Beim Thema Security gilt: all hands on deck! – denn komplexe Herausforderungen sind als Gemeinschaftsaufgabe erfolgreicher zu meistern. Wichtige Unterstützung bei Security-Projekten kommt vor allem aus den OT-Bereichen. Dort bündelt sich Fachwissen, das für den Schutz Ihrer Anlagenverfügbarkeit unerlässlich ist. Dieses Wissen ist wichtig für den Erfolg Ihrer unternehmensweiten Security-Strategie, deshalb sollten Sie es nutzen! IT-/OT-Konvergenz bringt beide Welten zusammen, um ein gemeinsames Ziel zu erreichen.
IT-/OT-Konvergenz: zwei Welten, ein Ziel
IT und OT sind nicht länger Bereiche, die getrennt voneinander agieren, wie dies über lange Zeiträume der Fall war. Es gibt nicht mehr nur einzelne Berührungspunkte, beispielsweise weil der Internetzugang, der von der IT des Unternehmens verwaltet wird, für Fernwartungslösungen in OT-Bereichen genutzt wird.
Zunehmend vernetzte heterogene Produktionslandschaften stellen vulnerable Angriffsziele mit vielen Einfallstoren dar. Cyberangriffe und technische Störungen in der OT haben das Potenzial, das gesamte Unternehmen lahmzulegen. Wer Industrieanlagen wirksam schützen will, muss jedoch differenziert vorgehen. Es ist nicht nur relevant zu wissen, wo die größten Hebel für Security in Produktionsbereichen sind. Man sollte auch wissen, wo besondere Vorsicht geboten ist, weil nicht jede Maßnahme, die in der klassischen IT funktioniert, auch für den produktiven Betrieb geeignet ist. Für den Erfolg Ihrer Security-Projekte ist es essenziell, dass IT und OT Hand in Hand gehen.
Security als gemeinsam zu leistende Aufgabe
Wie wichtig die Expertise aus beiden Bereichen ist, zeigt das Beispiel Anomalieerkennung. Die Umsetzung einer wirksamen Anomalieerkennung ist für Betriebe der kritischen Infrastrukturen (KRITIS) seit 1. Mai 2023 verpflichtend. Angriffserkennung besteht aus Tools und Prozessen, um in der Netzwerkkommunikation Abweichungen vom Standard zu erkennen und zu bewerten, damit entsprechende Reaktionen erfolgen können. Dabei werden alle Bereiche des Netzwerks detektiert, das schließt auch die Feldebene ein. Für die Bewertung von Ereignissen im Shopfloor ist neben Fachwissen zu IT-Standardtechnologien auch Automations-Know-how aus den OT-Bereichen erforderlich.
Die Anforderungen von IT und OT abstimmen
Security-Projekte werden meistens vom Blickwinkel der IT-Abteilung aus betrachtet und durchgeführt. Wenn die OT-Sicht fehlt, ergeben sich daraus große Herausforderungen für die Produktion. In der OT steht die Verfügbarkeit an erster Stelle. Außerdem hat die Safety, der Schutz von Menschen und Umwelt eine besondere Relevanz.
Bereits in der Projektplanungsphase muss die OT-Perspektive berücksichtig werden, damit Security-Maßnahmen den Anforderungen im Betrieb nicht entgegenlaufen. Wenn beispielsweise veraltete Betriebssystemversionen im gesamten Unternehmensnetzwerk abgelöst werden sollen, dann ist das aus IT-Sicht ein sinnvolles Projekt. Für die OT hingegen hat diese Zielsetzung nicht nur keine Relevanz, weil Produktionssysteme auch mit veralteten Windows-Versionen sicher betrieben werden können. Die Vorgabe ist in vielen Fällen gar nicht oder nur mit sehr hohen Aufwänden und zeitweiligen Betriebsunterbrechungen umsetzbar, weil Patchen und Updates im 24×7-Betrieb nicht möglich sind. In manchen Fällen erfordert eine solche Änderung auch eine neue Safety-Abnahme der gesamten Anlage.
OT-Anforderungen sollten also schon bei der Planung eines Projektes einbezogen werden. Je später Projektziel und Vorgehensweise an die OT-Bereiche kommuniziert werden, desto mehr werden Bereiche vor vollendete Tatsachen gestellt. Das schränkt Handlungsspielräume ein. Problematisch ist das nicht nur aus fachlicher Hinsicht. Wenn in einem Bereich der Eindruck entsteht, dass Entscheidungen über die eigenen Köpfe hinweg getroffen werden, dann ist die Motivation tatkräftig mitzuarbeiten mindestens gestört. Für die Zielerreichung Security ist das eine fatale Situation.
IT-/OT-Konvergenz – Was ist damit gemeint?
Für ein gemeinsames Vorgehen von IT und OT wird oft der Begriff IT-/OT-Konvergenz verwendet. Hersteller assoziieren damit, Komponenten oder Systeme, die in der IT eingesetzt werden, etwa durch eine Feature-Erweiterung tauglich für den OT-Betrieb zu machen. Eine Vereinheitlichung oder Integration hilft Herstellern sicher dabei, neue Märkte für ein Produkt zu erschließen. Und es macht Komponenten wie beispielsweise Switche, die sowohl in IT als auch in OT eingesetzt werden, aufgrund der höheren Stückzahlen für die Betreiber günstiger. Es ist jedoch nicht das, was Konvergenz bedeutet, und es ist kein sinnvolles und zielführendes Vorgehen im Sinne eines sicheren Anlagenbetriebs. Es führt nämlich dazu, dass die IT-Abteilung IT-basierte Komponenten der OT verwaltet, einfach deshalb, weil es sich um dieselben handelt, die sie selbst im Betrieb hat. Wenn die Verantwortung für Komponenten vom produktiven Betrieb abgekoppelt ist, werden spezielle OT-Anforderungen nicht berücksichtigt.
„Eine echte IT-/OT-Konvergenz, und zwar im Sinne der Definition, ist eine Annäherung und übereinstimmende Zielsetzung unterschiedlicher Einheiten oder Bereiche.“
Damit Security-Konzepte nachhaltig und betriebstauglich sind, ist ein umfassender Austausch und ein Know-how-Transfer zwischen IT und OT nötig. Jeder Bereich muss die eigenen Anforderungen und Zielsetzungen aktiv vermitteln und verstehen, welche Prioritäten und Vorgehensweisen im anderen Bereich vorgegeben sind.
Security durch IT-/OT-Konvergenz
Weil die Wirksamkeit von Security-Maßnahmen eng mit der Anlagenverfügbarkeit und der Safety verknüpft ist, müssen die Folgen einzelner Maßnahmen für den Betrieb berücksichtigt werden:
- Wo immer es den Betrieb von Anlagen nicht negativ beeinflusst, sollten Synergien genutzt werden. Dann können Standard-Maßnahmen aus dem IT-Servicekatalog entsprechend in der OT umgesetzt oder adaptiert werden. Oder es erfolgt kompetente Unterstützung, wenn das Netzwerk-Team der IT-Organisation beim Aufbau eines OT-Netzwerks berät.
- Sind die Auswirkungen für die gewachsenen heterogenen Systemlandschaften unklar oder betriebskritisch, muss die Anlage durch andere, besser geeignete Security-Maßnahmen geschützt werden. Ob Maßnahmen im Betrieb umgesetzt werden sollten, ist immer eine Einzelfallabwägung und erfordert die Expertise aus dem OT-Bereich.
- Die Verantwortung für den Betrieb wird immer dort verortet, wo Netze oder Komponenten tatsächlich genutzt werden.
Eine IT-/OT-Konvergenz ist der Schlüssel für den Erfolg Ihrer Security-Projekte. Weil die OT-Bereiche Stakeholder der IT-Organisation Ihres Unternehmens sind, sollte nicht nur ein regelmäßiger Austausch stattfinden. Vielmehr muss die OT frühzeitig von allen Projekten Kenntnis haben, die in der IT-Abteilung aufgesetzt werden und bedarfsgerecht Expertise beisteuern können. Natürlich gilt dasselbe auch für OT-Projekte, in die die IT-Organisation eingeweiht sein soll. Ein regelmäßiger Austausch kommt allerdings nicht von ungefähr, sondern braucht zugrundeliegende Prozesse.
Es ist übrigens sinnvoll, dass Sie weitere Bereiche im Unternehmen kontinuierlich in Security-Projekte einbinden. Das betrifft beispielsweise Ihren Einkauf, weil im Beschaffungsprozess Security-Anforderungen berücksichtigt werden müssen, oder auch Ihr Engineering.
Grundlegende Unterschiede in IT und OT
Verständnis für die Anforderungen im jeweils anderen Bereich aufzubauen beginnt damit, sich mit den grundlegenden Umständen und den Rahmenbedingungen auseinanderzusetzen. Wie informationstechnische Systeme und Prozesse auf Unternehmensebene konzipiert, verwaltet und weiterentwickelt werden, unterscheidet sich nämlich in vielen Aspekten von den Anforderungen, die in Industrieumgebungen herrschen.
Schutzziele und besondere Anforderungen in OT-Bereichen
Dass Daten und informationstechnische Systeme ein definiertes Verhalten aufweisen, das ist sowohl in der IT als auch in der OT die Voraussetzung für den störungsfreien Betrieb von IT-Systemen. Die Schutzziele sind in beiden Bereichen dieselben, weisen aber eine unterschiedliche Gewichtung auf. In OT-Bereichen kommt außerdem der Safety, also der Betriebssicherheit eine besondere Bedeutung zu. Die Schutzziele und ihre Gewichtung für IT und für OT erläutern wir in einem eigenen Artikel.
Wie Sie IT-/OT-Konvergenz im Unternehmen unterstützen
Interner Know-how-Transfer
Etablieren Sie Prozesse, die einen kontinuierlichen Austausch zwischen Ihrer IT-Organisation und Ihren OT-Bereichen unterstützen. Dabei sollte über einen reinen Projektfokus hinausgegangen werden. IT und OT sollten ihre Anforderungen und Zielsetzungen jeweils für den anderen Bereich aktiv darstellen und verständlich machen.
Im Rahmen von Jobtausch-Modellen oder internen Praktika können Experten eines Bereiches zusätzliches Fachwissen aus dem anderen Bereich aufbauen und Verständnis für die Arbeitsweise der Kolleginnen und Kollegen entwickeln. Bilden Sie Ihre OT-Security-Experten selbst aus und wirken Sie damit dem Fachkräftemangel entgegen.
Aufwände berücksichtigen und erforderliche Ressourcen bereitstellen
Security Incidents zu analysieren und zu bewerten, erfordert Fachwissen und Zeit. Der zusätzliche Aufwand ist nicht nebenher zu leisten, etwa durch das Personal in Ihrer Instandhaltung, weil ansonsten andere Aufgaben zwangsläufig vernachlässigt werden. Bilden Sie sinnvolle Konvergenzen in entsprechenden Rollenprofilen ab. So entstehen dedizierte Aufgabenbereiche beispielsweise in einem Security Information and Event Management (SIEM) oder in einem Security Operations Center (SOC). Damit können Sie eine 24×7-Erreichbarkeit von kompetentem Personal gewährleisten, das bei sicherheitsrelevanten IT-Ereignissen mit externen Dienstleistern oder mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammenarbeitet.
Auf einen empathischen Umgang achten
Security-Projekte sind eine komplexe und herausfordernde Aufgabe. Damit das Ziel erreicht werden kann, ist die Mitwirkung vieler Personen aus unterschiedlichen Bereichen notwendig. Eine konstruktive Zusammenarbeit basiert auf einem Umgang auf Augenhöhe, bei dem im Vordergrund steht, den anderen verstehen zu wollen. Ein empathischer Umgang ist ein Türöffner und aktiviert wertvolle Ressourcen und Know-how, das Sie bereits in Ihrem Unternehmen verfügbar haben. Ein wertschätzendes Miteinander sollte eine Haltung sein, die vom Management ausgeht und vorgelebt wird.
Fazit
IT-/OT-Konvergenz als Annäherung und gemeinsame Zielsetzung bedeutet, dass beide Bereiche gemeinsam für Security im Unternehmen an einem Strang ziehen. Von erfolgreich umgesetzten Security-Maßnahmen hängt die Zukunftsfähigkeit Ihres Unternehmens ab, denn innovative Automationslösungen müssen auf einem sicheren Betrieb der Basis-Infrastrukturen aufsetzen. Wenn die Perspektiven von IT und OT in Ihr Security-Konzept einfließen, dann können wirtschaftlich sinnvolle Maßnahmen etabliert werden, die im Betrieb funktionieren. Dafür müssen Schnittstellen und Verantwortlichkeiten klar definiert sein.
Fördern Sie aktiv einen regelmäßigen Austausch und einen Know-how-Transfer zwischen IT und OT und achten Sie darauf, alte Denkmuster und verhärteten Fronten aufzulösen. Mittel und Ressourcen sind knapp und der Handlungsdruck, Security wirksam umzusetzen, ist nicht nur in regulierten Betrieben groß. Unternehmen können es sich schlicht nicht leisten, Security-Projekte in den Sand zu setzen.
Der Industrial Security Guide zum schnellen Einstieg
CEO & Founder
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!
