Warum OT-Asset-Management mehr als ein Security-Projekt ist

Inhaltsverzeichnis

    Im Kontext der Industrial Security wird ein OT-Asset-Management oft mit Transparenz über die Assets in einem Netzwerk in Verbindung gebracht. Und tatsächlich braucht es eine umfassende Kenntnis über das, was man eigentlich schützen will, um Security-Maßnahmen zielgerichtet konzipieren zu können.

    In komplexen OT-Strukturen, die über Jahrzehnte hinweg undokumentiert betrieben und erweitert werden, fehlt oftmals das erforderliche Wissen über die im Betrieb befindlichen Teilnehmer und aktuelle Informationen über Konfigurationen, Abhängigkeiten, Standorte, Verantwortlichkeiten, und so weiter. Ein Asset Inventar liefert diesen wichtigen Überblick und ist damit ein grundlegender Bestandteil eines OT-Asset-Managements.

    Was macht ein OT-Asset-Management darüber hinaus aus und welche Mehrwerte sind damit für Ihr Unternehmen verbunden?

    Klären wir zunächst wichtige Begrifflichkeiten:

    Was ist ein OT-Asset?

    Eine eindeutige Definition, die auf alle Industrieumgebungen anwendbar wäre, gibt es dafür nicht. Jedes Unternehmen muss diese Festlegung individuell treffen und die Abgrenzung der OT-Assets zu den Assets anderer Bereiche vornehmen.

    Zu berücksichtigen sind nicht nur digitale Geräte (Assets) in der OT, sondern auch Assets mit einer Funktion für die OT, wie beispielsweise Netzwerk-Switche, die von der IT verwaltet werden. Entscheidend für die Klassifizierung sind die Nutzung, die Anforderung und der Kreis der User der Assets. Die Definition der OT-Assets hat Auswirkungen auf die Asset-Management-Prozesse.

    Ein Beispiel für die Identifikation der OT-Assets kann so aussehen:

    Ein OT-Asset ist ein Gerät mit einer CPU und ist Teil eines OT-Systems
    UND
    …zählt zur Hardware im OT-Bereich (darunter zählen auch VMs, die Hardware imitieren)
    UND
    …ist auf Level 0 bis 3 des Purdue Modells angesiedelt

    Was heißt es, OT-Assets zu managen?

    Der sichere Betrieb in einer Industrieumgebung basiert auf der korrekten Konfiguration der OT-Geräte und ihres funktionsfähigen sicheren Zustandes. Dafür muss zunächst definiert werden, welche Konfigurationen für die einzelnen Assets jeweils erforderlich sind. Das schließt unterschiedliche Use Cases ein, beispielsweise aus der Instandhaltung, dem Engineering oder der Safety.

    Dafür zu sorgen, dass OT-Assets entsprechend ihrer definierten Konfiguration betrieben werden, sie zu warten und instand zu halten, auf Veränderung der Einsatzzwecke mit angepassten Konfigurationen zu reagieren und das zu dokumentieren, und all das über den gesamten Lebenszyklus (und teilweise auch danach) – das ist OT-Asset-Management.

    Dabei geht es um einen ganzheitlichen Ansatz, der Organisation, Prozesse und Software zusammenbringt, so dass OT-Assets über ihren gesamten Lebenszyklus hinweg effektiv verwaltet werden können.

    Die digitale Transformation bewirkt eine enorme Zunahme bei der Anzahl und der Komplexität der installierten Geräte. Die Betriebsmannschaft, die einen Überblick über die Gesamtheit der Assets, deren Konfiguration sowie der installierten Software samt Versionsstände behalten und diese verwalten soll, braucht aufgrund der großen Anzahl zunehmend technische Unterstützung bei der Bewältigung dieser Aufgabe.

    In der IT ist ein Asset-Management übrigens längst üblich. Die Übertragung der Anwendungen und Verfahrensweisen auf OT-Bereiche ist allerdings nicht zielführend, weil es um grundsätzlich andere Ansätze geht und andere Ziele verfolgt werden. Die Tools, die dafür in der IT verwendet werden, weisen daher viele für die OT nötigen Funktionalitäten nicht auf.

    Im Rahmen eines OT-Asset-Managements wird die Kommunikation zwischen den Assets erkannt, um Abhängigkeiten abzubilden und der Status wird bewertet. OT-Asset-Management-Tools müssen Industrieprotokolle verstehen, auswerten und sprechen können und ihre Aktivitäten dürfen die sensiblen SPS-Steuerungen nicht stören. Anders als in der IT können Geräte in der OT mehrere IP-Adressen aufweisen und teilweise kommen IP-Adressen doppelt vor. Während es in der IT Benutzerkreise mit unterschiedlichen Berechtigungen gibt, wechseln in der OT die Benutzer ständig und alle Admins sind privilegiert.

    Die Bedeutung des Asset Inventars

    Das Asset-Inventar liefert mit allen relevanten Informationen zu den Assets und deren aktuellen Zuständen eine wichtige Grundlage für die professionelle Verwaltung im Rahmen des OT-Asset-Managements.

    Aus Security-Perspektive ist das Asset-Inventar ein wichtiges Instrument, weil die darin enthaltenen Informationen erst eine Risikobewertung möglich machen. Daraus ergibt sich der Schutzbedarf der einzelnen Assets, aus dem die erforderlichen Security-Maßnahmen abgeleitet werden.

    Im Asset Inventory sind alle Geräte zu berücksichtigen, die sich in OT-Umgebungen befinden oder für OT-Bereiche genutzt werden. Dazu gehören zum Beispiel SPS-Systeme (Speicherprogrammierbare Steuerungen) genauso wie Bus-Klemmen, Switche und Sensoren, aber eben auch Drucker, die an das Netzwerk angeschlossen sind. Ein Drucker, der in einem OT-Bereich genutzt wird, etwa um Lieferscheine zu drucken und dafür vom SCADA-System angesprochen wird, ist produktionskritisch. Eine Störung, die die Funktion des Druckers beeinträchtigt, hat Auswirkungen auf die Produktion. Steht der Drucker, kann über kurz oder lang die Anlage stehen, weil die aufeinander abgestimmten Prozesse ins Stocken geraten. In solchen Fällen ist ein Drucker und andere typische IT-Assets eben mehr als die Funktion, die das Gerät üblicherweise in der IT hat und es muss dafür eine entsprechende Risikoeinschätzung erfolgen.

    Die Informationen, die in einem Asset Inventory geführt werden, können nicht automatisiert im Netzwerk abgefragt werden, sondern müssen manuell mit Betrachtung des Kontexts erfasst werden. Dazu gehört zum Beispiel der Standort des Assets, die Abhängigkeiten im Prozess genauso wie die Bewertung, ob eine KRITIS- oder Safety-Relevanz vorliegt. Manches davon erscheint zunächst trivial, wie die Identifizierung des Standortes, aber oftmals gibt es in OT-Bereichen für Räume oder Hallen keine eindeutigen Bezeichnungen, wie es etwa im Flächenmanagement DIN EN ISO 4157 festgelegt ist. Die Identifikation einer simplen Raumnummer kann schnell zur zeitraubenden Angelegenheit werden.

    Natürlich sind die Aufwände keine einmalige Aktion, es bedarf einer kontinuierlichen Pflege, um einen nachhaltigen Nutzen aus dem Asset Inventar ziehen zu können.

    Zugegeben, die Erarbeitung eines akkuraten Asset Inventars bedeutet viel Aufwand, der mehr mit dem Sammeln und dem Zusammentragen von relevanten Informationen zu tun hat als mit der Erarbeitung von ausgeklügelten Security-Konzepten. Letzteres mutet viel interessanter und spannender an. Aber ohne eine solide Basis, die das Asset Inventory darstellt, kann die eigentliche Aufgabe nicht gemeistert werden und allein diese Tatsache misst dem Inventar eine angemessene Bedeutung bei.

    Use Cases und Mehrwerte eines OT-Asset-Managements

    Eine Vielzahl von Bereichen eines Unternehmens zieht Nutzen aus einem OT-Asset Management, wie die folgenden Beispiele veranschaulichen:

    Engineering

    OT-Bereiche, in deren Betrieb sich zunehmen Industrie 4.0-Technologien etablieren und fortlaufend Optimierungen angestrebt werden, nehmen ständig an Komplexität zu. Die dafür notwendigen Konzeptionen und die entsprechenden Auslegungen der Anlagen können effizienter durchgeführt werden, wenn im Engineering mit professionell verwalteten OT-Asset-Beständen gearbeitet werden kann. Dies unterstützt die Nachhaltigkeit von Investitionen.

    Eine Standardisierung im Engineering, beispielsweise ein identischer Aufbau von SPS-Konfigurationen, gleiche Firmware oder auch ein identischer Aufbau von Schaltschränken führt zu einer geringeren Fehleranfälligkeit und beschleunigt im Bedarfsfall die Fehlerbehebung deutlich.

    Instandhaltung und Wartung

    Fehlersuche kann ein mühsames Geschäft sein, wenn es an Transparenz fehlt. Die Suche nach den Ursachen einer Störung kann zeitaufwändig und kostenintensiv werden, wenn Datenflüsse nicht sichtbar sind und so Fehler in Konfigurationen nicht erkannt werden. Ein OT-Asset-Management liefert Ihrer Instandhaltungsmannschaft die Möglichkeit nachzuvollziehen, wo im Prozess die Kommunikation nicht planmäßig abläuft, so dass zeitnah Gegenmaßnahmen eingeleitet werden können.

    Wartungszyklen können besser geplant und Wartungsvorgänge effizienter durchgeführt werden, wenn die Informationen zum Zustand der Assets im Rahmen Ihres OT-Asset-Managements verfügbar sind. Das spart Aufwände und Kosten und stellt eine Dokumentation sicher.

    Obsolescence- und Update-Management

    Wenn Produkte abgekündigt werden, muss rechtzeitig Ersatz beschafft werden, oder es müssen erforderliche Updates aufgespielt werden damit die Funktionalität der Systeme gewährleistet bleibt. Die relevanten Informationen zu betroffenen Systemen kommen aus dem Asset Inventar, das neben den Assets selbst auch deren Versionsstände und Daten zur Abkündigung enthält. Dass notwendige Updates auf die Systeme aufgespielt und abgekündigte Produkte ersetzt werden, hat direkte Auswirkungen auf Ihre Anlagenverfügbarkeit.

    Im OT-Asset-Management werden auch solche Assets sichtbar, die überflüssig geworden sind und ausgemustert werden können. Dadurch verringert sich Ihr Verwaltungsaufwand und die potenzielle Angriffsfläche verkleinert sich.

    Change-Management

    Umfassende Änderungen in Unternehmen schließen Prozesse, Strukturen und Systeme mit ein. Nachhaltige Ergebnisse lassen sich im Change-Management nur erzielen, wenn auch die Gesamtheit der betroffenen Systeme erfasst und berücksichtigt ist. Ein OT-Asset-Management liefert den nötigen Überblick und die relevanten Informationen dazu.

    Trendthemen

    Innovative Anwendungen wie beispielsweise Digital Twins basieren auf vollständigen Beständen korrekt verwalteter Assets, um ihren Zweck zu erfüllen. Die Investitionen, die für innovative Technologien getätigt werden, sind wirtschaftlich nur dann sinnvoll, wenn sie auf einer soliden Basis-Infrastruktur begründet sind. Dazu gehört eine professionelle Verwaltung über den gesamten Lebenszyklus hinweg.

    Damit ist ein OT-Asset-Management ein wichtiger Pfeiler für die erfolgreiche Umsetzung innovativer Projekte.

    Wieviel Security bringt ein OT-Asset-Management?

    Der Security-Aspekt eines OT-Asset-Managements besteht in erster Linie im Asset-Inventar, das vorhandene Geräte und Netze zeigt und Informationen dazu liefert. Diese sind für die Risikobewertung der Assets und damit für die passgenaue Auslegung von Security-Maßnahmen wichtig.

    Erst wenn Sie wissen, wie Ihr Netzwerk aufgebaut ist, aus welchen Netzwerkteilnehmern es besteht, wie die Kommunikation zwischen diesen verläuft und Sie die Risiken und prozessualen Abhängigkeiten kennen, können Sie Security sinnvoll konzipieren.

    Ein OT-Asset-Management liefert Daten, die Merkmale und Zustände aufzeigen, die Ihre Security gefährden können, wie beispielsweise fehlende Security-Patches an Geräten. Auch werden Laptops von Fremdfirmen, die für Fernwartungszwecke in Ihrem Netzwerk unterwegs sind, sichtbar.

    Damit liegt ein wichtiger Security-Aspekt eines OT-Asset-Managements in der Visualisierung von relevanten Informationen, auf die Sie konkret und angemessen reagieren können.

    Wirksame Security baut auf Fakten auf und genau die liefert das OT-Asset-Management.

    „Ohne relevante Daten aus dem OT-Asset-Management sind Security-Betrachtungen und Schlüsse, die gezogen werden, nebulös und willkürlich.“

    Ralph Langner – Langner Communications

    Empfohlene Vorgehensweise für die Einführung eines OT-Asset-Managements

    Weil ein OT-Asset-Management außer der Security noch andere Mehrwerte mit sich bringt, ist es meistens hilfreich, bei der Einführung den konkreten Nutzen für die verschiedenen Bereiche Ihres Unternehmens in den Mittelpunkt zu stellen.

    Zweck definieren und die Stakeholder mitnehmen

    Holen Sie Kollegen aus der Instandhaltung, dem Engineering und anderen Abteilungen mit ins Boot, die von einem OT-Asset-Management am meisten profitieren und nehmen Sie deren Anforderungen mit auf. Formulieren Sie die konkreten Use Cases für das OT-Asset-Management und dokumentieren Sie den Nutzen, der sich daraus für Ihr Unternehmen ergibt.

    Konzeptionelle Aspekte

    Klären Sie initial:

    • Was sind Ihre OT Assets (und was nicht)?
    • Wer nutzt die Assets und wer hat dafür die Verantwortung?
    • Listen Sie alle relevanten Informationen, die Sie erfassen möchten und grenzen Sie die Assets klar ab, die im Verantwortungsbereich der IT liegen

    Listen Sie Ihren bekannten Bestand an OT-Assets auf sowie deren Konfiguration

    • Asset Inventory: Ermitteln Sie, welche Assets Sie konkret in Ihrer Automationsumgebung im Betrieb haben und ermitteln Sie über die Erfassung ihres Zustandes die Sicherheitslücken, die dafür bestehen.
    • Legen Sie die Verwaltung und Pflege während des Lebenszyklus fest.
    • Definieren Sie Prozesse und Prozess-Owner für den Produktlebenszyklus neuer Assets und für die Verwaltung bestehender Assets, einschließlich eines Patch- und Update-Prozesses.

    Denken Sie unternehmensweit und prozessorientiert

    Erfassen Sie die relevanten Daten für die OT-Assets entsprechend der vorab festgelegten Anforderung. Berücksichtigen Sie die definierte Detailtiefe sowie eine eindeutige Nomenklatur, damit Verwendungszweck, Standort und andere Informationen für Assets, die es in verschiedenen Werken, Bereichen oder Abteilungen mehrmals gibt, eindeutig beschrieben sind.

    Wenn Ihr OT-Asset-Management-System ein bestehendes System oder Tool ablösen soll, denken Sie an Prozesse, die sicherstellen, dass alle betroffenen Mitarbeiter Zugang zum neuen Tool erhalten und es entsprechend seines Zweckes nutzen.

    Über die Mehrwerte und die praxisnahen Aspekte bei der Einführung eines OT-Asset-Managements konnte ich ausführlich mit Ralph Langner von Langner Communications sprechen. Hier finden Sie die Aufzeichnung des Interviews.

    Vimeo

    Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von Vimeo.
    Mehr erfahren

    Video laden

    Fazit

    Mit einem OT-Asset-Management verwalten Sie Geräte in Automationsumgebungen professionell über den gesamten Lebenszyklus hinweg. Security kommt dabei durch die Transparenz, die ein Asset-Inventar schafft, sowie durch standardisierte und dokumentierte Verfahrensweisen mit klaren Zuständigkeiten.

    Praxistipp

    Die Basisarbeit, die Sie beim Aufbau eines Asset-Inventars leisten müssen, zahlt sich aus. Holen Sie dafür die Stakeholder aus den unterschiedlichen Bereichen mit ins Boot, die durch die Einführung eines OT-Asset-Managements profitieren.

    Möchten Sie noch mehr Wissen zur Industrial und IIoT Security? Erhalten Sie die wichtigsten Erkenntnisse und Best Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr E-Mail-Postfach.

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    Der große Industrial Security Einsteiger-Guide

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Whitepaper herunterladen!

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Industrial Security auf den Punkt gebracht

    Erhalten Sie den Einstieg in die Industrial Security und profitieren Sie von Best-Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr Email-Postfach.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung