3 erfolgreiche Sofortmaßnahmen für eine nachhaltige Kommunikation zwischen IT und OT

Inhaltsverzeichnis

    Spannungsfeld Industrial Security

    Nach einem frischen Start in die ersten Maßnahmen zur Industrial Security folgt oftmals die erste Ernüchterung der Beteiligten. Aus scheinbar unerklärlichen Gründen geht es bei der Zusammenarbeit der Fachabteilungen nicht richtig voran.

    Mit der Zeit wird festgestellt, dass die Abteilungen, obwohl es vorerst so aussieht, doch keinen direkten Draht zueinander finden. Konkret geht es um die Kommunikation zwischen den IT-Abteilungen und den OT-Abteilungen (Technik, Fertigung, Produktion). Diese müssen für die Absicherung von Produktions- und Fertigungsanlagen zusammenarbeiten und Industrial Security gemeinsam umsetzen.

    Damit dies gelingt, muss die IT-Abteilung verstehen, wo die Prioritäten der OT liegen (Verfügbarkeit und Safety) und andersherum muss die OT verstehen, warum die IT so sehr auf Security drängt. Hierfür existiert jedoch meist kein einheitliches Verständnis. Um diese Kommunikationshürde zu nehmen, ist es erforderlich, die Gründe und deren Herkunft vollumfänglich zu verstehen.

    IT und OT – zwei Welten prallen aufeinander

    Über die letzten Jahrzehnte blieben die OT-Abteilungen weitestgehend von umfangreichen IT-Modernisierungsprojekten verschont. Dagegen haben die IT-Abteilungen schier endlose IT-Modernisierungsprojekte bereits erfolgreich realisiert. Im Produktions- und Fertigungsbereich war das bislang auch nicht in diesem Maße notwendig. Mit hoher Lebensdauer und zumeist abgeschotteten Maschinen und Systemen ist der Bereich auf hohe Beständigkeit ausgelegt.

    Beide Abteilungen haben individuelle Prioritäten und Anforderungen. Diese unterscheiden sich vor allem bei folgenden Kriterien:

    Schutzziele

    Die IT verwaltet in erster Linie verschiedene Daten, die OT verwaltet reale physische Prozesse und ist verantwortlich für die Betriebssicherheit in der Anlage. Bei der IT-Sicherheit geht es klassischerweise um Vertraulichkeit und Datenschutz, bei der industriellen Sicherheit in erster Linie um Verfügbarkeit und Safety.

    Zeitanforderungen

    Ist im EDV-Netz der Mailserver einmal überlastet, ist das sicher ärgerlich, es entsteht in der Regel aber kein sofortiger finanzieller Verlust. Reagiert im Automationsnetz eine SPS nicht, kann der gesamte zugehörige Anlagenteil ausfallen und somit einen unmittelbaren finanziellen Schaden zur Folge haben.

    Systeme

    In der IT sind aktuelle Systeme die Norm. Ein Mitarbeiter-PC hat genug Leistung, um neben dem Mailprogramm und Browser auch noch einen Virenscan durchzuführen.

    Im Automationsnetz befindliche Systeme unterscheiden sich nicht nur massiv durch ihre (embedded) Betriebssysteme von Büro-PCs, sondern sie besitzen meist auch nicht genug Leistung für Funktionen, die sich nicht im direkten Aufgabenspektrum befinden. Hierzu gehören auch Viren-Überprüfungen.

    Auch die Begriffe der jeweiligen Bereiche unterscheiden sich maßgeblich. In IT-Netzen verwendet man in der Regel keine Busse, sondern sternförmige, paketbasierte Übertragungsarten. Dafür musste sich die OT bislang zum Beispiel wenig mit Domänen befassen.

    Lebensdauer

    Haben Sie schon einmal versucht mit einem 20 Jahre alten PC sicher im heutigen Internet zu surfen? Lieber nicht! Systeme in Industrieanlagen sind jedoch auf solche Lebenszeiten ausgelegt und werden so auch heute noch betrieben.

    Schadenswirkungen

    Bei einem Angriff auf ein IT-Netz können zwar Informationen zerstört oder entwendet werden, die indirekt Auswirkungen auf die Sicherheit von Personen und Umwelt haben können. Überträgt man das Szenario aber auf die Industrie, können auch sofortige und direkte physische Schäden für Mensch und Umwelt entstehen.

    Diese unterschiedlichen und seit Jahrzehnten gewachsenen Auffassungen der einzelnen Prioritäten führen dazu, dass sich die Kommunikationshürden nicht so einfach abbauen lassen.

    Einerseits geht es um Verständnis der jeweiligen Prioritäten der jeweils anderen Abteilung, aber ebenfalls um einen Wissensaufbau zu Prozessen, Verfahren und Techniken beider Abteilungen. Hierzu ist notwendig, dass die IT-Abteilung mit den Fachbegriffen, Prozessleitsystem, SPS, OPC/UA und HMI etwas anfangen kann. Jedoch auch, dass die OT-Abteilungen verstehen, warum eine sichere Netzwerkarchitektur wichtig ist und Fernwartungszugänge mit Vorsicht einzuführen sind.

    Das Ziel sollte immer sein, dass Industrial Security als fester Bestandteil in den Arbeitsalltag aller Beteiligten einfließt und nicht als optionaler Zusatz angesehen wird.

    Eine gute Wahl, diese Kommunikationsherausforderung und Wissensvermittlung in den Griff zu bekommen, ist das Schaffen einer gemeinsamen Kommunikations- und Fachbasis. Um dies effizient zu lösen, braucht es eine Person, die die Interessen aller Parteien versteht und zwischen diesen vermittelt.

    IT und OT – der Nutzen eines Dolmetschers

    Erfolgreich gelingt dies mit einem Dolmetscher, der aufgrund seines Wissens sowohl die IT als auch die OT gut genug kennt und vermitteln kann. Im Idealfall kann dieser auch weitere Abteilungen einbinden, beispielsweise die Geschäftsführung oder den Einkauf, um so eine noch breitere Basis der Industrial Security herstellen. Die Rolle eines CISOs (Chief Information Security Officer) oder eines IT-Sicherheitsbeauftragten ist hierfür normalerweise die richtige Position. Oftmals sind diese Positionen aber aus der IT-Welt heraus entstanden, so dass der jeweilige Stelleninhaber meist nur über IT-Wissen verfügt.

    Für den Start macht es deshalb Sinn, mit einem externen Berater oder einem Coach zusammenzuarbeiten. Dieser übernimmt dann die folgenden Aufgaben:

    • Awareness schaffen
    • Erarbeitung einer gemeinsamen Kommunikationsbasis
    • Vermitteln in entscheidenden Meetings
    • Wissensaufbau bei den Beteiligten
    • Coaching der internen Sicherheitsbeauftragten beziehungsweise CISOs, damit diese in Zukunft diese Rolle übernehmen können

    Mit dem Einsatz eines passenden Dolmetschers kann effizient und nachhaltig eine gemeinsame Kommunikationsbasis im Unternehmen verankert werden. Damit dies erfolgreich gelingt, benötigt die betreffende Person die Unterstützung des Managements. Dies ist vor allem deshalb wichtig, weil IT- und OT-Abteilung nur selten unter demselben Vorgesetzten angesiedelt sind.

    Es gibt jedoch bewährte praxisnahe Erstmaßnahmen, die Sie bereits realisieren können und sich damit auf die zukünftige Arbeit mit einem Dolmetscher vorbereiten.

    Erfolgreiche Sofortmaßnahmen für eine nachhaltige Kommunikation

    Wenn Sie möglichst zügig erste positive Ergebnisse erzielen möchten, bieten sich folgende Schritte an:

    Industrial-Security-Wörterbuch

    Für eine reibungslose interdisziplinäre Kommunikation ist vor allem die Kenntnis der jeweiligen Fachbegriffe wertvoll. Einige Begriffe haben oftmals mehrere Bezeichnungen, wie OT = Technik, Betrieb, Produktion oder Fertigung. Aber auch Begriffe wie Active Directory, SPS oder Fernwartung zu erklären ist hilfreich, da bei Bedarf im Arbeitsalltag immer wieder darauf zurückgegriffen werden kann. Dies gelingt gut, wenn die Dokumentation an zentraler Stelle abgelegt ist, zum Beispiel in Form einer Wiki-Seite im Intranet.

    Security-Fachkreis (IT/OT)

    Suchen Sie sich aus den relevanten beteiligten Abteilungen die Förderer heraus und bringen Sie diese an einen Tisch. Auf diesem Weg begründen Sie einen regelmäßigen Fachkreis. Einberufen am besten durch die Geschäftsleitung selbst, ist dessen Funktion, sich interdisziplinär auszutauschen oder auch gemeinsame Projekte zu koordinieren. Idealerweise haben die Förderer in den jeweiligen Abteilungen eine hohe Akzeptanz hinsichtlich ihrer fachlichen und sozialen Kompetenz.

    Awareness- und Einstiegsworkshops

    Ein solcher Fachkreis kann in Kooperation einen Workshop vorbereiten, der auf die Thematik der Industrial Security optimal zugeschnitten und für die Mitarbeiter der Fachabteilungen ausgelegt ist. Insbesondere Themen wie Live-Hackings und Beispiele aus der Praxis sorgen für Aha-Momente und Verständnis. Mit der richtigen Vorbereitung greift ein Workshop die unternehmensinternen Begriffe und eingesetzten Maschinen direkt auf.

    Im Rahmen von Betriebsveranstaltungen, wie beispielsweise Betriebsfeiern oder Jahresauftaktveranstaltungen, kann ebenfalls eine kurze Demonstration gegeben werden, um den Termin aufzulockern. Hiermit schafft man eine breite Sensibilisierung für das Thema und verringert vor allem die Anfälligkeit für Social-Engineering-Angriffe, die sich auf das Ausnutzen menschlicher Schwächen spezialisieren.


    Mit diesen Schritten gehen Sie einen bewährten Weg, um Industrial Security zuverlässig und nachhaltig im Unternehmen zu verankern. Wenn die Kommunikation zwischen IT und OT auf einer soliden Basis aufsetzt, dann sind zukünftigen sicheren Innovations- und Modernisierungsprojekten keine Grenzen mehr gesetzt und Sie profitieren langfristig von reibungsloseren Abläufen und einem besseren Betriebsklima.

    Der Industrial Security Guide zum schnellen Einstieg

    Max Weidele
    CEO & Founder

    Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.

    Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.

    Hier gehts zum Download!

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Veröffentlicht am
    Zuletzt aktualisiert am

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Checkliste herunterladen

    Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.


    Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung