Netze, Anlagen und Systeme in heterogenen gewachsenen Industrieumgebungen abzusichern, das bringt eine meist intensive Projektarbeit und spannende Themen mit sich. OT-Security betrifft nicht nur eine Vielzahl von Systemen und Komponenten, sondern gleichermaßen viele beteiligte Personen in unterschiedlichen Bereichen und Abteilungen eines Unternehmens.
Wie startet man am besten in eine derart komplexe Aufgabe?
Weil Detailtiefe und Umfang erfahrungsgemäß im Projektverlauf eher zu- als abnehmen, ist es ratsam, von Anfang an auf Klarheit, Eindeutigkeit und auf ein gemeinsames Verständnis zu setzen. Das ist ein wichtiger Schritt, der getan werden muss, bevor man mit den spannenden Themen wie zum Beispiel Netzsegmentierung und Asset-Management anfangen kann. Von der Basisarbeit hängt der Projektverlauf und der Erfolg ganz entscheidend ab, denn was zu Beginn versäumt wird, lässt sich später oft nur sehr mühsam oder gar nicht mehr nachholen.
Was genau ist eigentlich OT?
Operational Technology (OT) ist ein weit gefasster Begriff. Gemeint ist die IT-lastige Betriebstechnik aus Hardware und Software, die für die Steuerung von Anlagen und Prozessen in Industrieunternehmen eingesetzt wird. Operational Technology wird im Zusammenhang mit vielen (Trend-)Themen rund um Industrie 4.0 genannt, dabei fehlt jedoch der individuelle Bezug, den die OT in einem Unternehmen hat. Verwendet man also den Begriff OT oder Operational Technology im Kontext von Security im eigenen Unternehmen, dann muss er vorher entsprechend verortet werden.
OT im Purdue Reference Model
Bei der passenden Verortung hilft das Purdue Reference Model. Es stellt eine Veranschaulichung für die einzelnen Schichten im Automationsnetz dar und zeigt die Verbindungen zwischen beteiligten Komponenten. Dabei werden Systeme nach ihrer logischen und organisatorischen Funktion gruppiert.
Der Vorteil des Modells liegt darin, dass es Transparenz schafft, so dass man den Überblick über komplexe Automationsnetze behalten kann. Die Natur eines Modells ist jedoch, dass es nicht die individuelle Situation darstellt, sondern eben nur ein veranschaulichendes Beispiel.
Jedes Unternehmen hat eigene Organisationsstrukturen, eigene Abteilungsbezeichnungen und ein eigenes Netzwerk, in dem die spezifischen Systeme entsprechend den besonderen Anforderungen im Betrieb vernetzt sind. Um Ihre OT gegen andere Systeme im Netzwerk abzugrenzen, brauchen Sie ein eigenes Referenzmodell mit klaren Begriffsdefinitionen. Und nicht nur das.
Was sind OT-Assets?
Neben der Definition, was in Ihrem Unternehmen zur Operational Technology gehört, sind auch die OT-Assets zu definieren. Sind das alle Systeme, die im Werk stehen oder gibt es Ausnahmen, die anderen Bereichen zuzurechnen sind? Neben den Systemen, die relativ eindeutig zugeordnet werden können, wie beispielsweise klassische Siemens-Steuerungen, HMIs (Human Machine Interface) oder WinCC-Umgebungen, gibt es eine Vielzahl anderer, bei denen das nicht so klar ist. Das betrifft beispielsweise ein MES-System (Manufacturing Execution System), das auf Servern der IT betrieben wird, diverse Logistiksysteme und eine große Anzahl von Systemen der Gebäudeautomation.
Ein sinnvolles Vorgehen für eine klare Zuordnung kann eine Asset-Kategorisierung sein. Dabei werden einzelne Kategorien für die im Betrieb befindlichen Assets erstellt, die dann entweder der IT oder der OT zugerechnet werden.
Warum ist eine Klärung und eine entsprechende Zuordnung so wichtig?
Achtung: Klärungsbedarf!
Wer ist eigentlich zuständig?
Ganzheitliche OT-Security hat technische, personelle und organisatorische Aspekte. Zu den organisatorischen Maßnahmen gehört die Festlegung, wer wofür zuständig und verantwortlich ist und wo die Schnittstellen zu anderen Bereichen liegen. Das schließt nicht nur bestehende Systeme ein, sondern betrifft auch neu hinzukommende Infrastrukturen und Tools.
Besonders für die IT-Abteilung muss geklärt sein, welche Systeme in ihrem Verantwortungsbereich liegen oder eben nicht. Auch wenn die Versionsstände von IT-Komponenten, die in OT-Bereichen eingesetzt werden, meist wesentlich älter sind, so sind es doch dieselben Komponenten, wie sie auch in der klassischen IT standardmäßig verwendet werden. So leiten und kontrollieren Switche und Router Datenströme nicht nur im Office-Bereich sondern auch in Produktionsumgebungen. Ob das Device selbst oder etwa dessen Einsatzzweck die Zuordnung und Verantwortlichkeit bestimmt, oder möglicherweise ganz andere Faktoren, das muss im Unternehmen klar definiert werden. Security-Projekte müssen auf validen Grundlagen aufsetzen.
Begriffe klären und eine gemeinsame Sprache etablieren
Neben der klaren Zuständigkeit für die Systeme ist ein gemeinsames Verständnis mit eindeutigen Begrifflichkeiten im Projektteam wichtig. Jeder Bereich spricht seine eigene Sprache und versteht unter bestimmten Schlagwörtern oder Begriffen unter Umständen etwas anderes. Was heißt „Feld“ oder „Industrial“ für die IT und was meint die OT konkret damit?
Beim Kickoff sollte potenziellen Missverständnissen, die den Projektverlauf verzögern und die Stimmung im Team beeinträchtigen können, präventiv begegnet werden. Wenn Begriffsklärungen und andere Klarstellungen gemeinsam und auf Augenhöhe vorgenommen werden, trägt dies wesentlich zu einem gelungenen Projektstart bei. Ein weiterer Aspekt, der mit einer klaren Abgrenzung und definierten Zuständigkeiten einhergeht, ist die Identifikation mit der Zielsetzung. Wenn allen klar ist, was der Fokus des Projektes ist und was gemeinsam erreicht werden soll, dann wirkt sich dies positiv auf die Motivation aus. Motivierte Projektmitarbeiter sind der Schlüssel zum Projekterfolg.
Fazit
Einfach und klar ist bei Security per se leider so gut wie nichts. Die Unschärfe, die sich aus einer mangelnden Begriffsklärung für Operational Technology und OT-Assets ergibt, kann Ihren Projekterfolg gefährden, vor allem für komplexe Projekte mit einem hohen Vernetzungsgrad.
Bevor die richtig interessanten Themen in Angriff genommen werden können, ist es wichtig, die Basics der Basics zu erledigen, nämlich dafür zu sorgen, dass alle Beteiligten ein gemeinsames Verständnis über den Scope eines Projektes und klare Begriffsdefinitionen erhalten. Dieser Aufwand lohnt sich, denn die Wahrscheinlichkeit ist groß, dass die Kolleginnen und Kollegen aus der IT-Abteilung, der OT, der Logistik und anderen Bereichen auch im Rahmen von Folgeprojekten wieder zusammenarbeiten werden. Sind die Begriffe klar, klappt der Start in die Umsetzung entsprechend reibungslos.
Der Industrial Security Guide zum schnellen Einstieg
CEO & Founder
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!
