersecurity Officer gibt Einblicke
Wie Siemens Zero Trust umsetzt
Foto: Tobias Arhelger - shutterstock.com
Siemens arbeitet nicht nur daran, seine Produkte möglichst frei von Schwachstellen zu halten, sondern legt vor allem auch Wert auf sichere, interne Prozesse. Der Fertigungsgigant, der in diversen Geschäftsbereichen tätig ist - darunter Industrie, Smart Infrastructure, Gesundheitswesen und Finanzdienstleistungen - schützt seine Systeme, indem er drei Hauptbereiche fokussiert:
In den 166 Jahren seines Bestehens ist Siemens durch Übernahmen exponentiell gewachsen und beschäftigt heute mehr als 300.000 Mitarbeiter. Die Akquisition von Unternehmen bringt allerdings Systemintegrationen und oft auch Sicherheitsrisiken mit sich. "Wir sind eine Company der Companies", konstatiert Helen Negre, die kürzlich die Rolle des Chief Cybersecurity Officer für Siemens USA übernommen hat. Die Managerin ergänzt: "Das erschwert es, eine übergreifende Cybersicherheitsstrategie für das gesamte Unternehmen zu entwickeln."
Dazu kommt allerdings, dass sich Siemens wegen seines Engagements im Bereich der kritischen Infrastrukturen stets im Fadenkreuz von fortschrittlichen Angreifern befindet, wie die Sicherheitsentscheiderin deutlich macht: "Nennen Sie eine kritische Infrastruktur - wir haben höchstwahrscheinlich etwas damit zu tun. Angesichts der aktuellen politischen Lage müssen wir täglich Milliarden sicherheitsrelevanter Ereignisse managen."
Was Zero Trust für Siemens bedeutet
Mit seinem Fokus auf Zero Trust steht Siemens nicht allein da: Laut den Analysten von Forrester haben sich weltweit 83 Prozent aller Großunternehmen zur Einführung von Zero Trust verpflichtet. Der Sicherheitsanbieter Okta kommt im Rahmen seines "2022 State of Zero Trust Report" zum Ergebnis, dass 55 Prozent der befragten Unternehmen bereits eine Zero-Trust-Initiative eingeführt haben, während 97 Prozent in den nächsten 12 bis 18 Monaten damit planen.
Im Fall von Siemens bedeutet Zero Trust in erster Linie Mikrosegmentierung, Perimetersicherheit, strenges Identity Management und eine strikte Durchsetzung von Richtlinien. Dabei verfolgt der Konzern einen dreistufigen Zero-Trust-Ansatz. In der ersten Phase geht es darum, aufzuklären, eine Roadmap zu erstellen, die abzusichernden Applikationen und Assets zu identifizieren sowie eine gemeinsame Definition darüber zu erarbeiten, wie Zero Trust für jede Organisation innerhalb des Unternehmens aussehen soll.
"Dabei ging es teilweise auch um das kulturelle Mindset", stellt Negre fest und führt aus: "Die Mitarbeiter auf allen Ebenen des Unternehmens mussten verstehen, was Zero Trust ist, warum es wichtig ist und wie es die Risiken reduziert. Darüber hinaus brauchte jede unserer Organisationen eine Roadmap mit konkreten Meilensteinen. Das Ziel war es, gemeinsam mit den einzelnen Geschäftsbereichen ein Zero-Trust-Framework zu kreieren. Das lief also nicht so ab, dass die Security die Vorgaben machte."
Diese erste Phase der Zero-Trust-Umstellung ist laut der CCO von Siemens USA inzwischen abgeschlossen. Derzeit durchläuft der Konzern die zweite Phase, in der es darum geht, alle "low-hanging fruits" der Zero-Trust-Roadmap in Angriff zu nehmen - die Projekte, die innerhalb von sechs bis zwölf Monaten umgesetzt werden können.
Die dritte Phase des Zero-Trust-Shift bei Siemens umfasst schließlich alle längerfristigen Projekte. Etwa in stark regulierten Branchen, wie die Sicherheitsentscheidern nahelegt: "In diesen Bereichen könnte eine langsamere, bewusstere Umstellung erforderlich sein. Und dann sind da noch die Standorte mit Legacy-Geräten, die erhebliche Investitionen erfordern, bevor sie sich auf Zero Trust umstellen lassen."
Legacy-Hardware macht Probleme
Gerade im Industrie- und Healthcare-Umfeld ist in die Jahre gekommene Hardware keine Seltenheit, die nicht für den Einsatz in der vernetzten Welt gedacht und damit auch nicht Zero-Trust-kompatibel ist. "In Produktionsumgebungen ist der Lebenszyklus von Geräten relativ lang. Bei einem Brownfield-Projekt in einer Branche, die sich seit 40 Jahren kaum verändert hat, bekommen Sie Dinge zu sehen, die Ihr Großvater noch erkannt hätte", illustriert Negre. Nach ihrer Aussage zählen bei Siemens etwa ein bis zwei Prozent der Fabriken zu den modernsten Smart Factories, die um Cybersecurity-Grundsätze herum aufgebaut wurden. Weitere ein bis zwei Prozent seien Relikte der Vergangenheit - der Rest liege irgendwo dazwischen.
"Ob es um interne Abteilungen oder externe Kunden geht, wir müssen sie dort abholen, wo sie sind. Das ist manchmal eben eine ältere Maschine, die 30 Jahre lang perfekt funktioniert hat. Dann stellt sich die Frage, wie wir in einem solchen Fall auf sichere Weise Konnektivität bereitstellen und das Ganze zu Zero Trust transformieren", verdeutlicht die Siemens-CCO.
Im Fall von Produktionsumgebungen seien Maschinen möglicherweise nonstop in Betrieb und könnten nicht abgeschaltet werden, um gepatcht zu werden. Hinzu komme, dass einige Anlagen und Maschinen mit maßgeschneiderter Software ausgestattet seien, die speziell für den jeweiligen Standort entwickelt wurde. Ein Sicherheits-"Wrapper" für solche Geräte sei lediglich eine Notlösung, konstatiert die Managerin und ergänzt nicht ohne Stolz: "Wir verlassen uns nicht allein darauf. Selbst wenn der Security Wrapper über Konnektivität und eine Firewall verfügt, reicht das nicht aus, um unsere internen Standards zu erfüllen. Die decken nämlich auch die Bereiche Passwort beziehungsweise Authentifizierung und Mikrosegmentierung ab."
Die beste Option sei in den meisten Fällen alle Komponenten auszutauschen - was Siemens auch als langfristiges Ziel verfolge. Letzten Endes sei entscheidend, so Negre, dass alles auf Zero Trust umgestellt wird.
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.