Was gehört alles zum Scope für OT-Security in der Lebensmittelindustrie?

Zur OT gehören viele Bereiche, die in die Security-Betrachtung eingeschlossen werden müssen. Nicht bei allen ist das immer offensichtlich.
Inhaltsverzeichnis

    Innovative Technologien erhöhen die Effizienz in der Lebensmittelproduktion, ihr Einsatz ist eng mit dem wirtschaftlichen Erfolg und der Zukunftsfähigkeit des Unternehmens verbunden. In zunehmend komplexen OT-Infrastrukturen wachsen auch die Angriffsflächen mit, deswegen wird es immer wichtiger, die Resilienz kritischer Prozesse zu stärken. Assets mit einem hohen Schutzbedarf sind an vielen Stellen im Produktionsbereich involviert, auch dort, wo man sie auf Anhieb nicht vermutet.

    Scope für OT-Security-Projekte klären

    Wer OT- und OT-Security-Projekte durchführt, muss den Scope genau kennen. Was zählt im Unternehmen alles zur OT und was nicht? Weil die Produktion in jedem Unternehmen anders aufgebaut ist, muss das individuell geklärt werden. Für den Erfolg Ihrer unternehmensweiten Security-Strategie kommt es darauf an, alle relevanten IT-Infrastrukturen in Ihrer Produktion zu berücksichtigen. Dazu zählt nicht nur das Offensichtliche. Denken Sie beispielsweise auch an Systeme in Verantwortungsbereichen, die bei OT- und OT-Security-Projekten nicht involviert sind.

    Supply Chain in der Lebensmittelindustrie

    Von der Erzeugung der Rohstoffe bis zum fertigen Produkt verläuft die Lebensmittelproduktion in vielen ineinandergreifenden Phasen. Bis zur Bereitstellung im Handel sind zahlreiche weitere Branchen wie beispielsweise Logistik, Energie, Wasser, etc. involviert, sowie Dienstleister, die verschiedenste Services erbringen. In der Supply Chain gibt es viele Abhängigkeiten und eine komplexe und stetig zunehmende Vernetzung. Das erhöht die Risiken für die IT-Systeme aller Unternehmen, die Teil der Lieferkette sind.

    NIS2 – ganzheitliche Supply Chain Security

    Die EU-Richtlinie NIS2 bindet viel mehr Unternehmen als bisher ein, um einen funktionierenden Markt durch ein hohes Sicherheitsniveau in der Supply Chain zu gewährleisten.

    Ob Security-Strategien erfolgreich sind, hängt davon ab, ob sie unternehmensweit und ganzheitlich umgesetzt werden. Das schließt neben technischen Lösungen auch passende organisatorische und personelle Belange ein.

    OT-Security: IT-Security für OT-Anforderungen

    Eine unternehmensweite Security-Strategie muss nicht nur konform umgesetzt, sondern auch auf die besonderen Anforderungen in den verschiedenen Bereichen angepasst werden. Maßnahmen und Prozesse, die in der klassischen IT-Security funktionieren, sind nicht 1:1 auf die OT übertragbar. Der Einsatz von Industrieprotokollen, die Verfügbarkeit im 24/7-Betrieb, ein großer Bestand von ungesicherten Legacy-Systemen und vieles mehr erfordern ein entsprechend angepasstes Vorgehen und dafür passende Maßnahmen.

    Herausforderung: Fehlende Transparenz

    Eine der größten Herausforderungen bei der Umsetzung von OT-Security ist die fehlende Transparenz in gewachsenen heterogenen Infrastrukturen. Über lange Zeiträume wurden die Bestände undokumentiert erweitert und viel Wissen ist ausschließlich in den Köpfen Ihrer altgedienten Betriebsmannschaft vorhanden. Das erschwert die Ist-Analyse im Rahmen einer Risikobewertung, auf der die Security-Konzeption aufbaut. Alle Assets in den Fokus zu nehmen, die Auswirkungen auf die Verfügbarkeit Ihres Produktionsprozesses haben, ist aufwändig. Es hilft, wenn Sie dabei strukturiert vorgehen.

    Was ist eigentlich OT?

    In jedem Unternehmen gibt es unterschiedliche Anlagen und Systeme, die in die Netzwerkarchitektur eingebettet sind. Der individuelle Kontext für OT ist daher in jedem Betrieb anders und muss konkret definiert werden. Dabei sollte eine klare Abgrenzung zu Systemen getroffen werden, deren Betrieb im Verantwortungsbereich Ihrer IT-Abteilung liegen. Damit schaffen Sie eine wichtige Voraussetzung, um den Scope von OT- und OT-Security-Projekten eindeutig festlegen zu können.

    Was ist OT in Ihrem Unternehmen?

    Bei der Zuordnung der Systeme hilft ein Modell, das eine grundlegende Struktur aufzeigt. Das Purdue Reference Model bricht komplexe Datenflüsse innerhalb der Unternehmensprozesse auf sechs Ebenen oder Level herunter. Es zeigt auf, welche Systeme und Anwendungen klassischerweise in welcher Ebene sind und wo die Grenze zwischen IT und OT verläuft. Eine strikte Trennung des IT-Netzwerks vom OT-Netzwerk ist eine der wichtigsten Maßnahmen im unternehmensweiten Security-Konzept. Es muss verhindert werden, dass sich Störungen aus einem Bereich auf das gesamte Unternehmensnetzwerk ausbreiten und die Geschäftstätigkeit lahmlegen können.

    Transparenz über Abhängigkeiten

    Das abstrahierte Modell ist eine Hilfestellung, mit der Sie eine risikobasierte Sicherheitsbetrachtung vornehmen können. Achten Sie darauf, alle beteiligten Systeme abzubilden und deren Kommunikationsbeziehungen darzustellen. Dadurch werden Abhängigkeiten sichtbar.

    Was sind OT-Assets?

    Bei vielen Geräten von der Feldebene bis zur Prozessleitebene ist die Zuordnung zur OT eindeutig. Es gibt daneben auch viele Assets, die von der IT bereitgestellt werden oder Systeme, die auf Servern laufen, die von der IT betrieben werden. Alle Assets, die Auswirkungen auf die Produktionsprozesse haben und für die OT betrieben werden, sind als OT-Assets Teil Ihrer Sicherheitsbetrachtung.

    Kritische Assets und Prozesse identifizieren

    Prozesse und Assets, die für die Anlagenverfügbarkeit kritisch sind, werden im Rahmen einer Risikoanalyse identifiziert. Ihr Schutzbedarf entscheidet über die Priorisierung der Security-Maßnahmen. Dabei stehen die Risiken im Vordergrund, die mit hoher Eintrittswahrscheinlichkeit zu sicherheitsrelevanten Ereignissen führen und deren Auswirkungen die Geschäftskontinuität gefährden.

    OT und OT-Assets in der Lebensmittelproduktion

    Die Anzahl der beteiligten IT-Systeme und der Schnittstellen steigt mit den Anforderungen an Effizienz und Ressourcenoptimierung. Das erhöht die Komplexität und macht die OT viel größer als es den meisten bewusst ist.

    Die Produktion von Lebensmitteln besteht aus vielen einzelnen Prozessen. Im Kernprozess werden Rohmaterialien über Zwischenprodukte zu Lebensmittel verarbeitet. Der Materialfluss von der Anlieferung verschiedener Rohstoffe über die Bereitstellung von Hilfs- und Betriebsstoffen bis hin zum Warenausgang wird von vielen Nebenprozessen begleitet. In jedem der beteiligten Bereiche ist der Automationsgrad durchgehend hoch.

    Um alle für die Anlagenverfügbarkeit kritischen Assets zu erfassen, ist es hilfreich, sich systematisch am Produktionsablauf zu orientieren.

    OT-Systeme im Produktionsprozess

    Bei der OT-Sicherheitsbetrachtung sind Systeme der Steuerungs- und Prozessleitebene für den Kernprozess der Produktion standardmäßig im Fokus. Dazu zählen beispielsweise:

    • Steuerungen (SPS)
    • Engineering Stations
    • HMI (Human Machine Interfaces)
    • Prozesskontrolle: WinCC Monitoring, SCADA
    • MES (Manufacturing Execution System)
    • BDE-Systeme (Betriebsdatenerfasung)
    • Touchpanels
    • Sensorik
    • Aktorik

    Nebenschauplätze in der OT

    In produktionsunterstützenden Prozessen sind viele IT-basierte Systeme im Einsatz, die nicht unmittelbar an die physische Produktion angeschlossen sind. Ihre Verfügbarkeit ist jedoch entscheidend für eine unterbrechungsfreie Produktion. Die Abhängigkeiten ziehen sich über alle Bereiche, die der Materialfluss in der Produktion passiert, von der Warenannahme bis zur Warenausgabe.

    Denken Sie zum Beispiel an folgende Bereiche und die darin integrierten Systeme:

    Logistik

    Für die Anlieferung von Rohstoffen, den Transport innerhalb der Produktion und für den Versand von Produkten ist eine stark vernetzte und zunehmend intelligente Logistik-Infrastruktur erforderlich. Dazu zählen z.B.:

    • Fahrzeugwaagen
    • Hochregallager
    • Fahrerlose Transportsysteme
    • Förderbänder
    • etc.

    Gebäudeautomation

    Im Rahmen des Gebäudebetriebs stellt die Gebäudeautomation viele Funktionen und Ressourcen, die direkt am Produktionsprozess beteiligt sind. IT-basierte Systeme steuern beispielsweise spezifische Umgebungsbedingungen oder stellen Betriebsmittel und -stoffe bereit. Im Kontext der OT-Security sind außerdem bauliche Infrastrukturen im Fokus, nicht zuletzt für Safety-Anforderungen wie z.B. Einrichtungen für den Brandschutz.

    Ein sicherer Betrieb der IT-lastigen Infrastrukturen in der Gebäudeautomation ist die Grundlage, um effizient und kostensparend zu produzieren.

    Nehmen Sie folgende Anlagen der Gebäudeautomation und ihre Steuerungen in Ihre Sicherheitsbetrachtung auf:

    • Energieversorgung (Blockheizkraftwerke, Solaranlagen, Dampfturbinen, etc.)
    • Wasser (Eiswasser, Warmwasser, Brauch-/ Frischwasser, etc.)
    • Kühlung
    • Lüftung
    • Heizung (Blockheizkraftwerke)
    • Dampferzeugung
    • Druckluft und Pneumatik
    • Kläranlage
    • Kanalnetze mit Pumpen
    • Rohrleitungssysteme mit Ventilen
    • Aufzüge
    • Schleusen
    • Tore
    • Zugangskontrolle
    • Safety-Systeme (Alarm, Brandmeldeanlage, RWA)
    • Beleuchtung

    Laborumgebungen (Qualitätssicherung)

    Die Lebensmittelsicherheit erfordert einen kontaminationsfreien Produktionsprozess. In die Qualitätssicherung sind Labore in verschiedenen Stufen des Materialflusses eingebunden. Ein Ausfall der Laborsysteme hat direkte Auswirkungen auf den laufenden Produktionsprozess. Im Fokus sind auch Geräte, die standardmäßig nicht explizit nur in der OT eingesetzt werden.

    • Laborgeräte (z.B. Zentrifugen, Mixer, Waagen, Abzüge & Absaugvorrichtungen, etc.)
    • Etiketten-Drucker
    • Kühlschränke
    • Barcode-Scanner

    Nebenanlagen sind für Cyberkriminelle ein idealer Einstiegspunkt, um unbemerkt ins Netzwerk zu gelangen. Befassen Sie sich eingehend mit allen Bereichen und Systemen, mit denen Abhängigkeiten zur Produktion bestehen.

    Was oft vergessen wird

    Es gibt Bereiche und Geräte, die als selbstverständlich wahrgenommen werden, so dass sie bei der Sicherheitsbetrachtung für die Produktion schlicht übersehen werden. Dazu kann beispielsweise die Parkplatzüberwachung oder die Reinigung und Abfallentsorgung gehören. Auch Handgeräte für die Kommunikation zwischen verschiedenen Werkhallen oder auch an sich unscheinbare Geräte wie eine moderne Kaffeemaschine sind relevant.

    Sind Assets, die für oder in der OT genutzt werden, vernetzt und über das Internet erreichbar, beispielsweise für Fernwartung, können sie zur Gefahr für die Anlagenverfügbarkeit werden. Sie müssen Teil Ihrer Sicherheitsbetrachtung sein.

    Interne Risiko-Faktoren

    Die Ausrüstung für produktionsbegleitende Prozesse, beispielsweise in Laboren, ist kostenintensiv in der Anschaffung. Die Geräte sind über lange Laufzeiten in Betrieb und beinhalten mit ihren Steuerungen auch kritische Komponenten.

    Das Wissen über IT-Infrastrukturen und deren Absicherung ist bei den Mitarbeitenden in diesen Bereichen nicht immer ausgeprägt. Deswegen ist es wichtig, die Verfügbarkeit aller kritischen Assets durch ein umfassendes OT-Security-Konzept abzusichern.

    Man kann nur schützen, was man kennt

    Um OT-Security ganzheitlich umzusetzen, müssen Sie Ihre OT und die Anforderungen darin gut kennen. Das Wissen darum müssen Sie sich erarbeiten:

    • Definieren Sie OT und OT-Assets in Ihrem Unternehmen und treffen Sie eine klare Abgrenzung zur Betriebsverantwortung Ihrer IT-Abteilung.
    • Sprechen Sie mit den Verantwortlichen in allen Bereichen, die Auswirkungen auf die Produktion haben. Klären Sie Abhängigkeiten im Produktionsprozess und nehmen Sie spezielle Anforderungen auf.
    • Ein OT-Asset-Management ist eine wichtige Ressource, um auf relevante Daten zurückgreifen zu können. Das gilt sowohl für die Risikoanalyse als auch für die Konzeption von Security-Maßnahmen. Best Practices für die erfolgreiche Durchführung eines OT-Asset-Management-Projektes finden Sie in diesem Artikel.

    Fazit

    Nur wenn alle kritischen Assets und Prozesse in Ihrer Produktion bekannt sind, können wirksame OT-Security-Maßnahmen konzipiert werden. Die OT ist viel größer, als es zunächst den Anschein hat. Gehen Sie bei der Erfassung Ihrer OT-Infrastruktur strukturiert vor und beziehen Sie alle Bereiche ein, in denen IT-basierte Systeme Auswirkungen auf Ihre Produktion haben.

    Nutzen Sie vorhandenes Wissen Ihres Betriebspersonals und holen Sie die Verantwortlichen der involvierten Bereiche an Board. Der Aufwand lohnt sich, denn für alle OT-Security-Projekte ist es wichtig, den Scope richtig zu setzen!

    Guide: OT-Asset-Management

    Tim Bauer
    Solution Architect für OT- & BAS-Security

    Zuverlässiges OT-Asset-Management ist immer noch eines der essentiellsten Themen in der vernetzten Produktion und Automation. Unerlässlich für Security, für die Zukunftsfähigkeit und einen stabilen Betrieb.

    Wie ein erfolgreiches Assetmanagement-Projekt aussehen sollte und worauf Sie achten sollten, zeigen wir Ihnen In unserem Guide: OT-Asset-Management effizient einführen.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Veröffentlicht am
    by Tim Bauer

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Feldgeschichten

    Keine Zeit? Machen Sie es, wie über 1.000 andere Anwender:innen und erhalten Sie wöchentlich relevante Beispiele der OT-Security!

    Ganz oldschool direkt via E-Mail in Ihr Postfach

    Footer Image
    Checkliste herunterladen

    Zuverlässiges OT-Assetmanagement ist immer noch eines der essentiellsten Themen in der vernetzten Produktion und Automation. Unerlässlich für Security, für die Zukunftsfähigkeit und einen stabilen Betrieb.

    Wie ein erfolgreiches Assetmanagement-Projekt aussehen sollte und worauf Sie achten sollten, zeigen wir Ihnen In unserem Guide: OT-Assetmanagement effizient einführen.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung