Warum Sie bereits im Einkauf auf OT-Security achten müssen

Inhaltsverzeichnis

    OT-Security im Einkaufsprozess zu verankern, gewinnt immer mehr an Bedeutung. Die steigende Vernetzung von Maschinen und Anlagen im Rahmen der Industrie 4.0 und der einhergehenden Digitalisierung führt dazu, dass Hersteller und Betreiber sich zunehmend mit der Absicherung Ihrer Produktions- und Anlagennetze auseinandersetzen. Nach der initialen Aufnahme des Ist-Zustands und ersten Sicherheitsanalysen der Produktions- und Anlagennetze wird schnell klar, dass es viel zu tun gibt. Vor allem mit den vielen Altsystemen in der Bestandsinfrastruktur, die über Jahrzehnte gewachsen ist, muss mit Feingefühl umgegangen werden.

    Damit es für die zukünftigen Systeme gar nicht erst so weit kommt und diese nicht ebenfalls bald zu „schlecht zu sichernden“ Altsystemen mutieren, gilt Ursachenbehandlung statt Symptombehandlung.

    Dies heißt, den Zufluss an schlecht zu sichernden Maschinen und Anlagen in die eigenen Netze zu unterbinden, damit die großen Folgeaufwände auf Seiten der IT und OT gar nicht erst entstehen. Am besten geschieht das bereits während des Einkaufsprozesses und mit Hilfe des Personals, das an der Anlagenplanung beteiligt ist. Hier wird auch wieder einmal deutlich, dass eine nachhaltige Produktionssicherheit kein punktuelles Problem der IT oder der OT ist, sondern eine allgemeine Herausforderung des gesamten Unternehmens.

    Starten Sie mit einer Analyse des Beschaffungsprozesses

    Im Rahmen einer ersten Analyse sollten Sie sich das Vorgehen der genannten Abteilungen ansehen und in Erfahrung bringen, wie weit das Thema OT-Security dort bereits berücksichtigt wird.

    Folgende Fragen können hier gut unterstützen:

    • Existiert eine Einkaufsrichtlinie für Automationssysteme mit Bezug auf IT-Sicherheit?
    • Wird die IT-Sicherheit von Lieferanten untersucht? Hier spielen deren Prozesse, Produkte und Dienstleistungsangebote eine Rolle.
    • Werden neue Systeme, Maschinen und Anlagen in ein Asset-Management eingepflegt?
    • Wird vor der konkreten Beauftragung eine sicherheitsrelevante Einschätzung des IT- und Automationspersonals eingeholt?
    • Herrscht bereits ein Überblick über die Bestandsinfrastruktur vor, so dass bei der Einbindung der neuen Systeme auf IT-Sicherheitsrisiken geachtet werden kann?

    Hier muss man stets damit rechnen, dass solche Fragen eher ernüchternde Antworten liefern und man mit großen Augen angeschaut wird. Vor allem ist die Managementunterstützung wichtig mit der klaren Vorgabe, IT-Sicherheit im Beschaffungsprozess zu integrieren, alleine schon aus Kostengründen.

    Dialog IT und OT mit Anlagenplanung und Einkauf

    In gemeinsamen Gesprächsrunden sollte überlegt werden, wie IT-Sicherheitsanforderungen Stück für Stück bereits im Rahmen der Planungsphase sowie im späteren Einkauf berücksichtigt werden. 

    Hier muss vor allem ein erster Wissensaustausch und eine Sensibilisierung aller Beteiligten stattfinden, damit die gemeinsame Gesprächsbasis stimmt. Ist diese einmal gelegt, geht es um das Etablieren fester Wege, wie solche Sicherheitsanforderungen jetzt und in Zukunft an die richtigen Stellen der Planungs- und Einkaufsphasen gelangen können. Ein bewährter Weg ist, dass dies seitens der IT und OT in Form einer Einkaufsrichtlinie zur IT-Sicherheit geschieht.

    Exemplarische Vorgaben in einer Einkaufsrichtlinie

    Damit OT-Security im Einkaufsprozess etabliert wird, sollten entsprechende Vorgaben in eine Einkaufsrichtlinie übernommen werden. Wir haben einige Aspekte zusammengestellt, die sich für die Praxis anbieten:

    • Fernwartungsfunktionalität ohne nach außen offene Zugänge
    • Hersteller garantiert langjährige Pflege inklusive Schwachstellen- und Updatemanagement
    • Konkrete Anforderungen für späteren Betrieb und Administration
    • Ausführliche Dokumentation der IT-Komponenten
    • Keine unveränderbaren voreingestellten Passwörter
    • Nachweis über Zertifizierung, z.B. nach ISO 27001 oder IEC 62443

    Eine solche Einkaufsrichtlinie kann je nach Art und Beschaffenheit von Maschinen und Anlagen sehr umfangreich sein. Hier muss, wie immer in der IT-Sicherheit, das richtige Verhältnis zwischen Sicherheit, Wirtschaftlichkeit und Anwendbarkeit beachtet werden.

    OT-Security im Einkaufsprozess – den Fuß in die Tür!

    Eingeschliffene Routinen ändern sich nicht über Nacht. Insbesondere wenn die Planung und der Einkauf von Maschinen und Anlagen seit Jahrzehnten nach den gleichen grundlegenden Prinzipien erfolgt, ist ein kurzfristiger Wechsel nahezu unmöglich. Hier empfiehlt es sich, den Fokus auf den grundlegenden Dialog zu legen. Beginnen Sie mit einigen oder auch nur einer kleinen Sicherheitsanforderung.

    Gut geeignet ist hier vor allem das Thema Fernwartung – oftmals das Vorzeigethema, zu dem sich alle Beteiligten bereits einmal austauschen mussten. Weiterhin ist die Industrie-Fernwartung ein Thema, dass auch jedem Hersteller und Lieferanten ein bekannter und wichtiger Begriff ist. Damit hat man den ersten grundlegenden Schritt gemacht, um die Relevanz des Themas zu steigern. Und dann kann man sich um eine Lösung kümmern, die daran anknüpft.

    Bei dem Thema sind die Sicherheitsanforderungen der Fernwartungslösung dringend zu beachten: Passt die Lösung in das bestehende Fernwartungskonzept des Betreibers? Wer hat die Datenhoheit? Wie kann ein Zugriff erfolgen? Sind diese Punkte einmal implementiert, lässt sich einfach darauf aufbauen!

    Der Industrial Security Guide zum schnellen Einstieg

    Max Weidele
    CEO & Founder

    Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.

    Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.

    Hier gehts zum Download!

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Veröffentlicht am
    Zuletzt aktualisiert am

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Checkliste herunterladen

    Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.


    Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung