Produktionsumgebungen werden zunehmend vernetzt, das bietet viele Chancen, aber auch Herausforderungen. Um den Betrieb in modernen Produktionen widerstandsfähig zu machen, müssen IT-Infrastrukturen wirksam abgesichert werden. KRITIS-Betriebe müssen dabei immer mehr gesetzliche Vorgaben einhalten, weil sich die Gefahrenlage in komplex vernetzten Lieferketten stetig ausweitet. Die Umsetzung von OT-Security in der Lebensmittelindustrie ist für viele Unternehmen eine Herausforderung, nicht zuletzt wegen begrenzter Ressourcen und fehlendem Know-how. Wie geht man OT-Security effektiv an, um praxistaugliche Lösungen mit den bestehenden Ressourcen konform umzusetzen?
Moderne Produktion und vernetzte Supply Chains
In Industrieumgebungen finden sich eine Vielzahl von Bestandsanlagen mit unterschiedlichen Anforderungen. Viele davon sind schon mehrere Jahre oder gar Jahrzehnte alt, funktionieren aber trotz veralteter Betriebssysteme und fehlender Updates zuverlässig. Systeme und Maschinen, die neu in Bestandsanlagen integriert werden, kommen mit modernen Technologien wie IIoT, die viele Mehrwerte versprechen. Und künftig werden neue Maschinen auch Security-by-Design mitbringen, weil die Regulierung, aktuell durch den Cyber Resilience Act (CRA), Produktsicherheit und Schwachstellenmanagement von den Herstellern einfordert.
Security Gap von Brownfield und Greenfield
Was das Sicherheitsniveau vernetzter Infrastrukturen angeht, besteht in Ihrer heterogenen Produktionsinfrastruktur eine Lücke, die sich immer weiter vergrößert. Derweil werden Cyberangriffe immer professioneller ausgeführt und treffen in vernetzten Supply Chains immer mehr Unternehmen.
Die OT (Operational Technology) braucht passende, umsetzbare Security-Konzepte, die die Verfügbarkeit aller Anlagen in Ihrem Netz unterstützt. Dabei sind alte Bestandsanlagen (Brownfield), die nicht lokal zu schützen sind, genauso im Fokus wie moderne Systeme mit integrierter Sicherheitsfunktionalität (Greenfield).
Der Scope der OT-Security
Aktuell werden die Begriffe „OT“ und „OT-Security“ vor allem im Kontext der Industrie 4.0 und der Regulierung verwendet. Klären wir zunächst wichtige Begrifflichkeiten:
- OT (Operational Technology)
Allgemein geht es bei dem Begriff OT um die IT-lastige Betriebstechnik. Weil jeder Betrieb individuell aufgebaut ist, muss jedes Unternehmen für sich klären, was konkret zur Hardware und zur Software gehört, die die Anlagen und Prozesse steuern.
- OT-Assets
Auch die OT-Assets sind individuell für die eigene Industrieumgebung zu definieren. Dabei ist es wichtig, OT-Assets von Assets anderer Bereiche wie beispielsweise der IT oder auch der E-Technik abzugrenzen. Es geht nämlich nicht nur um digitale Geräte, sondern auch um solche, die eine irgendwie geartete Funktion für die OT haben. Das können beispielsweise auch Barcode-Drucker oder -Scanner in OT-Bereichen sein, deren Ausfall die Verfügbarkeit der gesamten Anlage beeinträchtigt. Wer die Betriebsverantwortung für solche Assets hat, muss geklärt sein.
- OT-Security
Wenn die OT und OT-Assets klar definiert sind, ist der Scope der OT-Security festgelegt. OT-Security-Maßnahmen sichern diese Infrastruktur vor Cyberangriffen und auch vor der Ausbreitung von technischen Störungen. Systeme, deren Funktion kritisch für die Aufrechterhaltung der Geschäftsprozesse ist, müssen in Betrieben der Kritischen Infrastrukturen nach dem Stand der Technik abgesichert werden.
Eine Übertragung der Security-Maßnahmen und -Methoden aus der klassischen IT ist für OT-Bereiche nicht praktikabel, weil in der Produktion grundsätzlich andere Rahmenbedingungen vorherrschen. OT-Security muss speziell auf die besonderen Anforderungen der Betriebstechnik ausgerichtet werden.
OT-Security in der Lebensmittelindustrie steht jetzt an
In der Lebensmittelindustrie wächst der Druck, OT-Security umzusetzen, denn die Branche steht vor besondere Herausforderungen. Dazu zählen beispielsweise:
Hoher Vernetzungsgrad und komplexe Gefahrenlage
Die Erzeugung von Lebensmitteln ist eng verzahnt mit anderen Sektoren wie zum Beispiel Transport, Energie und Finanzwesen. Die Vernetzung verläuft zwischen Unternehmen in mehreren regulierten KRITIS-Sektoren. Diese Supply Chain ist anfällig für Cyberangriffe, die in Zeiten von KI immer neue Ausprägungen mit enormen Schadenspotential aufweisen. Unzureichend abgesicherte Anlagen können Konsumenten von Nahrungsmitteln potenziell gefährden. Werden Versäumnisse bekannt, ist der Ruf schnell ruiniert. Ob ein Unternehmen OT-Security wirksam umsetzt, ist relevant für Haftungsfragen und für die Ausgestaltung von Konditionen für Versicherungspolicen.
Ausweitung der Regulierung für Kritische Infrastrukturen
Der KRITIS-Sektor Ernährung, zu dem Unternehmen der Lebensmittelindustrie zählen, ist durch das IT-Sicherheitsgesetz (IT-SiG 2.0) reguliert. Neue Vorgaben für die Absicherung kritischer IT-Infrastrukturen stehen aktuell durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) an. Die Planung und Anpassung der geforderten Maßnahmen an die Anforderungen im Betrieb sind aufwändig und ressourcenintensiv. Um die Vorgaben fristgemäß einzuhalten zu können, müssen Unternehmen rechtzeitig aktiv werden.
Sichere Basis für innovative Automationslösungen
Betriebe der Lebensmittelindustrie sind sehr energieintensiv, und zwar über die gesamte Wertschöpfungskette hinweg. Ein optimierter Energieeinsatz und Effizienzsteigerungen durch innovative Anwendungen sind entscheidend für die Wettbewerbsfähigkeit.
Moderne Produktionsumgebungen nutzen Trends in der Automation, weil die Mehrwerte unverzichtbar sind. Die Kommunikation im Netzwerk und der Bedarf an Konnektivität nimmt stetig zu. Immer mehr Schnittstellen erhöhen nicht nur die Komplexität, sondern auch die Anzahl potenzieller Einfallstore. Zusätzlich verschwimmen durch den zunehmenden Einsatz von Cloudtechnologien die Grenzen von innen und außen. Herkömmliches Sicherheitsdenken passt nicht mehr in die neue Realität.
Wer zukunftsfähig sein will, braucht als Basis gehärtete Infrastrukturen in der Produktion, die einen sicheren Betrieb ermöglichen. Es besteht ein direkter Zusammenhang zwischen einem professionellen OT-Betrieb und OT-Security:
Grundlagen für OT-Security legen
Auch in der Lebensmittelindustrie gilt: man kann nur schützen, was man kennt: Weil das in der OT meist nicht der Fall ist, müssen vor der Umsetzung von OT-Security wichtige Grundlagen gelegt werden.
Transparenz durch OT-Asset-Management
In üblicherweise sehr langen Lebensspannen wurden Produktionsanlagen zwar entsprechend dem Bedarf erweitert, aber meistens ohne aussagekräftige Dokumentation. Ein aktuelles Inventar ist daher meistens nicht verfügbar. Ebenso fehlen relevante Daten über die Assets wie etwa zur Konfiguration, zum Patchstand oder auch zum Standort im Werk.
Für nahezu alle OT- und OT-Security-Projekte ist Transparenz unverzichtbar. Der Aufbau eines OT-Asset-Managements ist daher eine wichtige Grundlage, um OT-Security-Projekte erfolgreich durchführen zu können.
Standardisierung und Verantwortung durch OT-Organisation
Genau wie in der IT sollten auch für den OT-Betrieb Prozesse und Verfahrensweisen definiert und die Verantwortung klar geregelt sein. Services für die OT werden bislang meist von irgendwem irgendwie erledigt. OT-Security ganzheitlich aufzubauen, heißt auch Verantwortlichkeiten (oftmals bis in die Vorstandsebene) zu klären und Standards zu etablieren, die für alle Werke verbindlich gelten. Um eine OT-Organisation im Unternehmen aufzubauen, müssen die vorhandenen Ressourcen bedarfsgerecht strukturiert und organisatorisch gebündelt werden. Wichtig ist, dass es eine verantwortliche Instanz gibt, die den professionellen OT-Betrieb sicherstellt und aussagefähig ist. Eine OT-Organisation stellt für OT-Security-Projekte den zentralen Ansprechpartner, der die Belange der OT kompetent vertritt. Mehr zum Aufbau einer OT-Organisation finden Sie hier.
Sichere Netzwerkarchitektur und Fernwartung
Es wird immer Möglichkeiten geben, in ein Unternehmensnetzwerk einzudringen. Eine sichere Netzwerkarchitektur kann aber verhindern, dass sich Angreifer dort ausbreiten und auf kritische Systeme gelangen können. Die Segmentierung des Netzwerks ist eine wichtige Maßnahme, um die Widerstandsfähigkeit zu begründen, die eine zunehmende Vernetzung erfordert. In segmentierten Netzen sind externe Zugänge etwa für Fernwartung und Predictive Maintenance keine offenen Einfallstore.
Umsetzung von OT-Security in der Lebensmittelindustrie
Sind die Grundlagen gelegt, geht es darum, die richtigen Hebel zu identifizieren, die das Security-Niveau mit angemessenem Aufwand deutlich erhöhen. Dabei sind individuelle Anforderungen, die Ihr Betrieb vorgibt, zu berücksichtigen.
Welche Systeme kritisch für Ihre Geschäftsprozesse sind und welcher Schutzbedarf jeweils besteht, können Sie mit Hilfe des OT-Asset-Managements und über eine Risikoanalyse bestimmen.
Die große Wirkung der Basics
Viele Maßnahmen, die Security wesentlich unterstützen, sind hinreichend bekannt, entfalten ihre starke Wirkung aber nur, wenn sie konsequent eingesetzt werden. Einige der Basics sind mit überschaubarem Aufwand umzusetzen und können in einem mehrstufigen Security-Konzept (Defense in Depth) Ihr Sicherheitsniveau deutlich erhöhen. Dazu zählen beispielsweise
- Least Privilege / Minimalitätsprinzip
Zugriff und Rechte erhält nur, wer sie unbedingt benötigt.
- Minimalkonfiguration
Die Konfiguration wird durch die erforderliche Funktionalität bestimmt. Was nicht benötigt wird, wird deaktiviert.
- Authentifizierung
Netzwerkteilnehmer müssen sich für jede Kommunikation authentifizieren.
- Zugriffskontrolle
Der Zugriff auf IT-Systeme und der physische Zugang wird eingeschränkt.
- Monitoring
Über die Auswertung der Logfiles können Unregelmäßigkeiten im Netzwerkverkehr erkannt werden.
- Passwortsicherheit
Richtlinien für sichere Passwörter werden etabliert und ihre Einhaltung durchgesetzt.
- Awareness
Mitarbeitern die Gefahren und die Bedeutung von Security-Maßnahmen anhaltend nahebringen.
- etc.
Zeitgemäße Sicherheitsstrategie Zero Trust
Veraltete Produktionen stehen modernen Angriffsszenarien gegenüber. Daher muss eine effektive Sicherheitsstrategie einen Perspektivwechsel vollziehen! Es gilt, Altsysteme entsprechend zu schützen und bei Ausschreibungen für Neuanlagen und deren Inbetriebnahme direkt auf das Einhalten von Security-Anforderungen hinzuwirken. Zero Trust setzt auf Schutz im Inneren des Netzwerks und nimmt die Schutzfläche der kritischen Assets in den Fokus, statt sich auf die Perimeter zu konzentrieren. Angreifern, die sich bereits im Netz befinden können, muss der Weg durch das Netzwerk versperrt werden.
Viele der oben genannten Basics unterstützen den zeitgemäßen Ansatz von Zero Trust.
Orientierung zum Stand der Technik
Kritische Infrastrukturen müssen die Umsetzung von OT-Security-Maßnahmen nach dem Stand der Technik durch Audits oder Zertifizierungen regelmäßig nachweisen.
Durch eine Orientierung am BSI IT-Grundschutz, den branchenspezifischen Sicherheitsstandards (B3S) und einschlägigen Normen wie etwa der IEC 62443 kann der Stand der Technik belegt werden. Außerdem gibt es für spezifische Themen, wie die verpflichtende Angriffserkennung, eine Orientierungshilfe vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Dies unterstützt Unternehmen bei der konformen Umsetzung.
Fazit
OT-Security steht bei allen Unternehmen der Lebensmittelindustrie auf der Tagesordnung, nicht zuletzt, weil sie der KRITIS-Regulierung unterliegen und neue Vorgaben einhalten müssen. Für die Umsetzung gibt es viele Best Practices und Hebel, um Anforderungen praxisnah umsetzen zu können.
Es geht bei OT-Security aber um viel mehr als nur um gesetzliche Pflichten, die hohe Aufwände und Kosten verursachen. Ein sicherer und professionell organisierter OT-Betrieb beinhaltet die Chance, echte Mehrwerte aus neuen Technologien zu generieren. Das stärkt Ihre Wettbewerbsfähigkeit und macht Ihre Produktion fit für die Zukunft.
Der Industrial Security Guide zum schnellen Einstieg
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!