Absicherung von Air-Gapped-Netzwerken: Lehren aus kritischen Infrastrukturen

Air-Gapped-Netzwerke sind nicht so isoliert, wie Sie denken. Hier ist, was wir bei der Absicherung von Operational-Technology-Umgebungen in den Bereichen Energie, Fertigung und Transport gelernt haben.

Der Air-Gap-Mythos

Viele Organisationen glauben, physische Isolation bedeutet Sicherheit. In Wirklichkeit:

• USB-Laufwerke überbrücken die Lücke täglich
• Wartungslaptops bewegen sich zwischen Netzwerken
• Anbieter benötigen Fernzugriff für Support
• Datendioden haben Konfigurationsschwächen

Reale Angriffsvektoren

Vektor 1: Supply-Chain-Kompromittierung

Malware kann eindringen durch:

• Infizierte Firmware-Updates
• Kompromittierte Anbietersoftware
• Bösartige USB-Laufwerke von Lieferanten

Vektor 2: Insider-Bedrohungen

Ob böswillig oder versehentlich:

• Ingenieure, die Dateien zwischen Netzwerken kopieren
• Nicht autorisierte Wireless Access Points
• Persönliche Geräte in OT-Netzwerken

Vektor 3: Wartungsfenster

Die verwundbarste Zeit:

• Vendor-Remote-Access-Sitzungen
• Software-Update-Installationen
• Konfigurationsänderungen

Defense-in-Depth-Strategien

Schicht 1: Physische Kontrollen

• Strikte USB-Geräterichtlinien
• Netzwerksegmentierung mit Datendioden
• Überwachung des physischen Zugangs

Schicht 2: Netzwerküberwachung

Auch Air-Gapped-Netzwerke brauchen Überwachung:

• OT-spezifisches IDS/IPS einsetzen
• Auf anomale Verkehrsmuster überwachen
• Alle grenzüberschreitenden Datenübertragungen protokollieren

Schicht 3: Endpoint-Härtung

• Application Whitelisting
• Unnötige Dienste deaktivieren
• Regelmäßige Integritätsprüfung

Wichtige Erkenntnisse

Air Gaps bieten eine Verteidigungsschicht, sollten aber nicht Ihre einzige Kontrolle sein. Bauen Sie Defense-in-Depth auf, unter der Annahme, dass die Lücke überbrückt wird. Brauchen Sie Hilfe bei der Absicherung Ihrer OT-Umgebung? Unsere ICS/SCADA-Sicherheitsbewertungen identifizieren Schwachstellen, bevor es Angreifer tun.