Netze, Anlagen und Systeme in heterogenen gewachsenen Industrieumgebungen abzusichern, bringt eine meist intensive Projektarbeit und spannende Themen mit sich. Wichtig ist aber, den Scope zu klären und zu definieren, was alles zur Operational Technology (OT) im Unternehmen gehört (und was nicht).
Operational Technology: Projekt-Scope klären
OT-Security-Projekte betreffen ein Vielzahl von Systemen und Komponenten und es sind viele Personen in unterschiedlichen Bereichen und Abteilungen eines Unternehmens beteiligt. Wie startet man am besten in eine derart komplexe Aufgabe?
Erfahrungsgemäß nehmen Detailtiefe und Umfang im Projektverlauf eher zu als ab. Daher ist es ratsam, von Anfang an auf Klarheit, Eindeutigkeit und auf ein gemeinsames Verständnis zu setzen. Das ist ein wichtiger Schritt, der vor den spannenden Themen wie zum Beispiel Netzsegmentierung und Asset-Management ansteht. Von der Basisarbeit hängt der Projektverlauf und der Erfolg ganz entscheidend ab, denn was man zu Beginn versäumt, kann man später oft nur sehr mühsam oder gar nicht mehr nachholen.
Was genau ist eigentlich Operational Technology?
Operational Technology (OT) ist ein weit gefasster Begriff, man hört ihn oft im Zusammenhang mit vielen (Trend-)Themen rund um Industrie 4.0. Dabei fehlt jedoch der individuelle Bezug, den die OT in einem Unternehmen hat.
Verwendet man den Begriff OT oder Operational Technology im Kontext von Security im eigenen Unternehmen, dann muss man ihn vorher entsprechend verorten.
OT im Purdue Reference Model
Bei der passenden Verortung hilft das Purdue Reference Model. Es stellt eine Veranschaulichung für die einzelnen Schichten im Automationsnetz dar und zeigt die Verbindungen zwischen beteiligten Komponenten. Dabei werden Systeme nach ihrer logischen und organisatorischen Funktion gruppiert.
Der Vorteil des Modells liegt darin, dass es Transparenz schafft, so dass man den Überblick über komplexe Automationsnetze behalten kann. Die Natur eines Modells ist jedoch, dass es nicht die individuelle Situation darstellt, sondern eben nur ein veranschaulichendes Beispiel.
Jedes Unternehmen hat eigene Organisationsstrukturen, eigene Abteilungsbezeichnungen und ein eigenes Netzwerk, in dem die spezifischen Systeme entsprechend den besonderen Anforderungen im Betrieb vernetzt sind. Um Ihre OT gegen andere Systeme im Netzwerk abzugrenzen, brauchen Sie ein eigenes Referenzmodell mit klaren Begriffsdefinitionen. Und nicht nur das.
Was sind OT-Assets?
Wichtig ist nicht nur zu definieren, was in Ihrem Unternehmen zur Operational Technology gehört, sondern auch, was die OT-Assets sind. Sind das alle Systeme, die im Werk stehen oder gibt es Ausnahmen, die anderen Bereichen zuzurechnen sind? Neben den Systemen, die relativ eindeutig zugeordnet werden können, wie beispielsweise klassische Siemens-Steuerungen, HMIs (Human Machine Interface) oder WinCC-Umgebungen, gibt es eine Vielzahl anderer, bei denen das nicht so klar ist. Das betrifft beispielsweise ein MES-System (Manufacturing Execution System), das auf Servern der IT betrieben wird, diverse Logistiksysteme und eine große Anzahl von Systemen der Gebäudeautomation.
Ein sinnvolles Vorgehen für eine klare Zuordnung kann eine Asset-Kategorisierung sein. Dabei werden einzelne Kategorien für die im Betrieb befindlichen Assets erstellt, die dann entweder der IT oder der OT zugerechnet werden.
Warum ist eine Klärung und eine entsprechende Zuordnung so wichtig?
Achtung: Klärungsbedarf!
Wer ist eigentlich zuständig für Operational Technology?
Ganzheitliche OT-Security hat technische, personelle und organisatorische Aspekte. Zu den organisatorischen Maßnahmen gehört die Festlegung, wer wofür zuständig und verantwortlich ist und wo die Schnittstellen zu anderen Bereichen liegen. Das schließt nicht nur bestehende Systeme ein, sondern betrifft auch neu hinzukommende Infrastrukturen und Tools.
Besonders für die IT-Abteilung muss geklärt sein, welche Systeme in ihrem Verantwortungsbereich liegen oder eben nicht. Auch wenn die Versionsstände von IT-Komponenten, die in OT-Bereichen eingesetzt werden, meist wesentlich älter sind, so sind es doch dieselben Komponenten, wie sie auch in der klassischen IT standardmäßig verwendet werden. So leiten und kontrollieren Switche und Router Datenströme nicht nur im Office-Bereich, sondern auch in Produktionsumgebungen. Ob das Device selbst oder etwa dessen Einsatzzweck die Zuordnung und Verantwortlichkeit bestimmt, oder möglicherweise ganz andere Faktoren, das ist im Unternehmen klar zu definieren. Security-Projekte müssen auf validen Grundlagen aufsetzen.
Begriffe klären und eine gemeinsame Sprache etablieren
Neben der klaren Zuständigkeit für die Systeme ist ein gemeinsames Verständnis mit eindeutigen Begrifflichkeiten im Projektteam wichtig. Jeder Bereich spricht seine eigene Sprache und versteht unter bestimmten Schlagwörtern oder Begriffen unter Umständen etwas anderes. Was heißt „Feld“ oder „Industrial“ für die IT und was meint die OT konkret damit?
Beim Kickoff sollten Sie potenziellen Missverständnissen, die den Projektverlauf verzögern und die Stimmung im Team beeinträchtigen können, präventiv begegnen. Wenn Begriffsklärungen und andere Klarstellungen gemeinsam und auf Augenhöhe vorgenommen werden, trägt dies wesentlich zu einem gelungenen Projektstart bei. Ein weiterer Aspekt, der mit einer klaren Abgrenzung und definierten Zuständigkeiten einhergeht, ist die Identifikation mit der Zielsetzung. Wenn allen klar ist, was der Fokus des Projektes ist und was gemeinsam erreicht werden soll, dann wirkt sich dies positiv auf die Motivation aus. Motivierte Projektmitarbeiter sind der Schlüssel zum Projekterfolg.
Fazit
Einfach und klar ist bei Security per se leider so gut wie nichts. Die Unschärfe, die sich aus einer mangelnden Begriffsklärung für Operational Technology und OT-Assets ergibt, kann Ihren Projekterfolg gefährden, vor allem für komplexe Projekte mit einem hohen Vernetzungsgrad.
Bevor die richtig interessanten Themen in Angriff genommen werden können, ist es wichtig, die Basics der Basics zu erledigen. Das heißt dafür zu sorgen, dass alle Beteiligten ein gemeinsames Verständnis über den Scope eines Projektes und klare Begriffsdefinitionen erhalten. Dieser Aufwand lohnt sich, denn die Wahrscheinlichkeit ist groß, dass die Kolleginnen und Kollegen aus der IT-Abteilung, der OT, der Logistik und anderen Bereichen auch im Rahmen von Folgeprojekten wieder zusammenarbeiten werden. Sind die Begriffe klar, klappt der Start in die Umsetzung entsprechend reibungslos.
Der Industrial Security Guide zum schnellen Einstieg
CEO & Founder
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!
