Security in Zeiten verschmelzender Welten

Herr Herzinger, IT und OT verschmelzen im Zuge der Digitalisierung immer weiter. Wo sehen Sie aktuell die größten sicherheitskritischen Hemmschuhe bei der Verbindung beider Welten?

D. Herzinger: IT und OT sind zwei Welten mit großteils gleichen Werten. Allerdings unterscheidet sich die Ausprägung bzw. die Gewichtung dieser Werte deutlich. So gilt zum Beispiel auf beiden Seiten die Triade aus Verfügbarkeit, Vertraulichkeit und Integrität, aber in jeweils unterschiedlicher Priorisierung. Genau genommen liegt der Fokus in der OT mehr auf Kontinuität, in der IT auf Agilität. Demzufolge ist in beiden Welten das Management der Produktlebenszyklen bzw. Wartungsintervalle ein wichtiges Thema, jedoch sind die Dauer der Zyklen und die damit verbundenen Kosten sehr unterschiedlich.

Daraus resultiert die meines Erachtens größte technische Herausforderung bei der Vernetzung von IT und OT: Die erforderlichen Sicherheits-Updates müssen binnen weniger Tage nach deren Erscheinen auf Systeme ausgerollt werden, die oftmals Wartungsintervalle von mehreren Jahren und Lebenszyklen von mehreren Jahrzehnten haben. Es gibt auch keine Möglichkeit, dieses Grundproblem zu lösen. OT-Geräte mit kurzen Lebenszyklen sind nicht wirtschaftlich und auch nicht tauglich. Ein anschauliches Beispiel liefern Safety-Applikationen: Bei ihnen muss nach jedem Update zunächst sichergestellt werden, dass die funktionale Sicherheit identisch ist. Systeme mit direkter Netzwerkverbindung nicht upzudaten, führt allerdings zwangsläufig zu unsicheren Systemen. Dann ist es nur eine Frage der Zeit, bis sie Opfer eines Angriffs werden. Die Folgen reichen von einem Produktionsstillstand bis hin zum Störfall mit Personenschaden.

Um dieser Herausforderung zu begegnen, sehe ich – abgesehen davon, IT und OT schlicht nicht zu vernetzen – nur eine Möglichkeit, nämlich den Security-relevanten Part eines OT-Systems getrennt zu betrachten. Dabei wird dieses Subsystem, zum Beispiel die Netzwerkschnittstelle oder der OPC-Server, mit einem IT-Lebenszyklus gefahren. Für das restliche System bleibt weiterhin der OT-Lebenszyklus relevant. Im Brownfield bedeutet das dann, die Netzwerkverbindung mit einem externen Security-System, wie einer Datendiode, abzusichern.

Sie selbst kommen aus dem IT-Bereich. Was waren Ihre Eindrücke bei der Erstkonfrontation mit OT-Security-Entscheidern – zu langsam, zu zurückhaltend, wenig risikobewusst?

D. Herzinger: Die Frage suggeriert, dass IT- und OT-Entscheider fundamental anders denkende Menschen wären. Meine Erfahrung ist allerdings eher gegenteilig. Was ich jedoch als Herausforderung erlebt habe, ist, dass beide ähnliche Probleme ähnlich angehen, die Umsetzung aufgrund der sehr differenten Umfelder jedoch eine andere ist. Deshalb werden für unterschiedliche Herangehensweisen oft gleiche Bezeichnungen genutzt. Beispielsweise ist in beiden Welten die Verfügbarkeit einer Netzwerkverbindung oberstes Ziel und in beiden Fällen ist Redundanz eins der primären Mittel, um diese zu erhöhen. In der OT führt der Lösungsweg oft über zwei komplett separate Netzwerkkarten, -leitungen und -geräte. Jemand aus der IT hingegen denkt eher an dynamische Routing-Protokolle. Somit sind Missverständnisse vorprogrammiert. Das muss allen Beteiligten bei der Lösungsfindung bewusst sein, um sich nicht vorschnell in einer bestimmten Lösungsidee zu verfahren. In einer Sache unterscheiden sich die beiden Welten allerdings gar nicht: Eine gute Lösung braucht Zeit, gutes Engineering und qualitativ hochwertige Komponenten. Wer zu Beginn aus Bequemlichkeit, Ressourcenmangel oder Zeitdruck technische Schulden aufbaut, zahlt dafür lange Zinsen.