Siemens hat auf der it-sa klammheimlich ein heißes Produkt vorgestellt: eine Zero-Trust-Network-Access-Lösung für OT-Infrastrukturen.
Ein Vorstoß, die Abhängigkeit von US-Vendoren im IT-Sektor zu beenden? Ich wäre ein großer Fan davon – gerade auch, weil Europa, insbesondere der deutschsprachige Raum, kontinuierlich an Fußabdruck im Hightech-Sektor verliert. So ist ASML wohl Europas letztes Unternehmen, dem es bislang gelungen ist, sich im Hightech-Markt gegen die US- und China-Konkurrenz zu behaupten, während nahezu alle anderen Märkte bereits übernommen wurden oder kurz davor stehen – was Europa einen riesigen geostrategischen Nachteil einbringt.
Ich habe deshalb mit besonders großer Neugier mit den Architekten von Siemens gesprochen und versucht, das Produkt zu verstehen.
Wie funktionieren OT-Netze bisher?
OT-Netze werden üblicherweise in Zellen unterteilt (Beispiel: Prozess Flaschenreinigung). Eine Zelle enthält meist mehrere einzelne Maschinen, Sensoren, Monitore und deren Steuereinheiten, die gemeinsam einen geschlossenen Funktionsbereich darstellen. Die Steuerungen sind in der Regel Siemens-SPS und werden mittels PROFINET an die einzelnen Elemente angebunden.
PROFINET ist ein Industrial-Ethernet-Standard, den Siemens einst erfunden bzw. maßgeblich entwickelt hat. Er lehnt sich grob an das reguläre Ethernet-Protokoll an bzw. leitet sich davon ab. Das Protokoll wurde entwickelt, weil OT-Umgebungen häufig hochgradig latenzsensibel sind und nahezu in Echtzeit kommunizieren müssen. Wir sprechen bei PROFINET also quasi von einer Echtzeit-Layer-2-Verbindung.
Die Verbindung mehrerer Zellen zu größeren Systemen (z. B. einer Getränkeabfüllanlage mit einzelnen Zellen wie Flaschenreinigung, Abfüllung, Verschluss, Etikettierung etc.) erfolgt üblicherweise über klassisch geroutete TCP/IP-Verbindungen. Dafür werden die einzelnen Steuerungen (bzw. deren Steuereinheiten, also die SPS) in verschiedenen VLANs auf Switches terminiert und dort geroutet.
Im Überblick (es gibt selbstverständlich eine Vielzahl an Variationen) sieht ein solches Netz dann ungefähr so aus – weitere Details folgen später.
.png?width=2627&height=1933&name=Architektur%20Workshop%20Template%20-%20Proposal%20(2).png)
Die Probleme von OT-Netzen
Das Problem dabei: Segmentierung.
Alle Elemente können sich ungehindert sehen. Gerade mit Blick auf die enormen Abschreibungszeiten von OT-Umgebungen (oft mehrere Jahrzehnte) und deren dadurch häufig völlig veraltete (Betriebs-)Systeme – niemand patched gern laufende OT-Systeme, deren Ausfall innerhalb kürzester Zeit riesige Schadenssummen verursachen würde – öffnet Lateral Movement (also das Bewegen von Malware innerhalb der OT-Umgebung) im übertragenen Sinne Tür und Tor.
Daher werden solche Zonen und deren Netze manchmal (effektiv allerdings in den seltensten Fällen) auf OT-Firewalls terminiert. Diese filtern dann die Zugriffe von Zone 1 auf Zone 2. Klingt gut – ist aber aufgrund der vielen Einzelverbindungen ziemlich aufwendig, statisch und teuer.
Da diese Umgebungen sowohl hochgradig sensibel als auch meist mit uralten Softwareständen behaftet sind, werden sie üblicherweise gekapselt, also komplett vom regulären IT-Netz getrennt. So weit, so gut – wäre da nicht das Problem, dass:
-
externe Servicetechniker der Maschinenhersteller regelmäßig Wartungs- oder Instandhaltungszugriffe benötigen,
-
man Daten aus diesen OT-Umgebungen extrahieren muss, um sie zu verarbeiten oder auszuwerten,
-
OT-Systeme mittlerweile auch gern auf virtualisierte Management-Konsolen oder SaaS-Applikationen zugreifen wollen.
Man muss das OT-Netz also doch öffnen – irgendwie, mit der Brust durchs Auge, sprich: mit Firewalls, Remote-VPNs, Tunnel-Boxen der Hersteller oder sonstigen Workarounds. Hässlich, unsicher, unkontrollierbar – aber es funktioniert.
In den OT-Umgebungen gibt es dann oft separate PCs, um diese Netzwerköffnungen möglichst gering zu halten. Von diesen aus lässt sich die Vor-Ort-Wartung ermöglichen, nicht aber die Remote-Wartung.
Zero Trust in IT Umgebungen - SASE in kurz
.png?width=300&height=327&name=Architektur%20Workshop%20Template%20-%20Current%20Situation%20(1).png)
Was ist eigentlich Zero Trust?
Zero Trust wird häufig im Kontext von SASE definiert – einer modernen Art und Weise, Netzwerk und Security miteinander verschmelzen zu lassen. Es beruht auf der erweiterten Evaluierung von Kontext (Standort, Gerät, User) in Bezug auf jede einzelne angefragte App (quasi IP + Port + Layer-7-Protokoll). Im Optimalfall entsteht so eine fully-meshed, mikrosegmentierte Umgebung mit den beiden Komponenten SSE und WAN-Edge.
Die Strategie dahinter: Den Perimeter zu einem „dummen Internetzugang“ zu degradieren – also hochgradig einfach, günstig und standardisiert zu gestalten – und Kosten sowie Komplexität in die Cloud zu verlagern. Dabei werden mittlerweile sogar Features wie PAM (privilegierte Zugriffe mittels SSH oder RDP) oder WAF (sicheres Exponieren interner Systeme über den Zero-Trust- bzw. SASE-Exchange) mit eingebunden. Das gilt sowohl für IT- als auch für OT-Umgebungen.
Das heutige Problem bei fast allen Lösungen am Markt: Keiner ist stark in jedem Bereich. Der eine kann den Teil WAN-Edge gut, ist dafür schwächer im SSE, der nächste kann beides mittelmäßig, der dritte hat, wenn überhaupt, kein DLP, und der vierte oder fünfte beherrscht kaum East-West-Segmentierung.
(Und für die Microsoft-Jünger da draußen: Microsoft verdient – zumindest derzeit – nicht einmal die Klassifizierung SSE.)
Das ist der Grund, warum Rheintec aktuell primär auf Multi-Vendor-SASE-Lösungen setzt – also einen Vendor für SSE und einen anderen für WAN-Edge.
Eine solche Umgebung kann dann (hier zum Beispiel mit Zscaler, Cloudflare, Ubiquiti, Fortinet) so aussehen:
.png?width=400&height=266&name=Architektur%20Workshop%20Template%20-%20Proposal%20(3).png)
Soweit also zum aktuellen Stand der Technik. Ich weiss, ihr wollt wissen was Siemens Zero Trust ist.
Der Usecase von SINEC Secure Connect Zero Trust
Hier ist dein Text mit korrigierten Fehlern und dezentem Feinschliff (Schweizer Rechtschreibung, keine inhaltlichen Änderungen):
SINEC, also die Zero-Trust-Lösung von Siemens, zielt darauf ab, OT-Umgebungen (vorzugsweise von Siemens) netzwerkseitig mikrosegmentieren. Die Lösung soll das bekannte Problem lösen, dass OT-Zugriffe oft schwer zugänglich in separaten Netzwerken/Zonen hängen und der Zugriff darauf umständlich ist, während die Segmentierung in den meisten Unternehmen maximal makrotechnisch gelöst ist. Dabei soll SINEC ermöglichen, sowohl Benutzerzugriffe sicher auf OT-Geräte (primär die vorgeschalteten SPS-Steuerungen, an denen die einzelnen Maschinen/Anlagen terminieren) zu erlauben, als auch East-West-Zugriffe zwischen OT-Geräten mikrosegmentiert zu ermöglichen – Letzteres sogar standortübergreifend.
Ermöglicht wird das über «Edge-Router». Diese Edge-Router werden vor den Zellen positioniert, bei Bedarf in Hochverfügbarkeits-Clustern. Die Cluster-Member werden von einem zentralen «Secure Connect Controller» verwaltet. Dieser weist Logik, Konfiguration, Policies und Routen zu. Er ist das zentrale Management und die Admin-UI für die Lösung. Die Edge-Router können sich miteinander verbinden (verschlüsseltes Overlay-Netzwerk). Dies geschieht vollvermascht (full-meshed), auch standortübergreifend. Der standortübergreifende Zugriff kann entweder über gehostete (Siemens hat dies quasi durch Automatisierung teil-SaaS-ifiziert) Edge-Router in Public Clouds in der gewünschten Region (wegen Latenz) erfolgen. Das Deployment in einer Siemens-AWS-Umgebung ist heute angeblich bereits vollautomatisiert. Alternativ können die Router auch exponiert werden, um ein direktes Routing zwischen Standorten zu ermöglichen und zusätzliche Latenz über die Public Cloud zu vermeiden. Dabei müssen diese Router natürlich öffentlich erreichbar gemacht werden (aua – wer macht denn so was?). Die Router ziehen dann den Traffic nach Eingang auf deren Ports ins Overlay-Netzwerk und routen diesen auf dem kürzesten Weg durch das vermaschte Netzwerk zum Ziel. Mikrosegmentierung kann über das zentrale Management appliziert werden, ist aber komplett nicht automatisiert. Die Protokolle werden dabei anwendungsbewusst (application-aware) identifiziert und können ebenso in der Policy referenziert werden.
Der Zugriff von Usern geschieht nach demselben Prinzip. User verbinden sich auf Edge-Router, werden dort segmentiert und dann gegebenenfalls auf OT-Umgebungen zugelassen – oder eben nicht. Dies geschieht aktuell per Agent. Der Agent kann sich entweder direkt auf die Edge-Router in den OT-Umgebungen verbinden (Achtung: Auch hier muss der Edge-Router exponiert werden) oder kann über die Instanzen in den Public Clouds (zu denen sich die OT-Router inside-out verbinden können) geroutet werden (höhere Latenz). Dies soll die Zugriffe OT-to-OT mikrosegmentieren bzw. den Zugriff Benutzer/Dienstleister-to-OT vereinfachen.
Die Infrastruktur sieht (das zentrale SaaS-Management, das Policies und Router steuert, zur Übersichtlichkeit weggelassen) dann – ohne Netzwerk-Komponenten, dazu später in der Kritik mehr – in etwa so aus:
.png?width=2693&height=1802&name=Architektur%20Workshop%20Template%20-%20Proposal%20(4).png)
Bewertung und Kritik
Grundsätzlich: Ich finde die Tatsache, dass ein europäischer Hersteller in den IT-Bereich einsteigt, sehr gut. Wenn wir strategisch überhaupt noch irgendeine Chance haben wollen, dann ist das jetzt eh schon die allerletzte Chance. Nichts sehne ich mehr, als Europa wieder führend in der Hightech-Industrie zu sehen, weil sie unseren Wohlstand sichert, für Arbeitsplätze sorgt und uns ermöglicht, unser aufgeklärtes Weltbild mit etwas mehr Standfestigkeit in der Welt zu verteidigen.
Ich will auch nicht unfair sein, denn: Siemens ist – auch wenn sie eigentlich Zscaler-Kunde sind und intern viel Know-how im SASE- und Zero-Trust-Bereich haben – neu in dem Umfeld. Das Produkt wurde gerade erst gelauncht, während Amerikaner, Chinesen (auch wenn hier keiner weiss, was Huawei nicht alles für gute Lösungen baut) und Israelis seit Jahrzehnten in dem Markt unterwegs sind.
Ich kann auch die Qualität des Produktes nicht bewerten, da ich es noch nie ausprobiert habe und all mein Wissen aus den Gesprächen mit den Siemens-Architekten kommt. Fehler seien mir hier also bitte verziehen; ich korrigiere sie gern transparent im Nachgang.
Dennoch muss ich folgende Kritik äussern.
Komplexität einer Insellösung
Siemens trennt strategisch den Bereich OT von IT. Gemäss den Aussagen ihrer Mitarbeitenden haben sie auch kein Interesse daran, später in den IT-Markt vorzudringen. Dies stellt aus meiner Sicht jedoch ein massives Problem dar: Anstatt Komplexität zu reduzieren, wird sie erhöht.
Mit dem architektonischen Ansatz des Status quo braucht es weiterhin Firewalls für IT sowie OT-to-IT, weiterhin Proxys und zusätzlich eine separate SSE-Lösung für IT. Der Ansatz, IT und OT zu trennen, ist meiner Meinung nach realitätsfremd und maximal ineffizient.
Er führt letztlich dazu, dass ich Hardware an den Standorten multiplizieren statt halbieren muss. Insgesamt entsteht dadurch noch mehr Komplexität, weil ich ein weiteres (neben SSE) Overlay-Netz im lokalen Netzwerk administrieren, managen und überwachen muss.
Auch wenn der Zero-Trust-Markt aktuell eine Marktdurchdringung von maximal 20–30 % hat und damit weiterhin enormes Wachstumspotenzial besteht, bezweifle ich, dass Siemens langfristig damit Erfolg haben kann, wenn sie nicht in den IT-Sektor hineinwachsen.
Feature Dichte und Automatisierung
Wenn ich an Zugriffe auf OT denke, dann will ich PAM, PEM, Key-Injection, Sandboxes für Files, Browser-Isolation, Session-Recording, SIEM-Forwarding, Certificate-Management und KI-unterstützte Mikrosegmentierung. Viele der SSE-Vendoren unterstützen bereits heute eine Vielzahl dieser Features. Ich habe keines davon bisher erkennen können. Auch Updates der – allerdings vorgeschlagen exponierten – Edge-Router werden heute noch nicht zentral gemanagt. Hier muss Siemens massiv aufholen, damit jemand mit Überblick über den SSE-Markt diese Lösung überhaupt in Betracht zieht.
Remote Zugriff
Der Remote-Zugriff via Agent ist grundsätzlich für interne Mitarbeitende in Ordnung. Mit Sicherheit führt er zu Interferenzen und erhöhtem Aufwand neben Proxys, VPNs und SSE-Agents, aber gemäss Siemens ist er zumindest in Koexistenz mit Zscaler erfolgreich getestet.
Nichtsdestotrotz: Soll ein Maschinenhersteller, der seine Maschinen an Hunderte von Unternehmen verkauft, in Zukunft 100 Geräte pro Kunde anlegen? Das skaliert nicht und macht operativ keinen Sinn – besonders dann nicht, wenn der Hersteller selbst eine SSE- oder VPN-Lösung einsetzt und deren Compliance den Einsatz eines Remote-Access-Agents anderer Firmen gar nicht zulässt.
Gerade OT hat genau diese Herausforderung. Browser-Isolation ist ein absolutes Muss, damit Hersteller sicher und einfach zu Wartungszwecken auf ihre Maschinen bei Kunden zugreifen können!
Cloud (Teil-SaaSifizeriung) & Abhängigkeit
Kunden müssen sich ihre Cloud-Komponenten selbst zusammenbauen, auch wenn das Deployment in der Siemens-AWS-Umgebung automatisiert ist. Aber wieso keine Microservice-Umgebung, verteilt über die Welt? Wieso keine eigenen Datacenter?
Das Argument der Abhängigkeit und Erpressbarkeit wird mit AWS nicht kleiner. Ausfallende OT-Umgebungen, weil der dicke Amerikaner sich überlegt hat, Europa zu erpressen, wären der absolute Super-GAU.
Dem kann Siemens nur mit eigenen Datacentern entgegentreten, wenn es das Prädikat „politische Resilienz“ wirklich tragen möchte.
Marketing
Wieso zur Hölle bin ich eignetlich der Erste, der darüber schreibt? Was ist eigentlich mit der Website los, auf der die Erfindung irgendwo in einer Nische versteckt ist – mit halbfertigen Erklärungen und schwieriger Darstellung?
Wieso so komplexe Erklärungen mit Overlay-Netzerken und Underlays? Das versteht euer Segment nicht, die bauen Maschinen keine IT-Security-Lösungen!
Wo sind die Trommeln und Trompeten, mit denen die Lösung gelauncht wurde? Wo sind die Lösungsbriefe?
Abschluss
Die Idee ist gut, die Notwendigkeit aus strategischer Perspektive für den Wirtschaftsstandort Europa maximal. Die Architektur und Produktstrategie stelle ich mit meinem aktuellen Kenntnisstand in Frage. Die Feature-Dichte ist minimal – wobei die Erwartung bleibt, dass diese schnellstens ausgebaut wird.
Als Bayer, Deutscher und Europäer mit Anspruch und Kulturbewusstsein hoffe ich, Siemens macht es – und ist erfolgreich. Ich wünsche mir, dass die europäische Elite irgendwann nicht mehr auf dem Pannenstreifen, sondern wieder auf der Überholspur ist. Ich glaube aber auch, dass das noch ein ganzes Stück Arbeit ist und ein massives Umdenken aus dem Tunnelblick OT erfordert.
