OT- und IT-Security Ganzheitliche Sicherheitsstrategie: Zwei Seiten einer Medaille

In der IT kommt niemand mehr um das Thema Security herum. Hingegen wiegt in der operativen Technik (OT) Funktionalität häufig immer noch schwerer als die Sicherheit. Dieser Ansatz ist gefährlich und überholt. Doch wie bringen Unternehmen den durchgehenden Produktionsbetrieb und regelmäßige Sicherheits-Updates zusammen?

Heute verwischen die Grenzen zwischen IT und OT zusehends. Die IT berührt zunehmend das gesamte Unternehmen, also auch ERP-Systeme und die materielle Welt der Produktionstechnik. OT-Devices produzieren heute ständig riesige Mengen an Daten, die Input für IT-Anwendungen liefern, zum Beispiel für eine vorausschauende Investitionsplanung. Ganz zu schweigen von den Key-Performance-Indikatoren, die sich aus den Daten gewinnen und im Rahmen der ERP-Systeme nutzen lassen. Je mehr Produktionsinformationen ein Unternehmen verarbeitet, desto belastbarer ist sein Wissen über Lieferverfügbarkeit, Qualität der Erzeugnisse, aktuelle Produktionsstandards und Investitionschancen.

Neue Risiken durch OT

Aber aus der OT erwachsen auch neue Risiken. Das hat unterschiedliche Gründe, die unter anderem daraus resultieren, dass Maschinenbau-Ingenieure nicht zwangsläufig auch IT-Security-Spezialisten sind. So legt ein Ingenieur Wert auf Stabilität und die lange Lebenszeit der verwendeten Technik, weshalb der Kern vieler Systeme oft Jahrzehnte überdauert. Bei Bedarf wird eine Schnittstelle draufgepackt, die IP spricht und die üblichen Protokolle beherrscht. Das ist funktional vertretbar, vom Security-Standpunkt aus aber riskant, weil ein solches Konstrukt versierten Angreifern wenig entgegenzusetzen hat.

IT und OT unterscheiden sich hinsichtlich ihrer Sicherheitsstandards fundamental. Die Steuerung einer großen Blechpresse oder eines Hochofens ist dafür ausgelegt, mindestens ein Vierteljahrhundert unterbrechungsfrei zu funktionieren. Ständige Updates oder gar Reboots, wie sie in der IT gang und gäbe sind, wären im operativen Umfeld schlicht unmöglich. So quittieren Ingenieure aus der Produktionstechnik im IT-Bereich übliche Sicherheitsmechanismen nur mit einem Achselzucken.

Was die IT tun kann

Die zusätzliche Komplexität der OT-Security ist für ITler oft eine Herausforderung. Sie entsteht dadurch, dass sie zwar immer mehr Internet-kompatible Devices einschließt, aber die alten Maschinen deshalb noch nicht über Nacht aus den Fabrikhallen verschwinden. Die Mischung von neuen, vernetzten Systemen und älteren, bis dato isoliert arbeitenden Anlagen, ist schwerer zu schützen als eine homogene Umgebung. Dazu bedarf es unbedingt einer umfassenden Sicherheitsstrategie, die vom Topmanagement nicht nur mitgetragen, sondern idealerweise sogar in die Wege geleitet wird. Sicherheit ist definitiv Chefsache.

Erste Schritte zur Problemlösung

Zunächst müssen sich Unternehmen einen Überblick darüber verschaffen, welche Systeme erstens mit dem Netzwerk und zweitens miteinander verbunden sind. Es gilt, die OT-Devices zu kategorisieren und in unterschiedliche Security-Ebenen einzuordnen.

• Zum Beispiel können ältere Maschinen, für die es keine Security-Patches mehr gibt, nach dem „Minimalprinzip“ behandelt, also weitgehend unter Verschluss gehalten und so vor Angriffen aus dem Netz geschützt werden.

• Neue OT-Systeme, die ihre Daten an die IT-Systeme übermitteln, brauchen hingegen strengere Schutzmaßnahmen.

• Die unterschiedlichen Anforderungen müssen klar umrissen und im Netz abgebildet werden – sinnvollerweise nach einer gründlichen Risikoanalyse.

• Ein weiterer Schritt besteht darin, die monolithischen IP-Netze in unterschiedliche Segmente zu teilen und diese durch Firewalls voneinander zu trennen. Im Falle eines Cyberangriffs ist dann hoffentlich nur ein Segment betroffen und nicht das gesamte Unternehmensnetz.

• Sinnvoll ist es dabei, die Zugriffe zwischen den Bereichen durch restriktive Security-Policies einzuschränken. Ist das nicht durchsetzbar, sollte das Unternehmen zumindest eine „Allow-Policy“ für die bekannten Kommunikationswege definieren. Dieser pragmatische Ansatz liefert nach einigen Wochen schon einen Überblick, welche Kommunikationsbeziehungen notwendig sind und wo nur überflüssiger Traffic entsteht.

Managed Service einbeziehen

Ein Mix aus unterschiedlichen Sicherheitssystemen wird zumindest so lange notwendig sein, wie die OT-Anbieter keine integrierten Lösungen anbieten. Viele Unternehmen wollen oder können etwas so Komplexes nicht managen, zum Beispiel weil es ihnen an Personal fehlt. Sie sollten in Betracht ziehen, diese Aufgabe einem Managed Security Service Provider (MSSP) anzuvertrauen. Beim Managed Service bezieht der Kunde die Sicherheitslösung aus einer Hand und muss sich nicht darum kümmern, welche Systeme im Hintergrund wie zusammenspielen.

Was am Anfang stehen sollte

Die wichtigste Voraussetzung für eine ganzheitliche Sicherheitsstrategie ist, dass IT und OT das gegenseitige Misstrauen überwinden und gemeinsam an einer Annäherung arbeiten. Erste Vorstöße sind schon zu beobachten. Vielerorts lässt die OT bereits zu, dass bei einer Maschine ein Update-Prozess verankert wird. Oder sie liefert sogar selbst ein Patch- und Release-Management zu der jeweiligen Anwendung.

Ein guter Startpunkt ist der, sich auf die einheitliche Verwendung von Schlüsselbegriffen zu einigen. Was ist gemeint, wenn die IT von einem „Wartungsfenster“ spricht? – Die Wartungsintervalle in der OT werden häufig in Jahren statt in Wochen gemessen. Was definiert die OT als Hochverfügbarkeit? In der IT reichen oft 99 Prozent oder weniger, in der OT würde das bedeuten, dass die Produktion mehrere Tage im Jahr stillsteht. Im Fokus sollte deshalb stehen, das gegenseitige Verständnis aufzubauen, um das gemeinsame Handeln zu erleichtern.