Managed File Transfer IT-, OT- und DMZ-Netzwerke Managed File Transfer

Die IT/OT-Dateiübertragung über eine industrielle DMZ stellt ein Sicherheits- und Betriebsproblem dar, da der betriebliche Dateiaustausch Segmentierungsgrenzen überschreiten muss, die zur Minderung von Cyberrisiken eingerichtet wurden. Industrial erfordern nach wie vor, dass Patches, Rezepturen, Protokolle, Lieferantenlieferungen, Backups und Berichte nach einem vorhersehbaren Zeitplan zwischen den Zonen ausgetauscht werden.

Ad-hoc-Kanäle wie E-Mail, gemeinsam genutzte Laufwerke, Jump-Hosts und Wechseldatenträger erhöhen das Risiko von durch Dateien übertragenen Schadprogrammen und erschweren die Rückverfolgbarkeit. Workflows in Industrial (IDMZ) erfordern zudem Prüfnachweise, eine Abstimmung der Änderungskontrolle und eine einheitliche Durchsetzung an allen Standorten, um einmalige Ausnahmen zu vermeiden.

Zu den gängigen Anwendungsfällen für den Dateitransfer von IT zu OT gehören technische Arbeitspakete, SPS- und HMI-Updates, Historian-Auszüge, Antiviren-Signatur-Updates, Backups und Firmware-Pakete von Herstellern. Technische Artefakte und Firmware-Updates erfordern in der Regel strengere Nachweise zur Nachverfolgbarkeit als Routineberichte oder regelmäßige Protokollexporte.

Zu den regelmäßigen Datenflüssen zählen in der Regel planmäßige Datensicherungen, Antiviren-Updates und die Zustellung von Standardberichten. Zu den dringenden Datenflüssen gehören in der Regel Notfall-Firmware-Hotfixes, Datenabrufe im Rahmen der Störungsbehebung oder zeitkritische Rezepturänderungen. Die Anforderungen an die Nachverfolgbarkeit steigen, wenn Dateien sicherheitskritisches Verhalten verändern oder die Produktionsqualität wesentlich beeinflussen können.

Ein traditionelles DMZ-Modell für Unternehmen lässt sich nicht ohne Weiteres auf das OT übertragen, da eine dem Internet zugewandte DMZ in erster Linie den externen Zugriff regelt, während eine industrielle DMZ vor allem deterministische Abläufe, strenge Änderungskontrollen und den Schutz sicherheitskritischer Prozesse gewährleistet. Die Segmentierung nach Purdue Level 3.5 zielt darauf ab, die Zugangswege zum OT einzuschränken und das implizite Vertrauen zwischen den Zonen zu verringern. 

Das durch Dateien verursachte Risiko wird im OT-Bereich verstärkt, da Altsysteme, begrenzte Zeitfenster für Patches und Verfügbarkeitsbeschränkungen die Toleranz für reaktive Abhilfemaßnahmen verringern. Industrial erfordern zudem vorhersehbare Übertragungswege und wiederholbare Genehmigungsverfahren, die geprüft werden können, ohne dass direkte IT-zu-OT-Verbindungen hergestellt werden müssen. 

Da alle Verbindungen in der DMZ enden, müssen bei der Übertragung von IT- und OT-Dateien direkte End-to-End-Verbindungen zwischen Unternehmensendpunkten und OT-Endpunkten über die Vertrauensgrenze hinweg vermieden werden. Da alle Verbindungen in der DMZ enden, müssen bei der Konzeption zudem Dual-Homed-Server vermieden werden, die Zonen miteinander verbinden, sowie Firewall-Regeln, die zonenübergreifende Client-Verbindungen zulassen.

Dieses Prinzip führt zu klar definierten Einschränkungen: IT-Systeme kommunizieren ausschließlich mit Diensten in der DMZ, OT-Systeme kommunizieren ausschließlich mit Diensten in der DMZ, und der Dateitransfer erfolgt über vermittelte Store-and-Forward-Workflows. Die Endpunkte in der industriellen DMZ dienen als Kontrollpunkte für die Überprüfung, Quarantäne, Genehmigung und Protokollierung.

Um direkte Verbindungen zwischen IT- und OT-Systemen zu verhindern, ohne die Automatisierung zu beeinträchtigen, sind vermittelte Übertragungsmuster erforderlich, bei denen der Absender nur eine Verbindung zu in der DMZ ansässigen Übertragungsdiensten herstellt und der OT-Empfänger nur eine Verbindung zu in der DMZ ansässigen Abrufdiensten. Bei der vermittelten Dateiübertragung wird üblicherweise zunächst ein „Push-to-DMZ“-Schritt und anschließend ein „Pull-to-OT“-Schritt durchgeführt, sodass keine zonenübergreifende Verbindung besteht.

Durch die Verwendung von festgelegten Ports, strengen Zulassungslisten und auf den jeweiligen Workflow beschränkten Dienstidentitäten bleibt die Port-Exposition minimal. Dienstkonten pro Workflow verringern das Risiko lateraler Bewegung und erleichtern die erneute Überprüfung der Zugriffsregeln im Rahmen regelmäßiger Überprüfungen.

Dual-Homing und gemeinsam genutzter Speicher führen zu unbeabsichtigten zonenübergreifenden Brücken, da ein Host mit zwei Netzwerkkarten zu einem Knotenpunkt für das Routing oder die Anmeldedaten über Segmentierungsgrenzen hinweg werden kann. Gemeinsam genutzte SMB-Dateifreigaben und replizierte Anmeldedaten können zudem die beabsichtigte Segmentierung untergraben, indem sie implizite zonenübergreifende Zugriffspfade ermöglichen, die schwer zu erfassen und erneut zu zertifizieren sind.

Zu den zu vermeidenden Konfigurationen gehören Dateiserver mit doppelter Anbindung, die gleichzeitig IT- und OT-Netzwerke bedienen, gemeinsam genutzte SMB-Ordner, die als zonenübergreifende „Übergabepunkte“ dienen, sowie der Dateitransfer über Zwischenhosts, der Überprüfungsstellen umgeht. Die Durchsetzung von Grenzen beruht auf Terminierung, Überprüfung und ausdrücklicher Autorisierung und nicht auf bequemen Abkürzungen.

Eine industrielle DMZ-Architektur der Purdue-Stufe 3.5 für den Dateitransfer positioniert die IDMZ als Grenze für die Überprüfung und Durchsetzung von Richtlinien zwischen den IT- und OT-Netzwerken des Unternehmens. Eine industrielle DMZ-Architektur der Purdue-Stufe 3.5 stellt zudem sicher, dass IT- und OT-Endpunkte in die DMZ-Dienste integriert werden, anstatt untereinander verbunden zu sein.

Zu den grundlegenden DMZ-Diensten gehören in der Regel ein Dateiübertragungs-Gateway oder ein Managed-File-Transfer-Server, Quarantänespeicher, Prüfstufen und eine zentralisierte Protokollierung. Das vermittelte Store-and-Forward-Verhalten unterstützt deterministische Abläufe und bewahrt gleichzeitig die beabsichtigte Segmentierung.

Zu den Diensten, die für den sicheren Dateiaustausch in die industrielle DMZ gehören, zählen ein Dateiübertragungs-Gateway oder ein Managed-File-Transfer-Server, Module für Malware-Scans und Sandboxing, Module zur Inhaltsentschärfung und -rekonstruktion (CDR), Quarantänespeicher sowie eine zentralisierte Protokollsammlung. Zu den Diensten Industrial gehören zudem Workflow- und Richtliniendurchsetzungskomponenten, die die Genehmigung und Freigabe steuern.

IT-Endgeräte sollten Dateien in Drop-Zonen der DMZ hochladen, und OT-Endgeräte sollten genehmigte Pakete von Staging-Standorten in der DMZ abrufen. Die Grenze der DMZ wird zum einheitlichen Kontrollpunkt für Malware-Scans, Bereinigung, Richtlinienprüfung und die Dokumentation der Kontrollkette.

Das Firewall- und Routing-Modell in einer Broker-basierten Architektur nutzt üblicherweise eine IDMZ-Architektur mit zwei Firewalls, bei der der Datenverkehr zwischen dem Unternehmensnetzwerk und der DMZ sowie der Datenverkehr zwischen der OT-Umgebung und der DMZ getrennt gesteuert werden. Whitelists gelten für Quelle, Ziel, Protokoll und Dienstidentität, sodass jeder Workflow über einen expliziten, nachvollziehbaren Pfad verfügt.

Weniger, aber klar definierte Datenflüsse verringern die Komplexität der Firewall im Vergleich zu vielen maßgeschneiderten Pfaden. Broker-basierte Konzepte unterstützen zudem festgelegte Ports und einheitliche Service-Endpunkte, was die Neuzertifizierung von Regeln vereinfacht und das Risiko verringert, dass sich weit gefasste Regeln im Laufe der Zeit ausweiten.

Der Workflow „Push in die DMZ, dann Pull ins OT“ funktioniert in der Praxis als wiederholbare Abfolge: Erfassung, Quarantäne, Überprüfung, Bereinigung, Freigabe, Bereitstellung und Auslieferung. Der Workflow „Push in die DMZ, dann Pull ins OT“ gewährleistet zudem die Aufrechterhaltung der Segmentierung, da beide Seiten ausschließlich mit Diensten in der DMZ verbunden sind.

„Push“ ist in der Regel dann sinnvoll, wenn IT-Systeme Pakete erstellen, während „Pull“ in der Regel dann sinnvoll ist, wenn OT-Systeme genehmigte Inhalte nach festgelegten Zeitplänen abrufen. Ein Standard-Workflow lässt sich über mehrere Werke hinweg durchsetzen, wenn Namenskonventionen, die Erfassung von Metadaten und Richtlinienentscheidungen für jeden Ablauf einheitlich sind.

Durch IT-zu-DMZ-Übertragungsmuster wird die OT-Grenze geschlossen gehalten, indem die Konnektivität der IT-Absender auf DMZ-Erfassungsdienste und DMZ-Ablagebereiche beschränkt wird. Zu den gängigen Mustern gehören geplante Uploads, ereignisgesteuerte Uploads und API Übermittlungen, bei denen Metadaten angehängt werden, die für Richtlinienentscheidungen und als Nachweis für die Nachverfolgbarkeit erforderlich sind.

Die betrieblichen Richtlinien umfassen einheitliche Namenskonventionen, vorgeschriebene Metadatenfelder für das Quellsystem und die vorgesehene Zielzone sowie die Verschlüsselung während der Übertragung mittels TLS. Bei der Übermittlung durch die IT-Abteilung sollte zudem eine Identitätsbindung erfolgen, damit in der DMZ erfasst werden kann, welcher Benutzer oder welcher Dienst die Übertragung initiiert hat.

Pull-Muster von der DMZ zur OT verringern Risiken und vereinfachen die Konfiguration von Firewalls, indem OT-Abrufagenten oder geplante Aufgaben ausgehende Verbindungen von der OT zur DMZ initiieren, um ausschließlich genehmigte Pakete abzurufen. Der OT-Abruf sollte auf zielspezifische Warteschlangen oder Verzeichnisse beschränkt werden, damit OT-Endpunkte keinen Zugriff auf nicht genehmigte Inhalte in der Quarantäne erhalten.

Pull verringert das Sicherheitsrisiko, indem eingehende Verbindungen in das OT vermieden und die nach außen gerichteten Ports und Dienste des OT eingeschränkt werden. Das Abrufen von OT-Daten unterstützt zudem Änderungsfenster, da OT-Systeme Daten nur dann abrufen können, wenn der Betriebsplan die Installation oder Bereitstellung zulässt.

Zu den unverzichtbaren Sicherheitsmaßnahmen für Dateiübertragungen in der industriellen DMZ gehören die Überprüfung, Bereinigung, Quarantäne, Genehmigung, die Vergabe von Zugriffsrechten nach dem Prinzip der geringsten Berechtigungen, Verschlüsselung sowie ein Audit-Protokoll, das die Nachverfolgbarkeit gewährleistet. Diese unverzichtbaren Sicherheitsmaßnahmen sollten in erster Linie in der DMZ durchgesetzt werden, da die DMZ den Endpunkt und die Richtliniengrenze für den zonübergreifenden Dateitransfer darstellt.

Endpoint und Endpoint behalten ihre Bedeutung, doch die DMZ sollte als einheitliche Kontrollinstanz dienen, die Umgehungsversuche verhindert. Jede Kontrolle sollte einer bestimmten Phase des Workflows zugeordnet sein, damit der Betrieb die Ergebnisse vorhersagen und die Sicherheitsteams die Nachweise überprüfen können.

Um Malware in der DMZ zu scannen, ohne sich auf eine einzige Engine zu verlassen, sind Mehrfachscans und eine mehrschichtige Erkennung erforderlich, damit bekannte und neu auftretende Bedrohungen besser erkannt werden. Die Ergebnisse mehrerer Engines sollten eindeutige Bewertungen wie „bestanden“, „nicht bestanden“ und „unbekannt“ liefern, damit die Arbeitsabläufe deterministisch bleiben.

Fehlerhafte Ergebnisse sollten weiterhin unter Quarantäne gestellt werden, wobei Eskalationspfade vorgesehen sein sollten. Unbekannte Ergebnisse sollten bis zur Durchführung weiterer Analysen, wie z. B. Sandbox-Tests oder eingehenderen Prüfverfahren, unter Quarantäne bleiben. Die DMZ-Richtlinie sollte Zeitlimits, Schritte zur Überprüfung durch Analysten und Freigaberegeln festlegen, damit die Quarantäne nicht zu einem unkontrollierten Rückstau wird.

Content Disarm and Reconstruction (CDR) ist Ansätzen, die sich ausschließlich auf die Erkennung stützen, überlegen, wenn eine präventive Bereinigung erforderlich ist, um aktive Inhalte zu entfernen, selbst wenn die Malware-Erkennung keine Befunde meldet. CDR verringert das Risiko, indem es Dateien so rekonstruiert, dass ihre geschäftliche Nutzbarkeit erhalten bleibt, während aktive Komponenten wie Makros oder eingebettete Objekte je nach Richtlinie entfernt werden.

Zu den Dateitypen, bei denen eine Bereinigung oft sinnvoll ist, gehören Office-Dokumente, PDFs und Archive, die Skripte oder eingebettete Schadcode enthalten können. Richtlinien, die der Bereinigung Vorrang einräumen, verringern zudem die Abhängigkeit von Signaturabdeckungen und reduzieren das operative Risiko durch „saubere, aber mit Schadcode versehene“ Dokumente, die in das OT-Netzwerk gelangen.

Sandbox für Übertragungen mit hohem Risiko oder erheblichen Auswirkungen ergänzt die statische Analyse um dynamische Verfahren, um Verhaltensweisen zu erkennen, die bei einer statischen Überprüfung übersehen werden können. Sandbox sollten sich nach Dateityp, Vertrauensstufe der Quelle, Kritikalität des Ziels und in der Umgebung beobachteten historischen Bedrohungsmustern richten.

Sandbox sollten in politische Entscheidungen einfließen, wobei klare Zeitvorgaben festgelegt werden sollten, damit die operativen Abteilungen Verzögerungen vorhersehen können. Die DMZ-Richtlinie sollte festlegen, wie die Ergebnisse der Sandbox-Prüfung mit der Dauer der Quarantäne, den Anforderungen an die Überprüfung durch Analysten und den Eskalationswegen für dringende Wartungsszenarien verknüpft werden.

Maßnahmen zur Verhinderung von Datenverlusten (DLP) bei der dateiübergreifenden Übertragung sollten proaktive Kontrollen wie den Abgleich mit Schlüsselwörtern und Mustern, die Klassifizierung sowie Zielbeschränkungen umfassen. Die Durchsetzung der DLP-Maßnahmen sollte sich an den Richtlinien pro Datenfluss orientieren, damit sensible Daten nicht in nicht autorisierte Zonen oder an nicht autorisierte Ziele gelangen.

Das Risiko einer übermäßigen Blockierung sollte durch eine stufenweise Durchsetzung und flussspezifische Zulassungslisten gesteuert werden, die den betrieblichen Anforderungen entsprechen. In den Protokollfeldern sollten die angewendeten DLP-Regeln, die Abgleichergebnisse und die Maßnahmen festgehalten werden, damit anhand der Compliance-Berichte eine einheitliche Handhabung nachgewiesen werden kann.

Das Prinzip der geringsten Berechtigungen und Genehmigungen für die zonenübergreifende Dateiübertragung erfordern eine rollenbasierte Zugriffskontrolle, eine Aufgabentrennung sowie einen zeitlich begrenzten Zugriff, der auf Änderungsfenster und Ausfallbeschränkungen abgestimmt ist. Richtlinien zur geringsten Berechtigung sollten gemeinsame Konten verhindern und Berechtigungen je nach Workflow, Zielort und Dateityp festlegen.

Genehmigungsmodelle sollten standortübergreifend skalierbar sein, indem einheitliche Rollen, eine einheitliche Erfassung von Belegen und Automatisierung für risikoarme Abläufe genutzt werden. Im Rahmen der Governance sollten zudem Notfallverfahren mit Anforderungen an eine explizite Protokollierung und eine Nachprüfung nach dem Vorfall festgelegt werden.

Die rollenbasierte Zugriffskontrolle (RBAC) für IT-OT-DMZ-Datei-Broker unterteilt Aufgaben in Rollen wie Einreicher, Prüfer, Freigebender und OT-Abrufer. RBAC soll sicherstellen, dass ein Einreicher Inhalte nicht einseitig für OT freigeben kann und dass ein OT-Abrufer keinen Zugriff auf Inhalte in Quarantäne hat.

Die Integration von Identitätsdaten mit bestehenden Identitätsanbietern kann den Verwaltungsaufwand verringern, doch sollten Risiken im Zusammenhang mit OT-Identitäten durch Abgrenzung, Segmentierung und das Prinzip der geringsten Berechtigungen eingedämmt werden. Dienstkonten sollten pro Workflow eindeutig sein, um die Nachverfolgung zu unterstützen und die Wiederverwendung von Berechtigungen bei nicht miteinander verbundenen Übertragungen zu verhindern.

Für zeitlich begrenzten Zugriff für Anbieter und Notfälle sollten zeitlich begrenzte Zugangsdaten, befristete Berechtigungen und streng begrenzte Zugriffsrechte je nach Arbeitsablauf verwendet werden. Zeitlich begrenzter Zugriff verringert das Risiko einer dauerhaften Sicherheitslücke und stimmt die Zugriffszeiträume mit Wartungsplänen und Genehmigungsfristen für Änderungen ab.

Die Protokollierungsanforderungen sollten Angaben dazu enthalten, wer den Zugriff beantragt hat, wer ihn genehmigt hat, welcher Umfang gewährt wurde und welche Dateien im Rahmen der zeitlich begrenzten Richtlinie übertragen wurden. Maßnahmen in Notfällen sollten ein aussagekräftiges Beweismaterialpaket zur Überprüfung generieren, um die Rechenschaftspflicht in Notfallsituationen zu gewährleisten.

Die Protokollierung für die Compliance-konforme Dateiübertragung zwischen IT, OT und DMZ muss einen lückenlosen Nachweis der Nachverfolgbarkeit über IT, DMZ und OT hinweg bieten, ohne auf manuelle Ticketerstellung angewiesen zu sein. Die Protokollierung sollte Untersuchungen, Compliance-Berichterstattung und die Behebung von Betriebsstörungen durch einheitliche Identifikatoren über alle Workflow-Phasen hinweg unterstützen.

Die Nachweiskette sollte Angaben darüber enthalten, wer eine Datei eingereicht hat, welche Prüfungen und Bereinigungen durchgeführt wurden, wer die Freigabe genehmigt hat und ob die Zustellung bestätigt wurde. Eine auf die DMZ ausgerichtete Protokollierung verringert die Abhängigkeit von der Sichtbarkeit der OT-Endpunkte und bewahrt die Segmentierung.

Zu den Mindestanforderungen an Protokollfelder, die belegen, wer welche Datei gesendet hat und wohin sie gelangt ist, gehören die Benutzer- und Dienstidentität, die Quell- und Zielzone, Dateinamen, Datei-Hashes wie SHA-256, Zeitstempel für jede Workflow-Phase, die angewandte Richtlinie, Ergebnisse der Überprüfung und Bereinigung, Genehmigungsdatensätze sowie die Zustellungsbestätigung. Korrelationskennungen sollten Ereignisse im Zusammenhang mit der Erfassung, Quarantäne, Überprüfung, Freigabe und Zustellung miteinander verknüpfen.

Einheitliche Protokollfelder ermöglichen die Rückverfolgbarkeit bei standortübergreifenden Bereitstellungen. Die Hash-Funktion gewährleistet die Nichtabstreitbarkeit und unterstützt die Reaktion auf Vorfälle, indem sie die Dateiintegrität über den gesamten Übertragungsweg hinweg nachweist.

Die Betriebsüberwachung und Warnmeldungen sollten anhand von Prüfprotokollen und unter Berücksichtigung von Warnkriterien wie wiederholten Fehlern, Richtlinienverstößen, ungewöhnlichen Dateitypen, anomalen Übertragungsvolumina und wiederholten unbekannten Verarbeitungsergebnissen der Prüfmodulen generiert werden. In den Betriebs-Dashboards sollten Durchsatz, Quarantäne-Rückstand und Zustellungsbestätigungsraten erfasst werden, um die Zuverlässigkeit zu gewährleisten.

Die SIEM-Integration unterstützt die Sicherheitskorrelation, während Betriebs-Dashboards die Überwachung des Systemzustands und die Vorhersehbarkeit von Arbeitsabläufen ermöglichen. Die Alarmschwellenwerte sollten für jeden Datenfluss individuell angepasst werden, damit kritische Ziele eine schnellere Eskalation auslösen als die Zustellung von Berichten mit geringer Kritikalität.

Der Unterschied zwischen Managed File Transfer und einem eigenständigen SFTP-Server in einer OT-DMZ liegt in erster Linie in den Bereichen Governance, Integration von Überprüfungsmechanismen und Nachvollziehbarkeit und weniger in der Protokollunterstützung. Managed File Transfer bietet eine Steuerungsebene für segmentierte Netzwerke, indem es Richtlinien pro Datenfluss koordiniert, Quarantäne- und Genehmigungsmaßnahmen durchsetzt und die Erfassung von Nachweisen zentralisiert.

Ein eigenständiges SFTP-System wird häufig zu einem Transportendpunkt, der für das Scannen, die Freigabe und die Berichterstellung auf externe Prozesse angewiesen ist. Industrial erfordern in der Regel einheitliche Kontrollpunkte, die auch bei einem Einsatz über mehrere Standorte hinweg zuverlässig funktionieren.

Ein eigenständiger SFTP-Server in der DMZ versagt in der Praxis häufig aufgrund manueller Freigaben, uneinheitlicher Malware-Prüfungen, gemeinsam genutzter Konten, begrenzter Metadatenerfassung und fragmentierter Protokolle über mehrere Systeme hinweg. Manuelle Schritte erhöhen zudem die Wahrscheinlichkeit von Umgehungsversuchen, insbesondere während dringender Wartungsfenster.

In einem Unternehmen mit mehreren Standorten vergrößern sich die Lücken, da an jedem Standort tendenziell leicht unterschiedliche Verfahren für das Scannen, die Aufbewahrung und die Zugriffskontrolle angewendet werden. Fragmentierte Beweismittel verlangsamen zudem die Ermittlungen, da der Nachweis der Beweiskette eine manuelle Abgleichung zwischen unterschiedlichen Protokollen und Ticketingsystemen erfordert.

Ein grenzbewusster, verwalteter Dateitransfer sollte die Koordinierung von Richtlinien auf der Ebene einzelner Datenflüsse, Kontrollen für die Quarantäne und Freigabe, integrierte mehrschichtige Dateisicherheit sowie eine zentralisierte Transparenz über alle Zonen hinweg bieten. Ein grenzbewusster, verwalteter Dateitransfer sollte zudem Prüfstufen unterstützen, die Mehrfachscans, CDR, Sandbox-Analysen und die Durchsetzung von DLP-Maßnahmen entlang des Übertragungswegs umfassen.

OPSWAT MetaDefender File Transfer™ (MFT) ist ein Beispiel für eine Managed-File-Transfer-Plattform, bei der Sicherheit an erster Stelle steht und die Metascan™ Multiscanning, Deep CDR™-Technologie, Proactive DLP™ sowie Sandbox-Analysen in einem einheitlichen Workflow vereint. Die zentralisierte Governance gewährleistet eine einheitliche Durchsetzung in IT-, IDMZ- und OT-Umgebungen.

Der Unterschied zwischen der Bereinigung von CDR-Dateien und der Antivirenscan-Prüfung von Dateien, die in die OT gelangen, besteht darin, dass bei der ersten Variante der Schwerpunkt auf der Prävention und Wiederherstellung liegt, während bei der zweiten Variante die Erkennung und Identifizierung bösartiger Inhalte im Vordergrund steht. Mehrschichtige Kontrollmechanismen verringern das Risiko durch unbekannte und KI-generierte Bedrohungen, indem sie das Scannen mit mehreren Engines, die Bereinigung risikoreicher Dateiformate und eine optionale Sandbox-Analyse für verdächtige Fälle kombinieren.

Die Auswahlkriterien sollten den Dateityp und die Kritikalität des Ziels mit dem Kontrollumfang in Einklang bringen. In den Richtlinien sollte festgelegt werden, welche Dateitypen standardmäßig bereinigt werden müssen und welche Dateitypen lediglich gescannt werden, wobei Eskalationsauslöser gelten.

Ein Antiviren-Scan kann zwar nachweisen, dass eine Scan-Engine zum Zeitpunkt des Scans keine bekannten schädlichen Inhalte auf der Grundlage der verfügbaren Signaturen und Heuristiken erkannt hat, doch kann ein Antiviren-Scan nicht beweisen, dass eine Datei für den Einsatz in OT-Umgebungen sicher ist. Fehlalarme und neuartige Bedrohungen spielen in kritischen Umgebungen weiterhin eine operative Rolle.

Fälle, die zwar als „sauber“, aber dennoch verdächtig eingestuft werden, sollten bis zum Abschluss einer mehrstufigen Analyse – einschließlich Mehrfachscans, Sandbox-Tests oder Bereinigungsmaßnahmen – in Quarantäne bleiben. Die Gestaltung der Arbeitsabläufe sollte sicherstellen, dass auch bei „sauberen“ Ergebnissen Nachweise aufgezeichnet werden, um spätere Untersuchungen zu ermöglichen, falls operative Anomalien auftreten sollten.

Die Desinfektion nach dem Deep CDR™-Verfahren ist die sicherere Standardoption, wenn das Risiko durch aktive Inhalte verringert werden muss, selbst wenn die Erkennungsergebnisse unauffällig sind. Die Desinfektion senkt das Risiko, indem aktive Elemente entfernt oder neutralisiert werden, während die für den Betrieb erforderlichen Inhalte erhalten bleiben.

Beispiele für Richtlinien sind die standardmäßige Bereinigung von Office-Dokumenten und PDF-Dateien, die in OT-Zwischenbereiche mit hoher Kritikalität gelangen, eine strengere Handhabung verschachtelter Archive sowie eine kontrollierte Handhabung von technischen Artefakten auf der Grundlage der Kritikalität des Zielortes. In den Bereinigungsrichtlinien sollte festgehalten werden, welche Umwandlungen vorgenommen wurden, um den Nachweis der Nachverfolgbarkeit zu gewährleisten.

Die Entscheidung zwischen einer Datendiode und einer DMZ mit doppelter Firewall für die OT-Dateiübertragung ist eine Frage der Konzeption: Entweder wird eine einseitige Durchsetzung gewählt oder kontrollierte bidirektionale Arbeitsabläufe, die weiterhin in der DMZ enden. Datendiode-Konfigurationen gewährleisten die Richtungsabhängigkeit durch ihre Bauweise, während IDMZ-Konfigurationen mit doppelter Firewall die Richtungsabhängigkeit über Richtlinien und Whitelists sicherstellen.

Eine einseitige Durchsetzung verändert die Erwartungen an den Arbeitsablauf, da Bestätigungen und die interaktive Fehlerbehebung eingeschränkt werden. Eine kontrollierte bidirektionale Übertragung kann vertretbar bleiben, wenn Anwendungsfälle Bidirektionalität erfordern und die Ausgleichskontrollen explizit und überprüfbar bleiben.

Eine Datendiode ist für die Datenübertragung von OT zu IT erforderlich, wenn Risikotoleranz, gesetzliche Vorschriften oder Umgebungen mit hohen Risiken eine strikte Einweg-Telemetrie und eine Verringerung der Angriffsfläche vorschreiben. Zu den typischen Anwendungsfällen für Datendiode gehören die Einwegüberwachung, die Replikation von Historien nach außen oder regulierte Umgebungen, in denen jeglicher eingehende Datenfluss in Richtung OT eingeschränkt ist.

Zu den operativen Kompromissen gehören eine eingeschränkte Möglichkeit, den Empfang durch interaktive Bestätigungen zu bestätigen, sowie eine eingeschränkte Möglichkeit zur Fehlerbehebung in Echtzeit. Bei der Gestaltung der Arbeitsabläufe sollten alternative Nachweisverfahren wie eine Zustellungsbestätigung auf der DMZ-Seite und unveränderliche Protokolle berücksichtigt werden.

Doppelte Firewalls in einer industriellen DMZ unterstützen kontrollierte bidirektionale Anforderungen, indem sie sicherstellen, dass der Datenverkehr in beide Richtungen weiterhin in der DMZ endet, wo er durch Überprüfungsgates, Quarantänemaßnahmen und die strikte Durchsetzung von Richtlinien kontrolliert wird. Bidirektionale Arbeitsabläufe sollten auf begründete Anwendungsfälle beschränkt bleiben, wie beispielsweise die Bereitstellung von Hersteller-Updates, den kontrollierten Datenexport oder erforderliche Abgleichsdaten.

Ausgleichsmaßnahmen sollten dokumentiert werden, einschließlich strenger Zulassungslisten, festgelegter Ports, dienstbezogener Identitäten pro Datenfluss und Genehmigungsanforderungen. Die Dokumentation sollte auch die regelmäßige Überprüfung der Firewall-Regeln umfassen, um eine unkontrollierte Ausweitung der Regeln zu verhindern.

Die Datenübertragung von Lieferanten in das OT über eine DMZ sollte nach einem lieferantenfreundlichen Workflow erfolgen, der den Zugriff der Lieferanten in der DMZ beendet und die Überprüfung, Quarantäne, zeitlich begrenzten Zugriff sowie die Protokollierung sicherstellt. Die Workflows für Lieferanten müssen einen direkten Zugriff der Lieferanten auf OT-Ressourcen verhindern und gleichzeitig die Lieferzeiten für die Betriebsplanung vorhersehbar halten.

Die Authentifizierung und Autorisierung sollte auf anbieterspezifische Ablagebereiche und anbieterspezifische Dateitypen beschränkt sein. Die Freigabe in die DMZ sollte eine protokollierte Genehmigung erfordern und eine Zustellungsbestätigung für die OT-Staging-Umgebung liefern.

Bei der Anmeldeauthentifizierung von Lieferanten ohne gemeinsame Konten oder dauerhaften Zugriff sollten individuelle Lieferantenidentitäten sowie, soweit möglich, eine Multi-Faktor-Authentifizierung zum Einsatz kommen, wobei der Zugriff auf die Wartungsfenster abgestimmt sein und zeitlich begrenzt sein sollte. Die Lieferantenidentitäten sollten auf bestimmte Ablagebereiche beschränkt und durch Richtlinien für Dateitypen eingeschränkt werden, um das Sicherheitsrisiko zu minimieren.

Der Zugriff sollte sich auf die Übermittlung und die Anzeige des Status beschränken und nicht den direkten Abruf von OT-Daten umfassen. Der Zugriff für Anbieter sollte zudem die Durchsetzung von Richtlinien hinsichtlich zulässiger Ziele beinhalten, damit Anbieterpakete nicht über genehmigte OT-Zwischenablageorte hinaus weitergeleitet werden können.

Anbieterdateien werden von der Quarantäne in den genehmigten Bereich verschoben, indem sie in den DMZ-Quarantänespeicher gelangen, einer Malware-Prüfung unterzogen werden, bei Bedarf bereinigt werden und einer Sandbox-Analyse unterzogen werden, wenn entsprechende Richtlinienbedingungen zutreffen. Der Zugriff auf OT-Daten sollte erst nach der Freigabegenehmigung und nachdem das Paket gemäß den Richtlinien als genehmigt markiert wurde, gestattet werden.

Die Genehmigung sollte durch dafür benannte Personen mit getrennten Aufgabenbereichen erfolgen, beispielsweise durch Prüfer und Freigabeverantwortliche. Die Nachweisaufzeichnung sollte Prüfergebnisse, Maßnahmen zur Datenbereinigung, Zeitstempel und die Identität des Genehmigers umfassen.

Fehlerhafte Konfigurationen bei der Dateiübertragung über die OT-DMZ bergen Risiken, da sie die Verbindung zwischen verschiedenen Zonen wiederherstellen, die Sicherheitskontrollen schwächen oder die Nachvollziehbarkeit von Genehmigungen und Zugriffen beeinträchtigen. Um Fehlkonfigurationen zu verhindern, sind klare Verbotsregeln, regelmäßige Überprüfungen und Überwachungssignale erforderlich, die Umgehungsversuche frühzeitig erkennen.

Zu den risikobehafteten Mustern zählen gemeinsam genutzte Identitäten, die Ausweitung von SMB-Freigaben, die Ausuferung von Firewall-Regeln sowie manuelle Kopiervorgänge, die die Quarantäne umgehen. Standards sollten Fehlerfälle in durchsetzbare Anforderungen an die Architektur und den Betrieb umsetzen.

Gemeinsam genutzte Konten und manuelle Kopiervorgänge untergraben die Rechenschaftspflicht, da gemeinsam genutzte Anmeldedaten die Nichtabstreitbarkeit aufheben und eine zuverlässige Zuordnung bei Untersuchungen verhindern. Manuelle Kopiervorgänge erhöhen zudem die Wahrscheinlichkeit, dass Prüfschritte unter Zeitdruck übersprungen werden.

Für Vorgänge wie Einreichung, Prüfung, Freigabe und Abruf sollten rollenspezifische Aufgabentrennung und individuelle Identitäten vorgeschrieben sein. Automatisierte Arbeitsabläufe mit Genehmigungsverfahren verringern die Abhängigkeit von informellen Praktiken und liefern einheitliche Nachweise, die Audits und die Reaktion auf Vorfälle unterstützen.

Die Vielzahl von SMB-Freigaben und Firewall-Regeln schafft unsichtbare Pfade, da sich SMB-Zugriffsmuster im Laufe der Zeit tendenziell ausweiten und umfassende Firewall-Regeln nur schwer zu überprüfen sind. Unsichtbare Pfade untergraben den Zweck der Segmentierung, indem sie Möglichkeiten für unüberwachte laterale Bewegungen eröffnen.

Durch die Festlegung von Diensten und strenge Zulassungslisten wird eine unbeabsichtigte Ausweitung verhindert. Bei der regelmäßigen Überprüfung der Firewall-Regeln sollte sichergestellt werden, dass jede Regel einem genehmigten Arbeitsablauf entspricht und dass die Regeln auf Terminierungspunkte in der DMZ beschränkt bleiben, anstatt einen durchgängigen Zugriff zu ermöglichen.

Eine Checkliste zur Absicherung des Dateitransfers in der industriellen DMZ standardisiert Architekturprüfungen, die Einbindung neuer Standorte und das Änderungsmanagement, indem sie IDMZ-Kontrollen in wiederholbare Prüfpunkte umwandelt. Eine Checkliste zur Absicherung des Dateitransfers in der industriellen DMZ sollte auf die Anforderungen hinsichtlich DMZ-Terminierung, Prüfstellen, Governance-Workflows und Prüfnachweisen abgestimmt sein.

Eine auf Checklisten basierende Standardisierung verringert Abweichungen zwischen den Standorten und verbessert die Abstimmung zwischen den Sicherheitsverantwortlichen. Die Punkte der Checkliste sollten als überprüfbare Aussagen formuliert werden, die während der Umsetzung getestet und bei regelmäßigen Überprüfungen erneut bestätigt werden können.

Bei der Überprüfung Firewall Service-Absicherung für in der DMZ terminierte Übertragungen sollten festgelegte Ports, strenge Zulassungslisten, das Fehlen direkter IT-zu-OT-Sitzungen sowie das Fehlen von Dual-Homed-Bridging-Systemen überprüft werden. Zudem sollten die Zugriffsmuster für Administratoren eingeschränkt werden, damit der Verwaltungszugriff keine „Schattenkanäle“ in OT-Netzwerke schafft.

Die Patching-Strategie für DMZ-Systeme sollte auf die Wartungsfenster abgestimmt sein und der Minimierung von Dienstunterbrechungen Vorrang einräumen. Bei der erneuten Zertifizierung der Regeln sollte sichergestellt werden, dass jede Regel einem dokumentierten Arbeitsablauf zugeordnet ist und dass die Datenübertragung innerhalb der DMZ verbleibt.

Bei der Überprüfung der Absicherung von Inspektions- und Desinfektionsprozessen für Dateitypen mit hohem Risiko sollten die Abdeckung durch Mehrfachscans, die Einhaltung der CDR-Richtlinien, die Auslösung von Sandbox-Prozessen, die Grenzen der Archivverarbeitung sowie das Quarantäneverhalten bei Fehlern und unbekannten Ergebnissen überprüft werden. Die Archivverarbeitung sollte Grenzen für das Entpacken verschachtelter Archive sowie Überprüfungen zur Erkennung des tatsächlichen Dateityps umfassen.

Die Behandlung von Ausnahmen sollte eine protokollierte Begründung, eine ausdrückliche Genehmigung und die Aufbewahrung von Belegen erfordern. Ausnahmen sollten zudem eine regelmäßige Überprüfung auslösen, um zu verhindern, dass vorübergehende Ausnahmeregelungen zu dauerhaften Umgehungsmöglichkeiten werden.

In Ausschreibungsanforderungen für den verwalteten Dateitransfer über IT-, OT- und DMZ-Netzwerke sollten die Durchsetzung von Netzwerkgrenzen, mehrschichtige Dateisicherheit, zentralisierte Steuerung und Nachvollziehbarkeit für segmentierte Umgebungen im Vordergrund stehen. Der Wortlaut der Ausschreibung sollte sich weiterhin auf Arbeitsabläufe konzentrieren, damit die Anforderungen die Terminierung in der DMZ, Kontrollpunkte, Genehmigungen und die Erfassung von Nachweisen widerspiegeln und nicht nur auf Transportfunktionen beschränkt sind.

Die Anforderungen in der Ausschreibung sollten auch Hochverfügbarkeit, den Betrieb im Offline-Modus oder bei eingeschränkter Netzwerkverfügbarkeit sowie die einheitliche Einführung von Richtlinien an allen Standorten abdecken. Die Anforderungen sollten festlegen, wie die Plattform Workflows nach dem Prinzip „Push to DMZ, dann Pull to OT“ durchsetzt, ohne dass dabei zonenübergreifende Sitzungen entstehen.

Die Anforderungen an Protokolle und Schnittstellen sollten gängige Protokolle umfassen, die in Unternehmens- und Industrieumgebungen benötigt werden, ohne dabei den Schwerpunkt übermäßig auf den Transport zu legen. Die Integrationsanforderungen sollten die Unterstützung von Store-and-Forward-Funktionen sowie die Unterstützung für Netzwerke mit eingeschränkter Bandbreite oder ohne Verbindung umfassen.

In den Ausschreibungsanforderungen sollten ein vorhersehbares Wiederholungsverhalten, die Möglichkeit zur Wiederaufnahme von Übertragungen bei großen Dateien sowie Bandbreitensteuerungen, die den Anlagenbetrieb berücksichtigen, festgelegt werden. Die Anforderungen an die Schnittstelle sollten zudem die Verwaltung von Dienstidentitäten sowie, soweit möglich, die Integration in Identitätssysteme umfassen.

Die Anforderungen an die Richtlinienkoordination sollten die Definition von Richtlinien auf Fließebene, Workflows für Quarantäne und Freigabe, automatisiertes Routing sowie die Aufgabentrennung umfassen. Die Richtlinienkoordination sollte explizite Integrationspunkte für Multi-Scanning, CDR, Sandboxing und die Durchsetzung von DLP-Maßnahmen im Übertragungsweg beinhalten.

Die Anforderungen an den Genehmigungsworkflow sollten mehrstufige Genehmigungen sowie die Automatisierung von Abläufen mit geringem Risiko vorsehen, wobei Ausnahmebehandlungen dokumentiert werden müssen. Die Anforderungen sollten zudem festlegen, welche Nachweisfelder in jeder Phase für Prüfungs- und Untersuchungszwecke erfasst werden müssen.

Die Anforderungen an die Nachvollziehbarkeit und den Prüfpfad sollten Bestimmungen zu der Berichterstattung, den Protokollfeldern, den Aufbewahrungskontrollen sowie dem Export in SIEM- oder zentralisierte Protokollplattformen enthalten. Die Anforderungen an die unveränderliche Protokollierung sollten Bestimmungen zu Manipulationsschutzmaßnahmen und Zugriffskontrollen für die Beweissicherung enthalten.

Die Anforderungen an die Lieferbestätigung sollten den Nachweis umfassen, dass genehmigte Pakete den OT-Staging-Bereich erreicht haben und von autorisierten Personen abgeholt wurden. Die Anforderungen an die Nachweispakete sollten Hashwerte, Zeitstempel, Prüfergebnisse, Genehmigungen und Korrelationskennungen umfassen.

MetaDefender Managed File Transfer MFT) basiert auf Metascan Multiscanning, Deep CDR™-Technologie, Proactive DLP und Sandboxing und ist die Managed-File-Transfer-Lösung (MFT) OPSWAT, die dateibedingte Risiken durch eine zentralisierte Steuerung des vermittelten IT/OT-Dateitransfers über eine industrielle DMZ minimiert.