Im Kontext der OT-Security wird ein OT-Asset-Management oft mit Transparenz über die Assets in einem Netzwerk in Verbindung gebracht. Und tatsächlich braucht es eine umfassende Kenntnis über das, was man eigentlich schützen will, um Security-Maßnahmen zielgerichtet konzipieren zu können.
In komplexen OT-Strukturen, die über Jahrzehnte hinweg undokumentiert betrieben und erweitert werden, fehlt oftmals wertvolles Wissen über die im Betrieb befindlichen Teilnehmer. Dazu gehören aktuelle Informationen über Konfigurationen, Abhängigkeiten, Standorte, Verantwortlichkeiten, und so weiter. Ein Asset Inventar liefert diesen wichtigen Überblick und ist damit ein grundlegender Bestandteil eines OT-Asset-Managements.
Was macht ein OT-Asset-Management darüber hinaus aus und welche Mehrwerte sind damit für Ihr Unternehmen verbunden?
Klären wir zunächst wichtige Begrifflichkeiten:
Was ist ein OT-Asset?
Eine eindeutige Definition, die auf alle Industrieumgebungen anwendbar wäre, gibt es dafür nicht. Jedes Unternehmen muss diese Festlegung individuell treffen und die Abgrenzung der OT-Assets zu den Assets anderer Bereiche vornehmen.
Zu berücksichtigen sind nicht nur digitale Geräte (Assets) in der OT, sondern auch Assets mit einer Funktion für die OT, wie beispielsweise Netzwerk-Switche, die von der IT verwaltet werden. Entscheidend für die Klassifizierung sind die Nutzung, die Anforderung und der Kreis der User der Assets. Die Definition der OT-Assets hat Auswirkungen auf die Asset-Management-Prozesse.
Ein Beispiel für die Identifikation der OT-Assets kann so aussehen:
Ein OT-Asset ist ein Gerät mit einer CPU und ist Teil eines OT-Systems
UND
…zählt zur Hardware im OT-Bereich (darunter zählen auch VMs, die Hardware imitieren)
UND
…ist auf Level 0 bis 3 des Purdue Modells angesiedelt
Was heißt es, OT-Assets zu managen?
Der sichere Betrieb in einer Industrieumgebung basiert auf der korrekten Konfiguration der OT-Geräte und ihres funktionsfähigen sicheren Zustandes. Dafür muss zunächst definiert werden, welche Konfigurationen für die einzelnen Assets jeweils erforderlich sind. Das schließt unterschiedliche Use Cases ein, beispielsweise aus der Instandhaltung, dem Engineering oder der Safety.
OT-Asset-Management bedeutet,
- dafür zu sorgen, dass OT-Assets entsprechend ihrer definierten Konfiguration betrieben werden,
- sie zu warten und instand zu halten,
- auf Veränderungen der Einsatzzwecke mit angepassten Konfigurationen zu reagieren,
- und das zu dokumentieren.
Und all das über den gesamten Lebenszyklus und teilweise auch danach.
Dabei geht es um einen ganzheitlichen Ansatz, der Organisation, Prozesse und Software zusammenbringt, so dass OT-Assets über ihren gesamten Lebenszyklus hinweg effektiv verwaltet werden können.
Die digitale Transformation bewirkt eine enorme Zunahme bei der Anzahl und der Komplexität der installierten Geräte. Die Betriebsmannschaft muss einen Überblick über die Gesamtheit der Assets, deren Konfiguration sowie der installierten Software samt Versionsstände behalten. Für eine effektive Verwaltung ist zunehmend technische Unterstützung dafür erforderlich.
Besondere Anforderungen an das Asset-Management in der OT
In der IT ist ein Asset-Management übrigens längst üblich. Die Übertragung der Anwendungen und Verfahrensweisen auf OT-Bereiche ist allerdings nicht zielführend, weil es um grundsätzlich andere Ansätze geht und andere Ziele verfolgt werden. Die Tools, die dafür in der IT verwendet werden, weisen daher viele Funktionalitäten nicht auf, die in der OT aber wichtig sind.
Im Rahmen eines OT-Asset-Managements wird die Kommunikation erkannt, die zwischen den Assets erfolgt. Dadurch werden Abhängigkeiten abgebildet und der Status kann bewertet werden.
Es gibt für die OT besondere Anforderungen, die Sie dabei berücksichtigen müssen:
- OT-Asset-Management-Tools müssen Industrieprotokolle verstehen, auswerten und sprechen können.
- Die Aktivitäten von OT-Asset-Management-Tools dürfen die sensiblen SPS-Steuerungen nicht stören.
- Anders als in der IT können Geräte in der OT mehrere IP-Adressen aufweisen, teilweise kommen IP-Adressen auch doppelt vor.
- Während es in der IT Benutzerkreise mit unterschiedlichen Berechtigungen gibt, wechseln in der OT die Benutzer ständig und alle Admins sind privilegiert.
Die Rolle des Asset-Inventars
Das Asset-Inventar liefert alle relevanten Informationen zu den Assets und deren aktuellen Zuständen. Daher ist es eine wichtige Grundlage für die professionelle Verwaltung von OT-Assets.
Aus Security-Perspektive ist das Asset-Inventar ein wichtiges Instrument, weil die darin enthaltenen Informationen erst eine Risikobewertung möglich machen. Daraus ergibt sich der Schutzbedarf der einzelnen Assets, aus dem die erforderlichen Security-Maßnahmen abgeleitet werden.
Was soll in einem Asset-Inventar gelistet sein?
Im Asset-Inventar sind alle Geräte zu berücksichtigen, die sich in OT-Umgebungen befinden oder für OT-Bereiche genutzt werden. Dazu gehören zum Beispiel SPS-Systeme (Speicherprogrammierbare Steuerungen) genauso wie Bus-Klemmen, Switche und Sensoren, aber eben auch Drucker, die an das Netzwerk angeschlossen sind.
Ein Drucker, der in einem OT-Bereich genutzt wird, etwa um Lieferscheine zu drucken und dafür vom SCADA-System angesprochen wird, ist produktionskritisch. Eine Störung, die die Funktion des Druckers beeinträchtigt, hat Auswirkungen auf die Produktion. Steht der Drucker, kann über kurz oder lang die Anlage stehen, weil die aufeinander abgestimmten Prozesse ins Stocken geraten. In solchen Fällen ist ein Drucker und andere typische IT-Assets eben mehr als die Funktion, die das Gerät üblicherweise in der IT hat und es muss dafür eine entsprechende Risikoeinschätzung erfolgen.
Datenerhebung und Pflege – Aufwand mit großer Bedeutung
Die Informationen, die in einem Asset Inventory geführt werden, können nicht automatisiert im Netzwerk abgefragt werden, sondern müssen manuell mit Betrachtung des Kontexts erfasst werden. Dazu gehört zum Beispiel der Standort des Assets, die Abhängigkeiten im Prozess genauso wie die Bewertung, ob eine KRITIS- oder Safety-Relevanz vorliegt. Manches davon erscheint zunächst trivial, wie die Identifizierung des Standortes, aber oftmals gibt es in OT-Bereichen für Räume oder Hallen keine eindeutigen Bezeichnungen, wie es etwa im Flächenmanagement DIN EN ISO 4157 festgelegt ist. Die Identifikation einer simplen Raumnummer kann schnell zur zeitraubenden Angelegenheit werden.
Natürlich sind die Aufwände keine einmalige Aktion, es bedarf einer kontinuierlichen Pflege, um einen nachhaltigen Nutzen aus dem Asset Inventar ziehen zu können.
Zugegeben, die Erarbeitung und Pflege eines akkuraten Asset Inventars bedeutet viel Aufwand, der mehr mit dem Sammeln und dem Zusammentragen von relevanten Informationen zu tun hat als mit der Erarbeitung von ausgeklügelten Security-Konzepten. Letzteres mutet viel interessanter und spannender an. Aber ohne eine solide Basis, die das Asset Inventory darstellt, kann die eigentliche Aufgabe nicht gemeistert werden. Allein diese Tatsache misst dem Inventar seine große Bedeutung bei.
Use Cases und Mehrwerte eines OT-Asset-Managements
Viele Bereichen eines Unternehmens ziehen Nutzen aus einem OT-Asset Management. Die folgenden Beispiele zeigen, wer davon profitiert:
Engineering
In OT-Bereichen, wo sich im Betrieb Industrie 4.0-Technologien immer mehr etablieren, nimmt die Komplexität zu. Wenn im Engineering mit professionell verwalteten OT-Asset-Beständen gearbeitet werden kann, können notwendige Konzeptionen und die entsprechende Auslegungen der Anlagen effizienter durchgeführt werden. Dies unterstützt die Nachhaltigkeit von Investitionen.
Eine Standardisierung im Engineering, beispielsweise ein identischer Aufbau von SPS-Konfigurationen, gleiche Firmware oder auch ein identischer Aufbau von Schaltschränken führt zu einer geringeren Fehleranfälligkeit. Außerdem geht die Behebung von Fehlern im Bedarfsfall deutlich schneller.
Instandhaltung und Wartung
Fehlersuche kann ein mühsames Geschäft sein, wenn es an Transparenz fehlt. Die Ursache einer Störung zu finden, kann zeitaufwändig und kostenintensiv werden, wenn Fehler in Konfigurationen nicht erkannt werden, weil Datenflüsse nicht sichtbar sind. Ein OT-Asset-Management liefert Ihrer Instandhaltungsmannschaft die Möglichkeit nachzuvollziehen, wo im Prozess die Kommunikation nicht planmäßig abläuft, so dass zeitnah Gegenmaßnahmen eingeleitet werden können
Außerdem können mit dem OT-Asset-Management Wartungszyklen besser geplant und die Wartungsvorgänge effizienter durchgeführt und dokumentiert werden. Wenn die Informationen zum Zustand der Assets verfügbar sind, spart das Aufwände und Kosten.
Obsolescence- und Update-Management
Wenn Produkte abgekündigt werden, muss rechtzeitig Ersatz beschafft werden oder es müssen erforderliche Updates aufgespielt werden, damit die Funktionalität der Systeme gewährleistet bleibt. Die relevanten Informationen zu betroffenen Systemen kommen aus dem Asset Inventar, das neben den Assets selbst auch deren Versionsstände und Daten zur Abkündigung enthält. Dass notwendige Updates auf die Systeme aufgespielt und abgekündigte Produkte ersetzt werden, hat direkte Auswirkungen auf Ihre Anlagenverfügbarkeit.
Im OT-Asset-Management werden auch solche Assets sichtbar, die überflüssig geworden sind und ausgemustert werden können. Dadurch verringert sich Ihr Verwaltungsaufwand und die potenzielle Angriffsfläche verkleinert sich.
Change-Management
Umfassende Änderungen in Unternehmen schließen Prozesse, Strukturen und Systeme mit ein. Nachhaltige Ergebnisse lassen sich im Change-Management nur erzielen, wenn auch die Gesamtheit der betroffenen Systeme erfasst und berücksichtigt ist. Ein OT-Asset-Management liefert den nötigen Überblick und die relevanten Informationen dazu.
Trendthemen
Innovative Anwendungen wie beispielsweise Digital Twins basieren auf vollständigen Beständen korrekt verwalteter Assets, um ihren Zweck zu erfüllen. Die Investitionen, die für innovative Technologien getätigt werden, sind wirtschaftlich nur dann sinnvoll, wenn sie auf einer soliden Basis-Infrastruktur begründet sind. Dazu gehört eine professionelle Verwaltung über den gesamten Lebenszyklus hinweg.
Damit ist ein OT-Asset-Management ein wichtiger Pfeiler für die erfolgreiche Umsetzung innovativer Projekte.
Wieviel Security bringt ein OT-Asset-Management?
Der Security-Aspekt eines OT-Asset-Managements besteht in erster Linie im Asset-Inventar, das vorhandene Geräte und Netze zeigt und Informationen dazu liefert. Diese sind für die Risikobewertung der Assets und damit für die passgenaue Auslegung von Security-Maßnahmen wichtig.
Erst wenn Sie wissen, wie Ihr Netzwerk aufgebaut ist, aus welchen Netzwerkteilnehmern es besteht, wie die Kommunikation zwischen diesen verläuft und Sie die Risiken und prozessualen Abhängigkeiten kennen, können Sie Security sinnvoll konzipieren.
Ein OT-Asset-Management liefert Daten, die Merkmale und Zustände aufzeigen, die Ihre Security gefährden können, wie beispielsweise fehlende Security-Patches an Geräten. Auch werden Laptops von Fremdfirmen, die für Fernwartungszwecke in Ihrem Netzwerk unterwegs sind, sichtbar.
Damit liegt ein wichtiger Security-Aspekt eines OT-Asset-Managements in der Visualisierung von relevanten Informationen, auf die Sie konkret und angemessen reagieren können.
Wirksame Security baut auf Fakten auf und genau die liefert das OT-Asset-Management.
„Ohne relevante Daten aus dem OT-Asset-Management sind Security-Betrachtungen und Schlüsse, die gezogen werden, nebulös und willkürlich.“
Ralph Langner – Langner Communications
Empfohlene Vorgehensweise für die Einführung eines OT-Asset-Managements
Weil ein OT-Asset-Management außer der Security noch andere Mehrwerte mit sich bringt, ist es meistens hilfreich, bei der Einführung den konkreten Nutzen für die verschiedenen Bereiche Ihres Unternehmens in den Mittelpunkt zu stellen.
Zweck definieren und die Stakeholder mitnehmen
Holen Sie Kollegen aus der Instandhaltung, dem Engineering und anderen Abteilungen mit ins Boot, die von einem OT-Asset-Management am meisten profitieren. Nehmen Sie deren Anforderungen mit auf. Formulieren Sie die konkreten Use Cases für das OT-Asset-Management und dokumentieren Sie den Nutzen, der sich daraus für Ihr Unternehmen ergibt.
Konzeptionelle Aspekte
Klären Sie initial:
- Was sind Ihre OT Assets (und was nicht)?
- Wer nutzt die Assets und wer hat dafür die Verantwortung?
- Listen Sie alle relevanten Informationen, die Sie erfassen möchten und grenzen Sie davon diejenigen Assets klar ab, die im Verantwortungsbereich der IT liegen
Listen Sie Ihren bekannten Bestand an OT-Assets auf sowie deren Konfiguration
- Asset Inventory: Ermitteln Sie, welche Assets Sie konkret in Ihrer Automationsumgebung im Betrieb haben und ermitteln Sie über die Erfassung ihres Zustandes die Sicherheitslücken, die dafür bestehen.
- Legen Sie die Verwaltung und Pflege während des Lebenszyklus fest.
- Definieren Sie Prozesse und Prozess-Owner für den Produktlebenszyklus neuer Assets und für die Verwaltung bestehender Assets, einschließlich eines Patch- und Update-Prozesses.
Denken Sie unternehmensweit und prozessorientiert
Erfassen Sie die relevanten Daten für die OT-Assets entsprechend der vorab festgelegten Anforderung. Berücksichtigen Sie die definierte Detailtiefe sowie eine eindeutige Nomenklatur. Beschreiben Sie Verwendungszweck, Standort und andere Informationen für Assets, die es in verschiedenen Werken, Bereichen oder Abteilungen mehrmals gibt, eindeutig.
Wenn Ihr OT-Asset-Management-System ein bestehendes System oder Tool ablösen soll, denken Sie an Prozesse, die sicherstellen, dass alle betroffenen Mitarbeiter Zugang zum neuen Tool erhalten und es entsprechend seines Zweckes nutzen.
Über die Mehrwerte und die praxisnahen Aspekte bei der Einführung eines OT-Asset-Managements konnte ich ausführlich mit Ralph Langner von Langner Communications sprechen. Hier finden Sie die Aufzeichnung des Interviews:
Fazit
Mit einem OT-Asset-Management verwalten Sie Geräte in Automationsumgebungen professionell über den gesamten Lebenszyklus hinweg. Security kommt dabei durch die Transparenz, die ein Asset-Inventar schafft, sowie durch standardisierte und dokumentierte Verfahrensweisen mit klaren Zuständigkeiten.
Guide: OT-Asset-Management
Solution Architect für OT- & BAS-Security
Zuverlässiges OT-Asset-Management ist immer noch eines der essentiellsten Themen in der vernetzten Produktion und Automation. Unerlässlich für Security, für die Zukunftsfähigkeit und einen stabilen Betrieb.
Wie ein erfolgreiches Assetmanagement-Projekt aussehen sollte und worauf Sie achten sollten, zeigen wir Ihnen In unserem Guide: OT-Asset-Management effizient einführen.
