Die Grenzen zwischen IT und OT (operativen Technik) sind mittlerweile fließend. Denn IT umspannt nahezu alle Unternehmensbereiche, egal ob ERP-Systeme oder die materielle Welt der Produktionstechnik. OT-Devices produzieren heute ständig riesige Mengen an Daten. So lassen sich Key-Performance-Indikatoren gewinnen und im Rahmen der ERP-Systeme nutzen oder Investitionen vorausschauend Planen. Je mehr Produktionsinformationen ein Unternehmen verarbeitet, desto belastbarer ist sein Wissen über Lieferverfügbarkeit, Qualität der Erzeugnisse, aktuelle Produktionsstandards und Investitionschancen.
OT birgt Risiken
Doch OT ist nicht ohne Risiken, insbesondere wenn die IT Sicherheit vernachlässigt wird. Das kann man allerdings niemandem verdenken. Denn Ingenieure sind auf ihrem Gebiet Spezialisten, müssen aber keine IT-Security Experten sein.
Stabilität und eine lange Lebensdauer der Technik stehen dann im Fokus. Der Kern vieler Systeme überdauert daher nicht selten viele Jahre. Bei Bedarf wird eine Schnittstelle draufgepackt, die IP spricht und die üblichen Protokolle beherrscht. Hinsichtlich der IT Security ist das riskant, denn Angreifer haben hier oft ein leichtes Spiel.
IT und OT unterscheiden sich hinsichtlich ihrer Sicherheitsstandards fundamental. Die Steuerung einer großen Blechpresse oder eines Hochofens ist dafür ausgelegt, mindestens ein Vierteljahrhundert unterbrechungsfrei zu funktionieren. Ständige Updates oder gar Reboots, wie sie in der IT gang und gäbe sind, wären im operativen Umfeld schlicht unmöglich.
OT-Sicherheit ist komplex und deshalb auch für IT-Experten eine Herausforderung. Es werden immer mehr Internet-kompatible Devices entwickelt, während aber auch die alten Maschinen noch in Betrieb sind. Die neue Welt trifft hier auf die alte Welt und muss mit ihr interagieren. Neue, vernetzte Systeme und ältere Anlagen, die bisher isoliert gearbeitet haben, müssen gleichermaßen geschützt werden. Keine leichte Aufgabe. Hier bedarf es einer umfassenden Sicherheitsstrategie, die vom Top Management gesteuert wird.
Managed Security Service Provider können unterstützen
Was ist zu tun? Erst einmal gilt es, sich einen Überblick über die Systeme zu verschaffen, um zu wissen, wie sie miteinander und mit dem Netzwerk verbunden sind. Die OT-Devices sollten kategorisieret und in unterschiedliche Security-Ebenen eingeordnet werden.
Ältere Maschinen, für die es keine Security-Patches mehr gibt, können beispielsweise nach dem “Minimalprinzip“ behandelt werden, indem sie weitgehend unter Verschluss gehalten werden. So sind sie vor Angriffen aus dem Netz geschützt. Neue OT-Systeme, die ihre Daten an die IT-Systeme übermitteln, brauchen allerdings strengere Schutzmaßnahmen. Die unterschiedlichen Anforderungen müssen klar umrissen und im Netz abgebildet werden.
Ein weiterer Schritt besteht darin, die monolithischen IP-Netze in unterschiedliche Segmente zu teilen und diese durch Firewalls voneinander zu trennen.
Kommt es zu einem Hackerangriff besteht die begründete Hoffnung, dass nur ein Segment betroffen ist und nicht das komplette Unternehmensnetz leidet. Die Zugriffe zwischen den Bereichen sollten durch restriktive Security-Policies eingeschränkt werden. Ist das nicht durchsetzbar, sollte das Unternehmen zumindest eine „Allow-Policy“ für die bekannten Kommunikationswege definieren. Durch diesen pragmatischen Ansatz erhält man schon nach wenigen Wochen einen Überblick, welche Kommunikationsbeziehungen notwendig sind und wo nur überflüssiger Traffic entsteht.
Ein einheitliches Sicherheitssystem wird erst dann möglich sein, wenn die Lösungen selbst homogen sind. Doch so lange OT-Anbieter keine integrierten Lösungen anbieten, ist ein Mix verschiedener Sicherheitssysteme nötig. Die Herausforderung dabei ist, dass diese Sicherheitslösungen hochkomplex sind und von einem einzelnen IT-Spezialisten kaum zu managen sind. Der Personalbedarf steigt, was in Zeiten des Fachkräftemangels durchaus ein Problem darstellt. Deshalb sollten Unternehmen in Betracht ziehen, diese Aufgabe einem Managed Security Service Provider (MSSP) anzuvertrauen. Beim Managed Service erhält der Kunde die Sicherheitslösungen, die er benötigt, aus einer Hand und muss sich nicht darum kümmern, welche Systeme im Hintergrund wie zusammenspielen.
IT und OT müssen sich mehr annähern
Die wichtigste Voraussetzung für eine ganzheitliche Sicherheitsstrategie ist, dass IT und OT das gegenseitige Misstrauen überwinden und gemeinsam daran arbeiten, sich anzunähern. Positive Entwicklungen sind hier durchaus zu verzeichnen. Vielerorts lässt die OT bereits zu, dass bei einer Maschine ein Update-Prozess verankert wird. Oder sie liefert sogar selbst ein Patch- und Release-Management zu der jeweiligen Anwendung.
Beginnen sollten Unternehmen damit, sich auf die einheitliche Verwendung von Schlüsselbegriffen zu einigen. Was ist gemeint, wenn die IT von einem „Wartungsfenster“ spricht? – Die Wartungsintervalle in der OT werden häufig in Jahren statt in Wochen gemessen. Wie definiert die OT Hochverfügbarkeit? In der IT reichen oft 99 Prozent oder weniger, in der OT würde das bedeuten, dass die Produktion mehrere Tage im Jahr stillsteht. Im Fokus sollte deshalb stehen, das gegenseitige Verständnis aufzubauen, um gemeinsam voranzuschreiten.
Bildquelle: stock.adobe.com-Pugun & Photo Studio
