3 erfolgreiche Sofortmaßnahmen für eine nachhaltige Kommunikation zwischen IT und OT

Inhaltsverzeichnis

    Spannungsfeld Industrial Security

    Nach einem frischen Start in die ersten Maßnahmen zur Industrial Security folgt oftmals die erste Ernüchterung der Beteiligten. Aus scheinbar unerklärlichen Gründen geht es bei der Zusammenarbeit der Fachabteilungen nicht richtig voran.

    Mit der Zeit wird festgestellt, dass die Abteilungen, obwohl es vorerst so aussieht, doch keinen direkten Draht zueinander finden. Konkret geht es um die Kommunikation zwischen den IT-Abteilungen und den OT-Abteilungen (Technik, Fertigung, Produktion). Diese müssen für die Absicherung von Produktions- und Fertigungsanlagen zusammenarbeiten und Industrial Security gemeinsam umsetzen.

    Damit dies gelingt, muss die IT-Abteilung verstehen, wo die Prioritäten der OT liegen (Verfügbarkeit und Safety) und andersherum muss die OT verstehen, warum die IT so sehr auf Security drängt. Jedoch existiert hierfür meist kein einheitliches Verständnis. Um diese Kommunikationshürde zu nehmen, ist es erforderlich, die Gründe und deren Herkunft vollumfänglich zu verstehen.

    IT und OT – zwei Welten prallen aufeinander

    Über die letzten Jahrzehnte blieben die OT-Abteilungen weitestgehend von umfangreichen IT-Modernisierungs-projekten verschont. Dahingehend haben die IT-Abteilungen schier endlose IT-Modernisierungsprojekte bereits erfolgreich realisiert. Im Produktions- und Fertigungsbereich war das bislang auch nicht in diesem Maße notwendig. Mit hoher Lebensdauer und zumeist abgeschotteten Maschinen und Systemen ist der Bereich auf hohe Beständigkeit ausgelegt.

    Beide Abteilungen haben individuelle Prioritäten und Anforderungen. Diese unterscheiden sich vor allem bei folgenden Kriterien:

    Schutzziele

    Die IT verwaltet in erster Linie verschiedene Daten, die OT verwaltet reale physische Prozesse und ist verantwortlich für die Betriebssicherheit in der Anlage. Bei der IT-Sicherheit geht es klassischerweise um Vertraulichkeit und Datenschutz, bei der industriellen Sicherheit in erster Linie um Verfügbarkeit und Safety.

    Zeitanforderungen

    Ist im EDV-Netz der Mailserver einmal überlastet, ist das sicher ärgerlich, es entsteht in der Regel aber kein sofortiger finanzieller Verlust. Reagiert im Automationsnetz eine SPS nicht, kann der gesamte zugehörige Anlagenteil ausfallen und somit einen unmittelbaren finanziellen Schaden zur Folge haben.

    Systeme

    In der IT sind aktuelle Systeme die Norm. Ein Mitarbeiter-PC hat genug Leistung, um neben dem Mailprogramm und Browser auch noch einen Virenscan durchzuführen.

    Im Automationsnetz befindliche Systeme unterscheiden sich nicht nur massiv durch ihre (embedded) Betriebssysteme von Büro-PCs, sondern sie besitzen meist auch nicht genug Leistung für Funktionen, die sich nicht im direkten Aufgabenspektrum befinden. Hierzu gehören auch Viren-Überprüfungen.

    Auch die Begriffe der jeweiligen Bereiche unterscheiden sich maßgeblich. In IT-Netzen verwendet man in der Regel keine Busse, sondern sternförmige, paketbasierte Übertragungsarten. Dafür musste sich die OT bislang zum Beispiel wenig mit Domänen befassen.

    Lebensdauer

    Haben Sie schon einmal versucht mit einem 20 Jahre alten PC sicher im heutigen Internet zu surfen? Lieber nicht! Systeme in Industrieanlagen sind jedoch auf solche Lebenszeiten ausgelegt und werden so auch heute noch betrieben.

    Schadenswirkungen

    Bei einem Angriff auf ein IT-Netz können zwar Informationen zerstört oder entwendet werden, die indirekt Auswirkungen auf die Sicherheit von Personen und Umwelt haben können. Überträgt man das Szenario aber auf die Industrie, können auch sofortige und direkte physische Schäden für Mensch und Umwelt entstehen.

    Diese unterschiedlichen und seit Jahrzehnten gewachsenen Auffassungen der einzelnen Prioritäten führen dazu, dass sich die Kommunikationshürden nicht so einfach abbauen lassen.

    Einerseits geht es um Verständnis der jeweiligen Prioritäten der jeweils anderen Abteilung, aber ebenfalls um einen Wissensaufbau zu Prozessen, Verfahren und Techniken beider Abteilungen. Hierzu ist notwendig, dass die IT-Abteilung mit den Fachbegriffen, Prozessleitsystem, SPS, OPC/UA und HMI etwas anfangen kann. Jedoch auch, dass die OT-Abteilungen verstehen, warum eine sichere Netzwerkarchitektur wichtig ist und Fernwartungszugänge mit Vorsicht einzuführen sind.

    Das Ziel sollte immer sein, dass Industrial Security als fester Bestandteil in den Arbeitsalltag aller Beteiligten einfließt und nicht als optionaler Zusatz angesehen wird.

    Eine gute Wahl, diese Kommunikationsherausforderung und Wissensvermittlung in den Griff zu bekommen, ist das Schaffen einer gemeinsamen Kommunikations- und Fachbasis. Um dies effizient zu lösen, braucht es eine Person, die die Interessen aller Parteien versteht und zwischen diesen vermittelt.

    IT und OT – der Nutzen eines Dolmetschers

    Erfolgreich gelingt dies mit einem Dolmetscher, der aufgrund seines Wissens sowohl die IT als auch die OT gut genug kennt und vermitteln kann. Im Idealfall kann dieser auch weitere Abteilungen einbinden, beispielsweise die Geschäftsführung oder den Einkauf, um so eine noch breitere Basis der Industrial Security herstellen. Die Rolle eines CISOs (Chief Information Security Officer) oder eines IT-Sicherheitsbeauftragten ist hierfür normalerweise die richtige Position. Oftmals sind diese Positionen aber aus der IT-Welt heraus entstanden, so dass der jeweilige Stelleninhaber meist nur über IT-Wissen verfügt.

    Für den Start macht es deshalb Sinn, mit einem externen Berater oder einem Coach zusammenzuarbeiten. Dieser übernimmt dann die folgenden Aufgaben:

    • Awareness schaffen
    • Erarbeitung einer gemeinsamen Kommunikationsbasis
    • Vermitteln in entscheidenden Meetings
    • Wissensaufbau bei den Beteiligten
    • Coaching der internen Sicherheitsbeauftragten beziehungsweise CISOs, damit diese in Zukunft diese Rolle übernehmen können

    Mit dem Einsatz eines passenden Dolmetschers kann effizient und nachhaltig eine gemeinsame Kommunikationsbasis im Unternehmen verankert werden. Damit dies erfolgreich gelingt, benötigt die betreffende Person die Unterstützung des Managements. Dies ist vor allem deshalb wichtig, weil IT- und OT-Abteilung nur selten unter demselben Vorgesetzten angesiedelt sind.

    Es gibt jedoch bewährte praxisnahe Erstmaßnahmen, die Sie bereits realisieren können und sich damit auf die zukünftige Arbeit mit einem Dolmetscher vorbereiten.

    Erfolgreiche Sofortmaßnahmen für eine nachhaltige Kommunikation

    Wenn Sie möglichst zügig erste positive Ergebnisse erzielen möchten, bieten sich folgende Schritte an:

    Industrial-Security-Wörterbuch

    Für eine reibungslose interdisziplinäre Kommunikation ist vor allem die Kenntnis der jeweiligen Fachbegriffe wertvoll. Einige Begriffe haben oftmals mehrere Bezeichnungen, wie OT = Technik, Betrieb, Produktion oder Fertigung. Aber auch Begriffe wie Active Directory, SPS oder Fernwartung zu erklären ist hilfreich, da bei Bedarf im Arbeitsalltag immer wieder darauf zurückgegriffen werden kann. Dies gelingt gut, wenn die Dokumentation an zentraler Stelle, zum Beispiel in Form einer Wiki-Seite im Intranet, abgelegt ist.

    Security-Fachkreis (IT/OT)

    Suchen Sie sich aus den relevanten beteiligten Abteilungen die Förderer heraus und bringen Sie diese an einen Tisch. Auf diesem Weg begründen Sie einen regelmäßigen Fachkreis. Einberufen am besten durch die Geschäftsleitung selbst, ist dessen Funktion, sich interdisziplinär auszutauschen oder auch gemeinsame Projekte zu koordinieren. Idealerweise haben die Förderer in den jeweiligen Abteilungen einen hohen fachlichen und menschlichen Stellenwert.

    Awareness- und Einstiegsworkshops

    Von einem solchen Fachkreis kann in Kooperation ein Workshop vorbereitet werden, der auf die Thematik der Industrial Security optimal zugeschnitten und für die Mitarbeiter der Fachabteilungen ausgelegt ist. Insbesondere Themen wie Live-Hackings und Beispiele aus der Praxis sorgen für Aha-Momente und Verständnis. Mit der richtigen Vorbereitung greift ein Workshop die unternehmensinternen Begriffe und eingesetzten Maschinen direkt auf.

    Im Rahmen von Betriebsveranstaltungen, wie Betriebsfeiern oder Jahresauftaktveranstaltungen kann ebenfalls eine 30-minütige Demonstration gegeben werden, um den Termin aufzulockern. Hiermit schafft man eine breite Sensibilisierung für das Thema und verringert vor allem die Anfälligkeit für Social-Engineering-Angriffe, die sich auf das Ausnutzen menschlicher Schwächen spezialisieren.


    Mit diesen Schritten gehen Sie einen bewährten Weg, um Industrial Security zuverlässig und nachhaltig im Unternehmen zu verankern. Wenn die Kommunikation zwischen IT und OT auf einer soliden Basis aufsetzt, dann sind zukünftigen sicheren Innovations- und Modernisierungsprojekten keine Grenzen mehr gesetzt und Sie profitieren langfristig von reibungsloseren Abläufen und einem besseren Betriebsklima.

    Praxistipp

    Stellen Sie eine Auswahl an den richtigen Förderern zusammen und bilden Sie einen Security-Fachkreis, in dem Sie die unterschiedlichen Interessen der Abteilungen evaluieren und Verantwortungen klären.

    Möchten Sie noch mehr Wissen zur Industrial und IIoT Security? Erhalten Sie die wichtigsten Erkenntnisse und Best Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr E-Mail-Postfach.

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht.

    Der große Industrial Security Einsteiger-Guide

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Whitepaper herunterladen!

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Industrial Security auf den Punkt gebracht

    Erhalten Sie den Einstieg in die Industrial Security und profitieren Sie von Best-Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr Email-Postfach.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung