Spannungsfeld OT-Security
Nach einem frischen Start in die ersten Maßnahmen zur OT-Security folgt oftmals die erste Ernüchterung der Beteiligten. Aus scheinbar unerklärlichen Gründen geht es bei der Zusammenarbeit der Fachabteilungen nicht richtig voran.
Mit der Zeit wird festgestellt, dass die Abteilungen, obwohl es zunächst danach aussah, doch keinen direkten Draht zueinander finden. Konkret geht es um die Kommunikation zwischen der IT-Abteilung und den Abteilungen der OT (Technik, Fertigung, Produktion). Diese Bereiche müssen für die Absicherung von Produktions- und Fertigungsanlagen zusammenarbeiten und OT-Security gemeinsam umsetzen.
Damit dies gelingt, muss die IT-Abteilung verstehen, wo die Prioritäten der OT liegen (Verfügbarkeit und Safety) und andersherum muss die OT verstehen, warum die IT so sehr auf Security drängt. Hierfür existiert jedoch meist kein einheitliches Verständnis. Um diese Kommunikationshürde zu nehmen, ist es erforderlich, die Gründe und deren Ursachen zu verstehen.
IT und OT – zwei Welten prallen aufeinander
Während der letzten Jahrzehnte blieben die OT-Abteilungen weitestgehend von umfangreichen IT-Modernisierungsprojekten verschont. Dagegen haben die IT-Abteilungen schier endlose IT-Modernisierungsprojekte erfolgreich realisiert. Im Produktions- und Fertigungsbereich war das bislang auch nicht in diesem Maße notwendig. Mit langen Lebensspannen und meist abgeschotteten Maschinen und Systemen, ist der Bereich grundsätzlich auf hohe Beständigkeit ausgelegt. Mit der Digitalisierung und der damit einhergehenden Vernetzung der Industrieumgebung wächst die Anforderung, die Produktion wirksam gegen Cybergefahren abzusichern.
IT und OT haben individuelle Prioritäten und Anforderungen, die bei der Umsetzung von OT-Security berücksichtigt werden müssen. Die Unterschiede betreffen vor allem folgende Aspekte:
Schutzziele
Die IT verwaltet in erster Linie verschiedene Daten, die OT verwaltet reale physische Prozesse und ist verantwortlich für die Betriebssicherheit in der Anlage. Bei der IT-Sicherheit geht es klassischerweise um Vertraulichkeit und Datenschutz, bei der industriellen Sicherheit in erster Linie um Verfügbarkeit und Safety.
Zeitanforderungen
Ist im EDV-Netz der Mailserver einmal überlastet, ist das sicher ärgerlich, es entsteht in der Regel aber kein sofortiger finanzieller Verlust. Reagiert im Automationsnetz eine SPS nicht, kann der gesamte zugehörige Anlagenteil ausfallen und somit einen unmittelbaren finanziellen Schaden zur Folge haben.
Systeme
In der IT sind aktuelle Systeme die Norm. PCs für Mitarbeiter verfügen über genügend Leistung, um neben dem Mailprogramm und Browser auch noch einen Virenscan durchzuführen.
Im Automationsnetz befindliche Systeme unterscheiden sich nicht nur massiv durch ihre (embedded) Betriebssysteme von Büro-PCs. Sie besitzen meist auch nicht genügend Leistung für Funktionen, die sich nicht im direkten Aufgabenspektrum befinden, wie zum Beispiel Viren-Überprüfungen.
Auch die Begriffe der jeweiligen Bereiche unterscheiden sich maßgeblich. In IT-Netzen verwendet man in der Regel keine Busse, sondern sternförmige paketbasierte Übertragungsarten. Dafür musste sich die OT bislang zum Beispiel wenig mit Domänen befassen.
Lebensdauer
Können Sie sich vorstellen, mit einem 20 Jahre alten PC sicher im heutigen Internet zu surfen? Wohl kaum! Systeme in Industrieanlagen sind jedoch auf solche Lebenszeiten ausgelegt und werden so auch heute noch betrieben.
Schadenswirkungen
Bei einem Angriff auf ein IT-Netz können zwar Informationen zerstört oder entwendet werden, die indirekt Auswirkungen auf die Sicherheit von Personen und Umwelt haben können. Überträgt man das Szenario aber auf die Industrie, können auch sofort direkte physische Schäden für Mensch und Umwelt entstehen.
Diese unterschiedlichen und seit Jahrzehnten gewachsenen Auffassungen zu den jeweiligen Prioritäten führen dazu, dass sich die Hürden bei der Kommunikation nicht so einfach abbauen lassen.
Dafür ist einerseits Verständnis der Prioritäten der jeweils anderen Abteilung nötig und andererseits ein Wissensaufbau zu Prozessen, Verfahren und Techniken beider Abteilungen. Die IT-Abteilung muss mit den Fachbegriffen „Prozessleitsystem“, „SPS“, „OPC/UA“ und „HMI“ etwas anfangen können. Und die OT-Abteilungen müssen verstehen, warum eine sichere Netzwerkarchitektur wichtig ist und Fernwartungszugänge mit Vorsicht einzuführen sind.
Das Ziel sollte immer sein, dass OT-Security als fester Bestandteil in den Arbeitsalltag aller Beteiligten einfließt und nicht als optionaler Zusatz angesehen wird.
Ein wichtiger Schritt für die Verbesserung der Kommunikation und die Vermittlung von Wissen ist, eine gemeinsame Kommunikations- und Fachbasis zu schaffen. Für eine effiziente Lösung braucht es eine Person, die die Interessen aller Parteien versteht und zwischen diesen vermittelt.
IT und OT – der Nutzen eines Dolmetschers
Ein Dolmetscher, der aufgrund seines Wissens sowohl die IT als auch die OT gut genug kennt, kann zwischen den Bereichen vermitteln. Im Idealfall kann dieser auch weitere Abteilungen einbinden, beispielsweise die Geschäftsführung oder den Einkauf, um so eine noch breitere Basis für OT-Security herstellen. Die Rolle eines CISO (Chief Information Security Officer) oder eines IT-Sicherheitsbeauftragten passt hierfür normalerweise gut. Oftmals sind diese Positionen aber aus der IT-Welt heraus entstanden, so dass der jeweilige Stelleninhaber meist nur über IT-Wissen verfügt.
Für den Start macht es deshalb Sinn, mit einem externen Berater oder einem Coach zusammenzuarbeiten. Dieser übernimmt dann die folgenden Aufgaben:
- Awareness schaffen
- Erarbeitung einer gemeinsamen Kommunikationsbasis
- Vermitteln in entscheidenden Meetings
- Wissensaufbau bei den Beteiligten
- Coaching der internen Sicherheitsbeauftragten beziehungsweise CISOs, damit diese in Zukunft diese Rolle übernehmen können
Damit dies gelingt, benötigt die betreffende Person die Unterstützung des Managements. Dies ist vor allem deshalb wichtig, weil IT- und OT-Abteilung nur selten unter demselben Vorgesetzten angesiedelt sind.
Es gibt jedoch bewährte praxisnahe Erstmaßnahmen, die Sie bereits realisieren können und sich damit auf die zukünftige Arbeit mit einem Dolmetscher vorbereiten.
Sofortmaßnahmen für eine nachhaltige Kommunikation
Wenn Sie zügig erste positive Ergebnisse erzielen möchten, bieten sich folgende Schritte an:
OT-Security-Wörterbuch
Für eine reibungslose interdisziplinäre Kommunikation ist vor allem die Kenntnis der jeweiligen Fachbegriffe wertvoll. Einige Begriffe haben oftmals mehrere Bezeichnungen, wie OT = Technik, Betrieb, Produktion oder Fertigung. Aber auch Begriffe wie Active Directory, SPS oder Fernwartung zu erklären ist hilfreich, da bei Bedarf im Arbeitsalltag immer wieder darauf zurückgegriffen werden kann. Dies gelingt gut, wenn die Dokumentation an zentraler Stelle abgelegt ist, zum Beispiel in Form einer Wiki-Seite im Intranet.
Security-Fachkreis (IT/OT)
Suchen Sie sich aus den relevanten beteiligten Abteilungen die Förderer heraus und bringen Sie diese an einen Tisch. Auf diesem Weg begründen Sie einen regelmäßigen Fachkreis. Einberufen am besten durch die Geschäftsleitung selbst, ist dessen Funktion, sich interdisziplinär auszutauschen oder auch gemeinsame Projekte zu koordinieren. Idealerweise haben die Förderer in den jeweiligen Abteilungen eine hohe Akzeptanz hinsichtlich ihrer fachlichen und sozialen Kompetenz.
Awareness- und Einstiegsworkshops
Ein solcher Fachkreis kann in Kooperation einen Workshop vorbereiten, der auf die Thematik der OT-Security optimal zugeschnitten und für die Mitarbeiter der Fachabteilungen ausgelegt ist. Insbesondere Themen wie Live-Hackings und Beispiele aus der Praxis sorgen für Aha-Momente und Verständnis. Mit der richtigen Vorbereitung greift ein Workshop die unternehmensinternen Begriffe und eingesetzten Maschinen direkt auf.
Im Rahmen von Betriebsveranstaltungen, wie beispielsweise Betriebsfeiern oder Jahresauftaktveranstaltungen, kann ebenfalls eine kurze Demonstration gegeben werden, um den Termin aufzulockern. Hiermit schafft man eine breite Sensibilisierung für das Thema, was hilfreich ist, um die Anfälligkeit für Social-Engineering-Angriffe zu verringern.
Mit diesen Schritten gehen Sie einen bewährten Weg, um OT-Security zuverlässig und nachhaltig im Unternehmen zu verankern. Wenn die Kommunikation zwischen IT und OT auf einer soliden Basis aufsetzt, dann sind zukünftigen sicheren Innovations- und Modernisierungsprojekten keine Grenzen mehr gesetzt. Sie profitieren langfristig von reibungsloseren Abläufen und einem besseren Betriebsklima.
Der Industrial Security Guide zum schnellen Einstieg
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!