Echte IT-/OT-Konvergenz bringt Ihre Security-Projekte voran!

Inhaltsverzeichnis

    Beim Thema Security gilt: all hands on deck! – denn komplexe Herausforderungen sind als Gemeinschaftsaufgabe erfolgreicher zu meistern. Wichtige Unterstützung bei Security-Projekten kommt vor allem aus den OT-Bereichen, wo sich Fachwissen bündelt, das für den Schutz Ihrer Anlagenverfügbarkeit unerlässlich ist. Damit dieses Wissen in Ihre unternehmensweite Security-Strategie einfließt, müssen Prozesse etabliert sein, die eine aktive Kommunikation und einen Wissenstransfer zwischen Ihrer IT-Abteilung und Ihrer OT-Bereiche fördern.

    IT und OT sind nicht länger Bereiche, die getrennt voneinander agieren, wie dies über lange Zeiträume der Fall war. Es gibt nicht mehr nur einzelne Berührungspunkte, beispielsweise weil der Internetzugang, der von der IT des Unternehmens verwaltet wird, für Fernwartungslösungen in OT-Bereichen genutzt wird.

    Zunehmend vernetzte heterogene Produktionslandschaften stellen vulnerable Angriffsziele mit vielen Einfallstoren dar. Cyberangriffe und technische Störungen in der OT haben das Potenzial, das gesamte Unternehmen lahmzulegen. Wer Industrieanlagen wirksam schützen will, muss differenziert vorgehen. Es ist nicht nur relevant zu wissen, wo die größten Hebel für Security in Produktionsbereichen sind, sondern auch, wo besondere Vorsicht geboten ist, weil nicht jede Maßnahme, die in der klassischen IT funktioniert, auch für den produktiven Betrieb geeignet ist. Für den Erfolg Ihrer Security-Projekte ist es besonders wichtig, dass IT und OT Hand in Hand gehen.

    Security als gemeinsam zu leistende Aufgabe

    Wie wichtig die Expertise aus beiden Bereichen ist, zeigt das Beispiel Anomalieerkennung. Die Umsetzung einer wirksamen Anomalieerkennung ist für Betriebe der kritischen Infrastrukturen (KRITIS) ab 1. Mai 2023 verpflichtend. Angriffserkennung besteht aus Tools und Prozessen, um in der Netzwerkkommunikation Abweichungen vom Standard zu erkennen und zu bewerten, damit entsprechende Reaktionen erfolgen können. Dabei werden alle Bereiche des Netzwerks detektiert, das schließt auch die Feldebene ein. Für die Bewertung von Ereignissen im Shopfloor ist neben Fachwissen zu IT-Standardtechnologien auch Automations-Know-how aus den OT-Bereichen erforderlich.

    Die Anforderungen von IT und OT abstimmen

    Security-Projekte werden meistens vom Blickwinkel der IT-Abteilung aus betrachtet und durchgeführt. Wenn die OT-Sicht fehlt, bringt das große Herausforderungen für die Produktion, wo eine besondere Anforderung an die Verfügbarkeit besteht. Damit geht die Safety einher, die Betriebssicherheit, die den Schutz von Menschen und Umwelt gewährleistet.

    Wenn in der Projektplanungsphase die OT-Perspektive fehlt, dann können Security-Maßnahmen den Anforderungen im Betrieb entgegenlaufen. Wenn beispielsweise veraltete Betriebssystemversionen im gesamten Unternehmensnetzwerk abgelöst werden sollen, dann ist das aus IT-Sicht ein sinnvolles Projekt. Für die OT hingegen hat diese Zielsetzung nicht nur keine Relevanz, weil Produktionssysteme auch mit veralteten Windows-Versionen sicher betrieben werden können. Die Vorgabe ist in vielen Fällen gar nicht oder nur mit sehr hohen Aufwänden und zeitweiligen Betriebsunterbrechungen umsetzbar, weil Patchen und Updates im 24×7-Betrieb nicht möglich sind. In manchen Fällen erfordert eine solche Änderung auch eine neue Safety-Abnahme der gesamten Anlage.

    OT-Anforderungen müssen bereits in der Planungsphase eines Projektes berücksichtigt werden. Je später Projektziel und Vorgehensweise an die OT-Bereiche kommuniziert werden, desto mehr werden Bereiche vor vollendete Tatsachen gestellt. Das schränkt Handlungsspielräume ein. Problematisch ist das nicht nur aus fachlicher Hinsicht. Wenn in einem Bereich der Eindruck entsteht, dass Entscheidungen über die eigenen Köpfe hinweg getroffen werden, dann ist die Motivation tatkräftig mitzuarbeiten mindestens gestört. Für die Zielerreichung Security ist das eine fatale Situation.

    IT-/OT Konvergenz – Was ist damit gemeint?

    Für ein gemeinsames Vorgehen von IT und OT wird oft der Begriff IT-/OT-Konvergenz verwendet. Hersteller assoziieren damit, Komponenten oder Systeme, die in der IT eingesetzt werden, etwa durch eine Feature-Erweiterung tauglich für den OT-Betrieb zu machen. Eine Vereinheitlichung oder Integration hilft Herstellern sicher dabei, neue Märkte für ein Produkt zu erschließen. Und es macht Komponenten wie beispielsweise Switche, die sowohl in IT als auch in OT eingesetzt werden, aufgrund der höheren Stückzahlen für die Betreiber günstiger. Es ist jedoch nicht das, was Konvergenz bedeutet, und es ist kein sinnvolles und zielführendes Vorgehen im Sinne eines sicheren Anlagenbetriebs. Es führt nämlich dazu, dass die IT-Abteilung IT-basierte Komponenten der OT verwaltet, einfach deshalb, weil es sich um dieselben handelt, die sie selbst im Betrieb hat. Wenn die Verantwortung für Komponenten vom produktiven Betrieb abgekoppelt ist, werden spezielle OT-Anforderungen nicht berücksichtigt.

    „Eine echte IT-/OT-Konvergenz, und zwar im Sinne der Definition, ist eine Annäherung und übereinstimmende Zielsetzung unterschiedlicher Einheiten oder Bereiche.“

    Ein umfassender Austausch und ein Know-how-Transfer zwischen IT und OT ist nötig, damit Security-Konzepte nachhaltig und betriebstauglich sind. Jeder Bereich muss die eigenen Anforderungen und Zielsetzungen vermitteln und verstehen, welche Prioritäten und Vorgehensweisen im anderen Bereich vorgegeben sind.

    Weil die Wirksamkeit von Security-Maßnahmen eng mit der Anlagenverfügbarkeit und der Safety verknüpft ist, müssen die Folgen einzelner Maßnahmen für den Betrieb berücksichtigt werden:

    • Wo immer es den Betrieb von Anlagen nicht negativ beeinflusst, sollten Synergien genutzt werden. Dann können Standard-Maßnahmen aus dem IT-Servicekatalog entsprechend in der OT umgesetzt oder adaptiert werden. Oder es erfolgt kompetente Unterstützung, wenn das Netzwerk-Team der IT-Organisation beim Aufbau eines OT-Netzwerks berät.
    • Sind die Auswirkungen für die heterogenen gewachsenen Systemlandschaften unklar oder betriebskritisch, muss die Anlage durch andere, besser geeignete Security-Maßnahmen geschützt werden. Ob Maßnahmen im Betrieb umgesetzt werden sollten, ist immer eine Einzelfallabwägung und erfordert die Expertise aus dem OT-Bereich.
    • Die Verantwortung für den Betrieb wird immer dort verortet, wo Netze oder Komponenten tatsächlich genutzt werden.

    Eine IT-/OT-Konvergenz ist der Schlüssel für den Erfolg Ihrer Security-Projekte. Weil die OT-Bereiche Stakeholder der IT-Organisation Ihres Unternehmens sind, sollte nicht nur ein regelmäßiger Austausch stattfinden. Vielmehr muss die OT frühzeitig von allen Projekten Kenntnis haben, die in der IT-Abteilung aufgesetzt werden und bedarfsgerecht Expertise beisteuern können. Natürlich gilt dasselbe auch für OT-Projekte, in die die IT-Organisation eingeweiht sein soll. Ein regelmäßiger Austausch kommt nicht von ungefähr, sondern braucht zugrundeliegende Prozesse

    Es ist übrigens sinnvoll, dass Sie weitere Bereiche im Unternehmen kontinuierlich in Security-Projekte einbinden, beispielsweise Ihren Einkauf, weil im Beschaffungsprozess Security-Anforderungen berücksichtigt werden müssen oder auch Ihr Engineering.

    Grundlegende Unterschiede in IT und OT

    Verständnis für die Anforderungen im jeweils anderen Bereich aufzubauen beginnt damit, sich mit den grundlegenden Umständen und den Rahmenbedingungen auseinanderzusetzen. Wie informationstechnische Systeme und Prozesse auf Unternehmensebene konzipiert, verwaltet und weiterentwickelt werden, unterscheidet sich nämlich in vielen Aspekten von den Anforderungen, die in Industrieumgebungen herrschen.

    Schutzziele und besondere Anforderungen in OT-Bereichen

    Dass Daten und informationstechnische Systeme ein definiertes Verhalten aufweisen, das ist sowohl in der IT als auch in der OT die Voraussetzung für den störungsfreien Betrieb von IT-Systemen. Die Schutzziele sind in beiden Bereichen dieselben, weisen aber eine unterschiedliche Gewichtung auf. In OT-Bereichen kommt außerdem der Safety, also der Betriebssicherheit eine besondere Bedeutung zu. Die Schutzziele und ihre Gewichtung für IT und für OT erläutern wir in einem eigenen Artikel.

    Wie Sie IT-/OT-Konvergenz im Unternehmen unterstützen

    Interner Know-how-Transfer

    Etablieren Sie Prozesse, die einen kontinuierlichen Austausch zwischen Ihrer IT-Organisation und Ihren OT-Bereichen unterstützen, der über einen reinen Projektfokus hinausgeht. Die Anforderungen und Zielsetzungen von IT und OT sollten jeweils für den anderen Bereich aktiv dargestellt und verständlich gemacht werden.

    Im Rahmen von Jobtausch-Modellen oder internen Praktika können Experten eines Bereiches zusätzliches Fachwissen aus dem anderen Bereich aufbauen und Verständnis für die Arbeitsweise der Kolleginnen und Kollegen entwickeln. Bilden Sie Ihre OT-Security-Experten selbst aus und wirken Sie damit dem Fachkräftemangel entgegen.

    Aufwände berücksichtigen und erforderliche Ressourcen bereitstellen

    Security—Incidents zu analysieren und zu bewerten erfordert Fachwissen und Zeit. Der zusätzliche Aufwand ist nicht nebenher zu leisten, etwa durch das Personal in Ihrer Instandhaltung, weil ansonsten andere Aufgaben zwangsläufig vernachlässigt werden. Bilden Sie sinnvolle Konvergenzen in entsprechenden Rollenprofilen ab, so dass dedizierte Aufgabenbereiche beispielsweise in einem Security Information and Event Management (SIEM) oder in einem Security Operations Center (SOC) entstehen. Damit können Sie eine 24×7-Erreichbarkeit von kompetentem Personal gewährleisten, das bei sicherheitsrelevanten IT-Ereignissen mit externen Dienstleistern oder mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammenarbeitet.

    Auf einen empathischen Umgang achten

    Security-Projekte sind eine komplexe und herausfordernde Aufgabe, an der viele Personen aus unterschiedlichen Bereichen mitwirken müssen, damit das Ziel erreicht werden kann. Eine konstruktive Zusammenarbeit basiert auf einem Umgang auf Augenhöhe, bei dem im Vordergrund steht, den anderen verstehen zu wollen. Ein empathischer Umgang ist ein Türöffner und aktiviert wertvolle Ressourcen und Know-how, das Sie bereits in Ihrem Unternehmen verfügbar haben. Ein wertschätzendes Miteinander sollte eine Haltung sein, die vom Management ausgeht und vorgelebt wird.

    Fazit

    IT-/OT-Konvergenz als Annäherung und gemeinsame Zielsetzung bedeutet, dass beide Bereiche gemeinsam für Security im Unternehmen an einem Strang ziehen. Von erfolgreich umgesetzten Security-Maßnahmen hängt die Zukunftsfähigkeit Ihres Unternehmens ab, denn innovative Automationslösungen müssen auf einem sicheren Betrieb der Basis-Infrastrukturen aufsetzen. Wenn beide Perspektiven, IT und OT, in Ihr Security-Konzept einfließen und Schnittstellen und Verantwortlichkeiten klar definiert werden, dann können wirtschaftlich sinnvolle Maßnahmen etabliert werden, die im Betrieb funktionieren.

    Fördern Sie aktiv einen regelmäßigen Austausch und einen Know-how-Transfer zwischen IT und OT und achten Sie darauf, alte Denkmuster und verhärteten Fronten aufzulösen. Mittel und Ressourcen sind knapp und der Handlungsdruck, Security wirksam umzusetzen, ist nicht nur in regulierten Betrieben groß. Unternehmen können es sich schlicht nicht leisten, Security-Projekte in den Sand zu setzen.

    Praxistipp

    Schaffen Sie eine gemeinsame Basis, indem Sie Begrifflichkeiten und Projekt-Scopes klären. Ein Dolmetscher, der zwischen den Bereichen vermittelt, kann Teams dabei unterstützen, die Perspektiven im jeweils anderen Bereich zu verstehen. Sprechen Sie uns gern an, wenn Sie dabei Unterstützung benötigen. 

    Möchten Sie noch mehr Wissen zur Industrial und IIoT Security? Erhalten Sie die wichtigsten Erkenntnisse und Best Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr E-Mail-Postfach.

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht.

    Der große Industrial Security Einsteiger-Guide

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Whitepaper herunterladen!

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Industrial Security auf den Punkt gebracht

    Erhalten Sie den Einstieg in die Industrial Security und profitieren Sie von Best-Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr Email-Postfach.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung