OT-Security als komplexe Herausforderung
Security ist eine Gemeinschaftsaufgabe aller Bereiche eines Unternehmens. Damit ein ausreichendes Schutzniveau aufgebaut und aufrechterhalten werden kann, muss jeder Bereich seinen Teil dazutun. Weil die verschiedenen Bereiche spezifische Anforderungen haben, unterscheiden sich die Wege, die sie dafür einschlagen. So ist IT-Security, die für die klassische IT im Unternehmen bereits etabliert ist, noch lange keine Blaupause für die OT-Bereiche. Das liegt an den besonderen Rahmenbedingungen in industriellen Umgebungen.
Schwachstellen und potenzielle Cyberangriffe sind eine permanente Gefahr für die Verfügbarkeit vernetzter Industrieanlagen, die meist jahrzehntelang undokumentiert vor sich hingewachsen sind. Die Absicherung der IT-Infrastrukturen, die in den OT-Bereichen eingesetzt werden, war lange Zeit nicht im Fokus, auch weil die Zuständigkeit und die Verantwortung dafür in vielen Betrieben ungeklärt war und oftmals immer noch ist.
Security-Funktionalität sucht man in alten Bestandsanlagen meist vergeblich und die Anforderung an die permanente Verfügbarkeit von Produktionssystemen erschweren einen regelmäßigen Update- und Patch-Prozess. Das verursacht im Industrie-4.0-Zeitalter mit zunehmender Vernetzung Sicherheitslücken, die dringend geschlossen werden müssen.
Notwendigkeit und Nutzen konstruktiver Zusammenarbeit
Auch wenn aufgrund unterschiedlicher Anforderungen verschiedene Strategien zur Etablierung von Security erforderlich sind, so gelingt das Vorhaben unternehmensweit nur, wenn die einzelnen Bereiche konstruktiv zusammenarbeiten. Dabei geht es nicht allein um die Schnittstellen, die es im Unternehmen zu definieren und abzusichern gilt. Zwischen IT und OT gibt es Abstimmungsbedarf beispielsweise für die Auslegung von Fernwartungszugängen für Produktionssysteme, weil der Internetzugang meist im Verantwortungsbereich der IT liegt. Außerdem wird in der OT eine Vielzahl von IT-Komponenten eingesetzt, deren Einsatzzweck nicht ausschließlich der OT zuzurechnen ist . Auch zwischen OT und Instandhaltung gibt es entsprechende Schnittstellen, ebenso wie zwischen der Geschäftsführung und der Produktion oder einzelnen Werken.
OT-Security heißt nicht nur entsprechende technische Maßnahmen umzusetzen. Auch die organisatorischen und personellen Aspekte müssen so gestaltet werden, dass Security als ganzheitliches Konzept funktioniert. Das macht die Aufgabe zu einem komplexen Projekt mit vielen beteiligten Personen. Dabei geht es nicht ausschließlich um Fakten und Inhalte, auf die man sich verständigen muss. Die Erfahrungen und das Know-how, das im Unternehmen bereits vorhanden sind, ist ein wichtiges Fundament, gerade weil Ressourcen knapp sind und es an Fachkräften mangelt. Ein aktiver Wissenstransfer und eine gute Kommunikation sind nötig, damit Security-Projekte gelingen. Dass viele Menschen einvernehmlich an einem Strang ziehen, das kommt jedoch nicht von ungefähr.
Auf die Menschen kommt es an
Der Faktor Mensch spielt für OT-Security eine besondere Rolle, das wird meist im Kontext von Awareness-Themen erwähnt. Das gilt jedoch gleichermaßen für eine erfolgreiche Umsetzung von OT-Security-Projekten. Die betroffenen Bereiche und deren Mitarbeiterinnen und Mitarbeiter müssen konstruktiv zusammenarbeiten und ein gemeinsames Ziel verfolgen. Eine mangelnde Bereitschaft, daran mitzuwirken, kann einer der Gründe sein, wenn Security-Projekte sich verzögern oder letztlich sogar scheitern. Wie kommt es dazu?
Die Bedeutung von Kommunikation
Kommunikation betrifft nicht nur den Austausch relevanter Informationen, beispielsweise für die Ausrollung von Konzepten.
„Man kann nicht nicht kommunizieren. Jede Kommunikation hat einen Inhalts- und einen Beziehungsaspekt.“
Paul Watzlawick
Wenn Personenkreise, die vielleicht als schwierig gelten, übergangen werden, benötigte Informationen zu spät geliefert werden, Meetings häufig abgesagt werden oder manche Teilnehmer oft unentschuldigt fehlen, dann hat dies eine Wirkung auf die anderen. Auf längere Sicht beeinträchtigt solches Verhalten die Motivation im Projektteam. Was als Missachtung empfunden wird, führt zu negativen Beziehungen, die sich auf die Inhaltsebene auswirken. Und das gefährdet die Zielerreichung.
Das Thema OT-Security anzugehen und nachhaltig umzusetzen heißt, viele Personen an einen Tisch zu bekommen, zuzuhören, zu dolmetschen und zu vermitteln, um dann gemeinsam an einem Strang zu ziehen.
Empathie als Schlüssel
Alle beteiligten Personen haben meist in der Vergangenheit bereits mehr oder weniger miteinander zu tun gehabt. Sie bringen für ihr Gegenüber jeweils eine bestimmte Erwartungshaltung mit, die die persönliche Wahrnehmung beeinflusst. Außerdem kommt jeder mit eigenen fachlichen Erfahrungen und dem Wissen über spezifische Anforderungen für seinen Bereich, was entsprechende Ansprüche einschließt. Nicht zuletzt verwenden verschiedene Bereiche unterschiedliche Begrifflichkeiten und das beinhaltet Potential für Missverständnisse.
Es gibt also besondere Herausforderungen für Gespräche zwischen den Bereichen, allen voran IT und OT. Die Trennung löst sich längst auf und eine gemeinsame Herangehensweise an die Security-Themen ist nicht nur unumgänglich, sondern für den Unternehmenserfolg von entscheidender Bedeutung. Damit es eine echte Verständigung und ein Einvernehmen für eine gemeinsame Zielsetzung geben kann, braucht es Werte, die von der Führungsebene aktiv vorgelebt werden sollten. Eine wertungsfreie Kommunikation, gegenseitiger Respekt und ein ehrliches Interesse an der Situation des jeweils anderen sind dabei grundlegend. Das hilft auch dabei, Fehler von vornherein zu minimieren oder ganz zu vermeiden, weil einzelne Personen sich trauen, bei Unklarheiten Fragen zu stellen.
Kein Unternehmen kann es sich leisten, dass Know-how und Engagement aus anderen Bereichen ignoriert oder abgeblockt werden, weil die Wertschätzung dafür dort, wo sie benötigt werden, nicht vorhanden ist.
Die Devise lautet Offenheit und Empathie. Wer in Gesprächen und Diskussionen empathisch agiert, der zeigt Respekt und Verständnis für sein Gegenüber und dessen Motive. Das beginnt mit aktivem Zuhören, um die Sicht des anderen verstehen zu können. Die Erfahrung anderer anzuerkennen und zu bitten, daran teilzuhaben, kann Türen öffnen und Wege ebnen. Wenn verschiedene Personenkreise für ein Projekt zusammenkommen und zusammenwirken müssen, braucht es Fingerspitzengefühl bei denjenigen, die die Koordination übernehmen, damit sich jeder gehört und verstanden fühlt.
Nur wenn die Belange aller Beteiligten zählen, kann ein sinnvoller Startpunkt und letztlich die bestmögliche Lösung für alle Parteien gefunden werden.
Dazu gehört
- ein ernsthaftes Interesse am Standpunkt der einzelnen Beteiligten
- Bedenken ernst zu nehmen
- Akzeptanz für die einzelnen Erwartungshaltungen
- Wertschätzung für den Beitrag, den jeder leisten kann
Ein positives Fundament der persönlichen Ebenen ist die beste Voraussetzung, um inhaltlich passende und nachhaltige Strategien und Konzepte erarbeiten zu können. Dann wird deren Umsetzung von allen betroffenen Mitarbeiterinnen und Mitarbeitern mitgetragen. Dass OT-Security am Miteinander der beteiligten Personenkreise scheitert, das können wir uns einfach nicht leisten!
Fazit
Ob OT-Security-Projekte erfolgreich verlaufen, beeinflusst die Ergebnisse und die Zukunftsfähigkeit eines Unternehmens. Dabei kommt es auf die Mitwirkung und den Beitrag jeder und jedes Einzelnen an. Ein empathisches wertschätzendes Miteinander und die Kommunikation auf Augenhöhe zwischen allen Beteiligten ist ein wichtiger Erfolgsfaktor, der aktiv von den leitenden Ebenen vorgegeben werden sollte.
Der Industrial Security Guide zum schnellen Einstieg
CEO & Founder
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!
