Operational Technology – ist doch ganz klar. Oder nicht?

Inhaltsverzeichnis

    Netze, Anlagen und Systeme in heterogenen gewachsenen Industrieumgebungen abzusichern, das bringt eine meist intensive Projektarbeit und spannende Themen mit sich. OT-Security betrifft nicht nur eine Vielzahl von Systemen und Komponenten, sondern gleichermaßen viele beteiligte Personen in unterschiedlichen Bereichen und Abteilungen eines Unternehmens.

    Wie startet man am besten in eine derart komplexe Aufgabe?

    Weil Detailtiefe und Umfang erfahrungsgemäß im Projektverlauf eher zu- als abnehmen, ist es ratsam, von Anfang an auf Klarheit, Eindeutigkeit und auf ein gemeinsames Verständnis zu setzen. Das ist ein wichtiger Schritt, der getan werden muss, bevor man mit den spannenden Themen wie zum Beispiel Netzsegmentierung und Asset-Management anfangen kann. Von der Basisarbeit hängt der Projektverlauf und der Erfolg ganz entscheidend ab, denn was zu Beginn versäumt wird, lässt sich später oft nur sehr mühsam oder gar nicht mehr nachholen.

    Was genau ist eigentlich OT?

    Operational Technology (OT) ist ein weit gefasster Begriff. Gemeint ist die IT-lastige Betriebstechnik aus Hardware und Software, die für die Steuerung von Anlagen und Prozessen in Industrieunternehmen eingesetzt wird. Operational Technology wird im Zusammenhang mit vielen (Trend-)Themen rund um Industrie 4.0 genannt, dabei fehlt jedoch der individuelle Bezug, den die OT in einem Unternehmen hat. Verwendet man also den Begriff OT oder Operational Technology im Kontext von Security im eigenen Unternehmen, dann muss er vorher entsprechend verortet werden.

    OT im Purdue Reference Model

    Bei der passenden Verortung hilft das Purdue Reference Model. Es stellt eine Veranschaulichung für die einzelnen Schichten im Automationsnetz dar und zeigt die Verbindungen zwischen beteiligten Komponenten. Dabei werden Systeme nach ihrer logischen und organisatorischen Funktion gruppiert.

    Der Vorteil des Modells liegt darin, dass es Transparenz schafft, so dass man den Überblick über komplexe Automationsnetze behalten kann. Die Natur eines Modells ist jedoch, dass es nicht die individuelle Situation darstellt, sondern eben nur ein veranschaulichendes Beispiel.

    Jedes Unternehmen hat eigene Organisationsstrukturen, eigene Abteilungsbezeichnungen und ein eigenes Netzwerk, in dem die spezifischen Systeme entsprechend den besonderen Anforderungen im Betrieb vernetzt sind. Um Ihre OT gegen andere Systeme im Netzwerk abzugrenzen, brauchen Sie ein eigenes Referenzmodell mit klaren Begriffsdefinitionen. Und nicht nur das.

    Was sind OT-Assets?

    Neben der Definition, was in Ihrem Unternehmen zur Operational Technology gehört, sind auch die OT-Assets zu definieren. Sind das alle Systeme, die im Werk stehen oder gibt es Ausnahmen, die anderen Bereichen zuzurechnen sind? Neben den Systemen, die relativ eindeutig zugeordnet werden können, wie beispielsweise klassische Siemens-Steuerungen, HMIs (Human Machine Interface) oder WinCC-Umgebungen, gibt es eine Vielzahl anderer, bei denen das nicht so klar ist. Das betrifft beispielsweise ein MES-System (Manufacturing Execution System), das auf Servern der IT betrieben wird, diverse Logistiksysteme und eine große Anzahl von Systemen der Gebäudeautomation.

    Ein sinnvolles Vorgehen für eine klare Zuordnung kann eine Asset-Kategorisierung sein. Dabei werden einzelne Kategorien für die im Betrieb befindlichen Assets erstellt, die dann entweder der IT oder der OT zugerechnet werden.

    Warum ist eine Klärung und eine entsprechende Zuordnung so wichtig?

    Achtung: Klärungsbedarf!

    Wer ist eigentlich zuständig?

    Ganzheitliche OT-Security hat technische, personelle und organisatorische Aspekte. Zu den organisatorischen Maßnahmen gehört die Festlegung, wer wofür zuständig und verantwortlich ist und wo die Schnittstellen zu anderen Bereichen liegen. Das schließt nicht nur bestehende Systeme ein, sondern betrifft auch neu hinzukommende Infrastrukturen und Tools.

    Besonders für die IT-Abteilung muss geklärt sein, welche Systeme in ihrem Verantwortungsbereich liegen oder eben nicht. Auch wenn die Versionsstände von IT-Komponenten, die in OT-Bereichen eingesetzt werden, meist wesentlich älter sind, so sind es doch dieselben Komponenten, wie sie auch in der klassischen IT standardmäßig verwendet werden. So leiten und kontrollieren Switche und Router Datenströme nicht nur im Office-Bereich sondern auch in Produktionsumgebungen. Ob das Device selbst oder etwa dessen Einsatzzweck die Zuordnung und Verantwortlichkeit bestimmt, oder möglicherweise ganz andere Faktoren, das muss im Unternehmen klar definiert werden. Security-Projekte müssen auf validen Grundlagen aufsetzen.

    Begriffe klären und eine gemeinsame Sprache etablieren

    Neben der klaren Zuständigkeit für die Systeme ist ein gemeinsames Verständnis mit eindeutigen Begrifflichkeiten im Projektteam wichtig. Jeder Bereich spricht seine eigene Sprache und versteht unter bestimmten Schlagwörtern oder Begriffen unter Umständen etwas anderes. Was heißt „Feld“ oder „Industrial“ für die IT und was meint die OT konkret damit?

    Beim Kickoff sollte potenziellen Missverständnissen, die den Projektverlauf verzögern und die Stimmung im Team beeinträchtigen können, präventiv begegnet werden. Wenn Begriffsklärungen und andere Klarstellungen gemeinsam und auf Augenhöhe vorgenommen werden, trägt dies wesentlich zu einem gelungenen Projektstart bei. Ein weiterer Aspekt, der mit einer klaren Abgrenzung und definierten Zuständigkeiten einhergeht, ist die Identifikation mit der Zielsetzung. Wenn allen klar ist, was der Fokus des Projektes ist und was gemeinsam erreicht werden soll, dann wirkt sich dies positiv auf die Motivation aus. Motivierte Projektmitarbeiter sind der Schlüssel zum Projekterfolg.

    Fazit

    Einfach und klar ist bei Security per se leider so gut wie nichts. Die Unschärfe, die sich aus einer mangelnden Begriffsklärung für Operational Technology und OT-Assets ergibt, kann Ihren Projekterfolg gefährden, vor allem für komplexe Projekte mit einem hohen Vernetzungsgrad.

    Bevor die richtig interessanten Themen in Angriff genommen werden können, ist es wichtig, die Basics der Basics zu erledigen, nämlich dafür zu sorgen, dass alle Beteiligten ein gemeinsames Verständnis über den Scope eines Projektes und klare Begriffsdefinitionen erhalten. Dieser Aufwand lohnt sich, denn die Wahrscheinlichkeit ist groß, dass die Kolleginnen und Kollegen aus der IT-Abteilung, der OT, der Logistik und anderen Bereichen auch im Rahmen von Folgeprojekten wieder zusammenarbeiten werden. Sind die Begriffe klar, klappt der Start in die Umsetzung entsprechend reibungslos.

    Praxistipp

    Starten Sie Ihr Security-Projekt mit einem gemeinsamen OT-Definitions-Workshop und versuchen Sie sich an einer Definition von OT und OT-Assets. Nehmen Sie den Klärungsbedarf auf und sorgen Sie für eine klare Abgrenzung dieser Begrifflichkeiten. 

    Möchten Sie noch mehr Wissen zur Industrial und IIoT Security? Erhalten Sie die wichtigsten Erkenntnisse und Best Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr E-Mail-Postfach.

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht.

    Der große Industrial Security Einsteiger-Guide

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Whitepaper herunterladen!

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Industrial Security auf den Punkt gebracht

    Erhalten Sie den Einstieg in die Industrial Security und profitieren Sie von Best-Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr Email-Postfach.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung