Wie Sie von der Expertise externer OT-Security-Consultants nachhaltig profitieren

Inhaltsverzeichnis

    Wenn in Unternehmen Security-Projekte in Angriff genommen werden, dann wird schnell klar, dass Security das Ergebnis eines professionellen OT-Betriebs ist. Aus dem erklärten Fokus OT-Security ergeben sich daher oftmals Basisprojekte, um den Betrieb zu professionalisieren. Das nachzuholen, was über lange Zeit in Industrieumgebungen versäumt wurde, erhöht die Komplexität wesentlich.

    Viele Unternehmen stehen damit vor einer großen Herausforderung und holen sich die nötige Expertise und die Personalressourcen von extern.

    OT-Mindset: Pragmatische Vorgehensweise

    Standardisierte Methoden und Normen sind zwar in der IT übliche Vorgehensweisen, aber in der OT wird seit jeher pragmatischer gearbeitet. Die Notwendigkeit, praktikable Lösungen durch kreatives Ausprobieren zu finden, ist dem ständig vorherrschenden Kostendruck geschuldet. Die Rentabilität von Anlagen wird erhöht, indem veraltete Systeme länger betrieben werden und immer mehr Aufgaben auf die wenigen Personen verteilt werden, die den Betrieb am Laufen halten müssen. Da bleibt meist keine Zeit für Dokumentation oder um Standards zu erarbeiten, durchzusetzen und nachzuverfolgen. Eine verantwortliche Stelle dafür gibt es in den meisten Betrieben nicht.

    Die Anzahl der Systeme und Komponenten in der OT vervielfachen sich durch die Digitalisierung, die mit den neuen Technologien auch vermehrt IT-Infrastruktur in die Bestandsanlagen bringt. Das vergrößert die Aufwände weiter.

    In der Automatisierung gibt es durchaus Normen und Standards, nur eben nicht für den IT-Betrieb, der meist ohne klare Verantwortlichkeit bleibt.

    Herausforderungen für die Projektarbeit

    Komplexe OT-Projekte müssen meist bereichsübergreifend angelegt werden, das ist keine leichte Aufgabe.

    Es gilt, Entscheidungswege, Kostenstellen, Kommunikationswege und vieles mehr zu definieren. Damit ist nicht nur spezifisches Know-how für die Projektarbeit gefordert, sondern auch die Kompetenz, große umfangreiche Projekte aufzusetzen und durchzuführen.

    Es sind viele Personen aus verschiedenen Bereichen mit unterschiedlichem Kenntnisstand, Sichtweisen und Erwartungen zusammenzubringen. Oftmals bestehen Hürden für eine produktive Zusammenarbeit. Das können bestehenden Organisationsstrukturen sein, unterschiedliche Perspektiven und Terminologien und ein fehlendes Verständnis für die Belange der anderen involvierten Bereiche.

    Was leisten OT-Security-Consultants?

    Was für die IT praktikabel ist, kann nicht als Blaupause für die OT-Bereiche übernommen werden. Deswegen kommt ein Berater mit der nötigen Expertise dazu.

    Systeme in der OT unterliegen anderen Anforderungen als in der IT und es gibt eine Vielzahl von Besonderheiten, die eine gesonderte Security-Betrachtung für industrielle Umgebungen erfordern.

    Ein wichtiger Aspekt ist die Gewichtung von Safety und Verfügbarkeit als oberste Schutzziele in der OT.

    OT-Schutzziele im Fokus

    In Industrieumgebungen gibt es viele Gefahren physischer Natur, die unmittelbare Auswirkungen auf die Sicherheit von Menschen und Umwelt haben können. Safety, also die Betriebssicherheit, hat deswegen eine herausragende Bedeutung in der OT. Maschinen müssen so ausgelegt werden, dass sie keine Gefährdung beispielsweise für das Betriebspersonal darstellen. Eine solche Gefährdung kann auch durch eine Störung oder einen Ausfall von Maschinen oder Systemen verursacht werden, wenn zum Beispiel in Produktionsanlagen Roboterarme plötzlich Bewegungen falsch oder gar nicht mehr ausführen. In vernetzen Anlagen werden Folgereaktionen unplanmäßig oder nicht mehr ausgeführt, was wiederum andere Folgen nach sich zieht, die Menschen direkt in Gefahr bringen können.

    Dass Anlagen ordnungsgemäß funktionieren, ist also nicht nur wichtig für die Produktionsergebnisse, sondern auch, weil es einen direkten Zusammenhang zur Betriebssicherheit gibt. Daher ist die Anlagenverfügbarkeit in der OT am höchsten priorisiert.

    IT-Security + OT-Anforderungen = OT-Security 

    Die Zielsetzung des OT-Security-Consultants besteht darin, IT-Security für die OT aufzubereiten und anwendbar zu machen.

    Die fachliche Expertise von OT-Security-Consultants

    OT-Security baut initial auf IT- Fachwissen auf, wie zum Beispiel der Funktionsweise von Betriebssystemen, Netzwerken oder Server-Client-Architekturen und dem entsprechenden Know-how für IT-Security. Experten für OT-Security brauchen zusätzlich Kenntnisse darüber, wie Produktionsprozesse und Steuerungstechnik funktionieren. Dafür ist ein Hintergrund im Bereich “Messen-Steuern-Regeln-Leiten“ hilfreich, weil man die Unterschiede für die Anforderungen verschiedener Anwendungsfelder wie beispielsweise in der Verfahrenstechnik oder im Maschinenbau kennen muss.

    Der OT-Security-Consultant ist die Instanz, die eine Brücke zwischen den Bereichen baut und die das nötige Know-how mitbringt, um den angestrebten Zustand mit den vorhandenen Ressourcen erreichen zu können.

    Vermitteln als wichtige Kompetenz abseits des fachlichen Know-how

    Weil in verschiedenen Bereichen verschiedene Terminologien verwendet werden, muss ein OT-Security-Consultant die “gängigen Sprachen” verstehen, dolmetschen und erklären können. Wann wird vom gleichen gesprochen und wann wird aneinander vorbeigeredet? Um das zu erkennen, müssen die richtigen Fragen gestellt und komplexe Zusammenhänge erkannt werden.

    Der OT-Security-Consultant sollte eine Vermittlerrolle auch hinsichtlich der verschiedenen Interessensgruppen mit ihren spezifischen Herangehensweisen einnehmen. Es gilt zu berücksichtigen, dass im Produktionsumfeld eine einfache Handhabung im Vordergrund steht und man deswegen Security-Vorgaben aus der IT, die mit Mehraufwand verbunden sind, nicht immer aufgeschlossen gegenübersteht. Vorbehalte und Bedenken gibt es meist auf beiden Seiten, ebenso wie Klärungsbedarf für verschiedene Fragestellungen.

    Damit Mitarbeiterinnen und Mitarbeiter gemeinsam an einem Strang ziehen, muss jeder gehört und ernst genommen werden. Um diese Rolle bestmöglich ausfüllen zu können, ist Erfahrung ebenso nötig, wie ein hohes Maß an sozialer Kompetenz. OT-Projekte sind keine Selbstläufer, sie sind nur als Gemeinschaftsaufgabe zu meistern. Der Erfolg eines Projektes hängt wesentlich von einem empathischen Umgang miteinander ab.

    3 typische Aufgaben eines OT-Security-Consultants

    Fachlicher Input für einen professionellen OT-Betrieb

    Der OT-Security-Consultant liefert als fachlicher Ansprechpartner oder fachliche Ansprechpartnerin im Projektverlauf das relevante Know-how, das sicherstellt, dass die zu erarbeitende Lösung im OT-Betrieb praktikabel und aus Security-Sicht geeignet ist. Hier sollten auch Synergien zum Tragen kommen, wenn Consultants an verschiedenen (Teil-)Projekten mitarbeiten.

    Hier gilt es, typische Fragen mit den Beteiligten kompetent zu klären. Das betrifft zunächst generelle Definitionen: Was ist OT in Ihrem Betrieb und was zählt zu den OT-Assets? Wie sind die Abgrenzungen zu den Zuständigkeiten anderer Bereiche, wie der IT?

    Basierend auf den grundlegenden Festlegungen und spezifischen Anforderungen können konkrete Maßnahmen wie ein OT-Asset-Management oder segmentierte Netzwerkarchitekturen erarbeitet und umgesetzt werden. Relevantes Wissen nachhaltig an interne Mitarbeiterinnen und Mitarbeiter zu vermitteln, ist ein wesentlicher Aspekt bei dieser Aufgabe.

    Neben den technischen Maßnahmen sind im Rahmen eines ganzheitlichen Ansatzes immer auch die organisatorischen und personellen Aspekte in Betracht zu ziehen. Dabei geht es um Prozesse, die professionelle Vorgehensweisen in der OT sicherstellen und um den Aufbau von praktikablen Organisationsstrukturen, damit nötige Entscheidungen getroffen werden können und Budgets verfügbar sind.

    Konzeptverantwortung

    Beim OT-Security-Consultant liegt oftmals auch die Konzeptverantwortung für ein definiertes Thema wie zum Beispiel ein OT-Assetmanagement oder eine OT-Netzwerkarchitektur. Die Aufgabe schließt die Erarbeitung geeigneter Maßnahmen ein, die umsetzbar und handhabbar sind, so dass das Konzept bei Bedarf in der Zukunft auch auditierfähig ist

    Leitungs- und Führungsverantwortung

    Weil die Hürden im Projektverlauf nur mit einer umfassenden Kommunikation und beherztem Vorangehen zu nehmen sind, gehört die Rolle des Projektleiters zu den Hauptaufgaben. Vor allem in großen Unternehmen kommt dieser Funktion eine entscheidende Bedeutung zu.

    Der Projektleiter muss dafür sorgen, dass das Projektteam arbeiten kann und dass nötige Entscheidungen eingefordert und getroffen werden. Ein OT-Security-Consultant kann grundsätzlich auch mit der Projektleitung betraut werden.

    Projektarbeit ist das Tagesgeschäft von Consultants, kein zusätzlich zu leistender Aufwand, wie es für interne Mitarbeiterinnen und Mitarbeiter oftmals der Fall ist. Das unterstützt die Priorisierung einzelner Aufgaben und treibt Projekte insgesamt voran.

    Einen nachhaltigen Nutzen aus der Expertise generieren

    Know-how intern aufbauen

    Ein professioneller OT-Betrieb ist keine Angelegenheit, die mit einem Projekt abschließend behandelt wäre, sondern ein fortlaufender Prozess für eine gelebte Praxis im Unternehmen.

    Ihr Ziel sollte es also sein, die dafür nötige Expertise im eignen Unternehmen verfügbar zu haben. Wenn Security-Konzepte von Kolleginnen und Kollegen anstatt von externen Beratern erarbeitet und Maßnahmen in den Betrieb überführt werden, ist die Akzeptanz der betroffenen Bereiche oft größer. Außerdem sind Ihre Mitarbeiterinnen und Mitarbeiter bereits vertraut mit den individuellen Anforderungen in Ihrem Betrieb, was die Aufwände für künftige OT-Projekte verringert.

    Wenn Sie auf die Unterstützung externer Berater zurückgreifen, dann sollten Sie darauf achten, dass im Projektverlauf ausreichend Wissen vermittelt wird, damit Ihre Mitarbeiter dazu befähigt werden, die Aufgaben mittelfristig selbst zu übernehmen. Für ein mögliches zielgerichtetes Outsourcing in der Zukunft kann dann die interne Steuerung durch entsprechendes Know-how übernommen werden.

    Ein externer OT-Security-Consultant hat seinen Job gut gemacht, wenn Sie ihn danach nicht mehr brauchen!

    Organisatorische Verankerung für OT-Belange im Unternehmen anstreben

    Aus den Projekten ergeben sich Themen, die vorher nur bedingt da waren und die dann mit entsprechenden Aufgabenstellungen verbunden sind. Die Aufwände müssen abgebildet und die Verantwortung definiert werden. Für die Erbringung dieser Aufwände und für die Betriebsverantwortung ist ein passendes Fundament erforderlich.

    Während der Projektarbeit übernimmt der OT-Security-Consultant die Aufgabe, OT-Belange für den definierten Fokus abzubilden. Perspektivisch sollte die Funktion im Unternehmen nachhaltig etabliert und organisatorisch verankert werden. Das geschieht durch den Aufbau eines Fachbereichs, der für OT-Belange einschließlich der Erbringung von OT-Services zuständig ist und dies explizit verantwortet. Dieser Bereich braucht eine definierte Schnittstelle zur IT-Abteilung, um Synergien nutzen zu können. So können Best Practices auf die spezifischen OT-Anforderungen abgestimmt und bewährte Vorgehensweisen auch für den OT-Betrieb standarisiert werden.

    Das Ziel ist dabei, erforderliche Maßnahmen und Tätigkeiten bedarfsgerecht nach standardisierten Vorgehensweisen durch verfügbares zuständiges Personal umzusetzen. Davon profitiert ihr OT-Betrieb nachhaltig und Sie kommen der Zielsetzung Security einen entscheidenden Schritt näher.

    Was genau so eine OT-Organisation ausmacht und wie sie etabliert werden kann, behandelt unser Artikel zum Thema: https://www.sichere-industrie.de/was-ist-eine-ot-organisation/

    Fazit

    Security durch die Professionalisierung des OT-Betriebs zu erreichen, erfordert eine Instanz, die etablierte Vorgehensweisen der klassischen IT auf die besonderen Anforderungen der OT ausrichtet.

    Kompetente externe OT-Security-Consultants liefern für die Projektarbeit wertvolles Know-how und zusätzliche Ressourcen, um geeignete Maßnahmen konzipieren und umsetzen zu können. Ihre Expertise lässt sich über die konkrete Zielsetzung eines Projektes hinaus nutzen, wenn ein Wissenstransfer stattfindet und interne Mitarbeiterinnen und Mitarbeiter dadurch für künftige Aufgabenstellungen befähigt werden.

    Praxistipp

    Unterstützen Sie den Aufbau von OT-Security-Expertise in Ihrem eigenen Unternehmen. Ein Jobtausch-Modell ermöglicht Ihren Mitarbeiterinnen und Mitarbeitern aus IT und OT Erfahrungen im jeweils anderen Bereich zu sammeln und in eine Expertenrolle hineinzuwachsen.

    Möchten Sie noch mehr Wissen zur Industrial und IIoT Security? Erhalten Sie die wichtigsten Erkenntnisse und Best Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr E-Mail-Postfach.

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht.

    Der große Industrial Security Einsteiger-Guide

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Whitepaper herunterladen!

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Industrial Security auf den Punkt gebracht

    Erhalten Sie den Einstieg in die Industrial Security und profitieren Sie von Best-Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr Email-Postfach.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung