Wenn in Unternehmen Security-Projekte in Angriff genommen werden, dann wird schnell klar, dass Security das Ergebnis eines professionellen OT-Betriebs ist. Aus dem erklärten Fokus OT-Security ergeben sich daher oftmals Basisprojekte, um den Betrieb zu professionalisieren. Das nachzuholen, was über lange Zeit in Industrieumgebungen versäumt wurde, erhöht die Komplexität wesentlich. Viele Unternehmen stehen damit vor einer großen Herausforderung und holen sich die nötige Expertise und die Personalressourcen durch einen externen OT-Security-Consultant.
OT-Mindset: Pragmatische Vorgehensweise
Standardisierte Methoden und Normen gehören in der IT zu den übliche Vorgehensweisen. In der OT arbeitet man dagegen seit jeher pragmatischer. Die Notwendigkeit, praktikable Lösungen durch kreatives Ausprobieren zu finden, ist dem ständig vorherrschenden Kostendruck geschuldet. Die Rentabilität von Anlagen wird erhöht, indem veraltete Systeme länger betrieben werden und immer mehr Aufgaben auf die wenigen Personen verteilt werden, die den Betrieb am Laufen halten müssen. Da bleibt meist keine Zeit für Dokumentation oder um Standards zu erarbeiten, durchzusetzen und nachzuverfolgen. Eine verantwortliche Stelle dafür gibt es in den meisten Betrieben nicht.
Die Anzahl der Systeme und Komponenten in der OT vervielfachen sich durch die Digitalisierung, die mit den neuen Technologien auch vermehrt IT-Infrastruktur in die Bestandsanlagen bringt. Das vergrößert die Aufwände weiter.
In der Automatisierung gibt es durchaus Normen und Standards, nur eben nicht für den IT-Betrieb, der meist ohne klare Verantwortlichkeit bleibt.
Herausforderungen für die Projektarbeit
Komplexe OT-Projekte müssen meist bereichsübergreifend angelegt werden, das ist keine leichte Aufgabe.
Es gilt, Entscheidungswege, Kostenstellen, Kommunikationswege und vieles mehr zu definieren. Damit ist nicht nur spezifisches Know-how für die Projektarbeit gefordert, sondern auch die Kompetenz, große umfangreiche Projekte aufzusetzen und durchzuführen.
Es sind viele Personen aus verschiedenen Bereichen mit unterschiedlichem Kenntnisstand, Sichtweisen und Erwartungen zusammenzubringen. Oftmals bestehen Hürden für eine produktive Zusammenarbeit. Das können bestehenden Organisationsstrukturen sein, unterschiedliche Perspektiven und Terminologien und ein fehlendes Verständnis für die Belange der anderen involvierten Bereiche.
Was leisten OT-Security-Consultants?
Was für die IT praktikabel ist, kann nicht als Blaupause für die OT-Bereiche übernommen werden. Deswegen kommt ein Berater mit der nötigen Expertise dazu.
Systeme in der OT unterliegen anderen Anforderungen als in der IT und es gibt eine Vielzahl von Besonderheiten, die eine gesonderte Security-Betrachtung für industrielle Umgebungen erfordern.
Ein wichtiger Aspekt ist die Gewichtung von Safety und Verfügbarkeit als oberste Schutzziele in der OT.
OT-Schutzziele im Fokus
In Industrieumgebungen gibt es viele Gefahren physischer Natur, die unmittelbare Auswirkungen auf die Sicherheit von Menschen und Umwelt haben können. Safety, also die Betriebssicherheit, hat deswegen eine herausragende Bedeutung in der OT. Maschinen müssen so ausgelegt werden, dass sie keine Gefährdung beispielsweise für das Betriebspersonal darstellen. Eine solche Gefährdung kann auch durch eine Störung oder einen Ausfall von Maschinen oder Systemen verursacht werden, wenn zum Beispiel in Produktionsanlagen Roboterarme plötzlich Bewegungen falsch oder gar nicht mehr ausführen. In vernetzen Anlagen werden Folgereaktionen unplanmäßig oder nicht mehr ausgeführt, was wiederum andere Folgen nach sich zieht, die Menschen direkt in Gefahr bringen können.
Dass Anlagen ordnungsgemäß funktionieren, ist also nicht nur wichtig für die Produktionsergebnisse, sondern auch, weil es einen direkten Zusammenhang zur Betriebssicherheit gibt. Daher ist die Anlagenverfügbarkeit in der OT am höchsten priorisiert.
IT-Security + OT-Anforderungen = OT-Security
Die Zielsetzung des OT-Security-Consultants besteht darin, IT-Security für die OT aufzubereiten und anwendbar zu machen.
Die fachliche Expertise von OT-Security-Consultants
OT-Security baut initial auf IT- Fachwissen auf, wie zum Beispiel der Funktionsweise von Betriebssystemen, Netzwerken oder Server-Client-Architekturen und dem entsprechenden Know-how für IT-Security. Experten für OT-Security brauchen zusätzlich Kenntnisse darüber, wie Produktionsprozesse und Steuerungstechnik funktionieren. Dafür ist ein Hintergrund im Bereich “Messen-Steuern-Regeln-Leiten“ hilfreich, weil man die Unterschiede für die Anforderungen verschiedener Anwendungsfelder wie beispielsweise in der Verfahrenstechnik oder im Maschinenbau kennen muss.
Der OT-Security-Consultant ist die Instanz, die eine Brücke zwischen den Bereichen baut und die das nötige Know-how mitbringt, um den angestrebten Zustand mit den vorhandenen Ressourcen erreichen zu können.
Vermitteln als wichtige Kompetenz abseits des fachlichen Know-how
Weil in verschiedenen Bereichen verschiedene Terminologien verwendet werden, muss ein OT-Security-Consultant die “gängigen Sprachen” verstehen, dolmetschen und erklären können. Wann wird vom gleichen gesprochen und wann wird aneinander vorbeigeredet? Um das zu erkennen, müssen die richtigen Fragen gestellt und komplexe Zusammenhänge erkannt werden.
Der OT-Security-Consultant sollte eine Vermittlerrolle auch hinsichtlich der verschiedenen Interessensgruppen mit ihren spezifischen Herangehensweisen einnehmen. Es gilt zu berücksichtigen, dass im Produktionsumfeld eine einfache Handhabung im Vordergrund steht und man deswegen Security-Vorgaben aus der IT, die mit Mehraufwand verbunden sind, nicht immer aufgeschlossen gegenübersteht. Vorbehalte und Bedenken gibt es meist auf beiden Seiten, ebenso wie Klärungsbedarf für verschiedene Fragestellungen.
Damit Mitarbeiterinnen und Mitarbeiter gemeinsam an einem Strang ziehen, muss jeder gehört und ernst genommen werden. Um diese Rolle bestmöglich ausfüllen zu können, ist Erfahrung ebenso nötig, wie ein hohes Maß an sozialer Kompetenz. OT-Projekte sind keine Selbstläufer, sie sind nur als Gemeinschaftsaufgabe zu meistern. Der Erfolg eines Projektes hängt wesentlich von einem empathischen Umgang miteinander ab.
3 typische Aufgaben eines OT-Security-Consultants
Fachlicher Input für einen professionellen OT-Betrieb
Der OT-Security-Consultant liefert als fachlicher Ansprechpartner oder fachliche Ansprechpartnerin im Projektverlauf das relevante Know-how, das sicherstellt, dass die zu erarbeitende Lösung im OT-Betrieb praktikabel und aus Security-Sicht geeignet ist. Hier sollten auch Synergien zum Tragen kommen, wenn Consultants an verschiedenen (Teil-)Projekten mitarbeiten.
Hier gilt es, typische Fragen mit den Beteiligten kompetent zu klären. Das betrifft zunächst generelle Definitionen: Was ist OT in Ihrem Betrieb und was zählt zu den OT-Assets? Wie sind die Abgrenzungen zu den Zuständigkeiten anderer Bereiche, wie der IT?
Basierend auf den grundlegenden Festlegungen und spezifischen Anforderungen können konkrete Maßnahmen wie ein OT-Asset-Management oder segmentierte Netzwerkarchitekturen erarbeitet und umgesetzt werden. Relevantes Wissen nachhaltig an interne Mitarbeiterinnen und Mitarbeiter zu vermitteln, ist ein wesentlicher Aspekt bei dieser Aufgabe.
Neben den technischen Maßnahmen sind im Rahmen eines ganzheitlichen Ansatzes immer auch die organisatorischen und personellen Aspekte in Betracht zu ziehen. Dabei geht es um Prozesse, die professionelle Vorgehensweisen in der OT sicherstellen und um den Aufbau von praktikablen Organisationsstrukturen, damit nötige Entscheidungen getroffen werden können und Budgets verfügbar sind.
Konzeptverantwortung
Beim OT-Security-Consultant liegt oftmals auch die Konzeptverantwortung für ein definiertes Thema wie zum Beispiel ein OT-Assetmanagement oder eine OT-Netzwerkarchitektur. Die Aufgabe schließt die Erarbeitung geeigneter Maßnahmen ein, die umsetzbar und handhabbar sind, so dass das Konzept bei Bedarf in der Zukunft auch auditierfähig ist
Leitungs- und Führungsverantwortung
Weil die Hürden im Projektverlauf nur mit einer umfassenden Kommunikation und beherztem Vorangehen zu nehmen sind, gehört die Rolle des Projektleiters zu den Hauptaufgaben. Vor allem in großen Unternehmen kommt dieser Funktion eine entscheidende Bedeutung zu.
Der Projektleiter muss dafür sorgen, dass das Projektteam arbeiten kann und dass nötige Entscheidungen eingefordert und getroffen werden. Ein OT-Security-Consultant kann grundsätzlich auch mit der Projektleitung betraut werden.
Projektarbeit ist das Tagesgeschäft von Consultants, kein zusätzlich zu leistender Aufwand, wie es für interne Mitarbeiterinnen und Mitarbeiter oftmals der Fall ist. Das unterstützt die Priorisierung einzelner Aufgaben und treibt Projekte insgesamt voran.
Einen nachhaltigen Nutzen aus der Expertise generieren
Know-how intern aufbauen
Ein professioneller OT-Betrieb ist keine Angelegenheit, die mit einem Projekt abschließend behandelt wäre, sondern ein fortlaufender Prozess für eine gelebte Praxis im Unternehmen.
Ihr Ziel sollte es also sein, die dafür nötige Expertise im eignen Unternehmen verfügbar zu haben. Wenn Kolleginnen und Kollegen Security-Konzepte erarbeiten und Maßnahmen in den Betrieb überführen, und nicht externe Berater, dann ist die Akzeptanz in den betroffenen Bereichen oft größer. Außerdem sind Ihre Mitarbeiterinnen und Mitarbeiter bereits vertraut mit den individuellen Anforderungen in Ihrem Betrieb, was die Aufwände für künftige OT-Projekte verringert.
Wenn Sie auf die Unterstützung externer Berater zurückgreifen, dann sollten Sie darauf achten, dass diese im Projektverlauf ausreichend Wissen vermitteln. Das befähigt Ihre Mitarbeiter dazu, die Aufgaben mittelfristig selbst zu übernehmen. Für ein mögliches zielgerichtetes Outsourcing in der Zukunft kann dann die interne Steuerung durch entsprechendes Know-how übernommen werden.
Ein externer OT-Security-Consultant hat seinen Job gut gemacht, wenn Sie ihn danach nicht mehr brauchen!
Organisatorische Verankerung für OT-Belange im Unternehmen anstreben
Aus den Projekten ergeben sich Themen, die vorher nur bedingt da waren und die dann mit entsprechenden Aufgabenstellungen verbunden sind. Die Aufwände müssen abgebildet und die Verantwortung definiert werden. Für die Erbringung dieser Aufwände und für die Betriebsverantwortung ist ein passendes Fundament erforderlich.
Während der Projektarbeit übernimmt der OT-Security-Consultant die Aufgabe, OT-Belange für den definierten Fokus abzubilden. Perspektivisch sollte die Funktion im Unternehmen nachhaltig etabliert und organisatorisch verankert werden. Das geschieht durch den Aufbau eines Fachbereichs, der für OT-Belange einschließlich der Erbringung von OT-Services zuständig ist und dies explizit verantwortet. Dieser Bereich braucht eine definierte Schnittstelle zur IT-Abteilung, um Synergien nutzen zu können. So können Best Practices auf die spezifischen OT-Anforderungen abgestimmt und bewährte Vorgehensweisen auch für den OT-Betrieb standarisiert werden.
Das Ziel ist dabei, erforderliche Maßnahmen und Tätigkeiten bedarfsgerecht nach standardisierten Vorgehensweisen durch verfügbares zuständiges Personal umzusetzen. Davon profitiert ihr OT-Betrieb nachhaltig und Sie kommen der Zielsetzung Security einen entscheidenden Schritt näher.
Was genau so eine OT-Organisation ausmacht und wie sie etabliert werden kann, behandelt unser Artikel zum Thema: https://www.sichere-industrie.de/was-ist-eine-ot-organisation/
Fazit
Security durch die Professionalisierung des OT-Betriebs zu erreichen, erfordert eine Instanz, die etablierte Vorgehensweisen der klassischen IT auf die besonderen Anforderungen der OT ausrichtet.
Kompetente externe OT-Security-Consultants liefern für die Projektarbeit wertvolles Know-how und zusätzliche Ressourcen, um geeignete Maßnahmen konzipieren und umsetzen zu können. Ihre Expertise lässt sich über die konkrete Zielsetzung eines Projektes hinaus nutzen. Dafür müssen Ihre interne Mitarbeiterinnen und Mitarbeiter über einen Wissenstransfer für künftige Aufgabenstellungen befähigt werden.
Der Industrial Security Guide zum schnellen Einstieg
CEO & Founder
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!
