In der Industrie gehören IT/OT-Sicherheitslösungen zum unverzichtbaren Bestandteil. (Quelle: Actemium)
Die Industrie ist immer mehr geprägt von Automatisierung, Vernetzung und Digitalisierung. Das Thema Cyber Security darf daher nicht an der IT-Grenze enden, sondern muss auch OT-Systeme wie Maschinen und Anlagen in den Blick nehmen. Auch die Gesetzeslage ist eindeutig: von der KAS-51 über die TRBS 1115-1 bis hin zur anstehenden Überführung von NIS-2 in deutsches Recht. Die Einhaltung dieser und anderer Richtlinien ist entscheidend, um die Sicherheit und Integrität kritischer Infrastrukturen zu gewährleisten. Dafür reicht es allerdings nicht, einfach nur ein Risikomanagement und Cyber-Security-Maßnahmen von oben herab zu implementieren, wie es bislang gang und gäbe ist. Denn bei IT und OT treffen unterschiedliche Welten mit ihren eigenen Bedürfnissen und Vorstellungen aufeinander. Nur ein tiefes und gegenseitiges Verständnis schafft daher die Grundlage für ganzheitliche IT/OT-Sicherheit, die über alle Unternehmensebenen hinweg und von allen Beteiligten tatsächlich gelebt wird.
Die beiden Vinci-Energies-Marken Actemium (OT) und Axians (IT), die auch spezialisierte Security Operations Center (SOC) betreiben, haben daher ein neuartiges Ende-zu-Ende-Konzept entwickelt, das den Wirkungsgrad der Sicherheitsmaßnahmen elementar erhöht. Es folgt einem interdisziplinären Ansatz, der das Silodenken aufbricht und spezifische technische Lösungen so gestaltet, dass dabei auch alle organisatorischen Gegebenheiten eines Unternehmens mitberücksichtigt werden. Zu dem Beratungsangebot „Industrial Guardians“ gehören Workshops, eine Evaluation der Bedürfnisse nach der Maslow-Pyramide und der Rückgriff auf die Methode des „Risk Ownerships“, die auf den Bereich Cyber Security zugeschnitten wurde. Unternehmen erhalten dann auf Basis der technischen, organisatorischen und rechtlichen Anforderungen abgeleitete spezifische Sicherheitslösungen, die die vorliegenden Realitäten optimal abbilden.
Die Crux unterschiedlicher Sicherheitsziele überwinden
IT und OT unterscheiden sich auf vielfältige Weise: von Zugangsregelungen über Patch-Zyklen bis hin zu den Gesamtzykluszeiten. Letztgenannte können bei Industrieanlagen leicht 20 bis 30 Jahre betragen – bei der IT ist es hingegen ein Zeitraum von maximal fünf bis zehn Jahren. Auch die Schutzziele unterscheiden sich sehr stark voneinander: Während sich die IT allem voran auf Daten (Vertraulichkeit, Integrität, Verfügbarkeit) fokussiert, blickt die OT primär auf Menschen, Anlagen und die Umwelt – sprich die funktionale und die Arbeitssicherheit. Spannungen sind daher vorprogrammiert. Eine in der IT als „einfach“ gewertete Sicherheitsmaßnahme wie ein Software-Update oder ein neuer Passwortschutz kann in der OT als unpraktikabel oder sogar als risikobehaftet beurteilt werden. So ist ein möglicher Anlagenstillstand durch das Einspielen neuer Software nicht mit dem Ziel der hundertprozentigen Anlagenverfügbarkeit etwa in der Prozessindustrie vereinbar. Hinzu kommen das Nebeneinander von Altsystemen und Neuanlagen sowie verschiedene Automatisierungs- und Steuerungssysteme (SPS, Scada, MES etc.). All das ist zu berücksichtigen und in Einklang zu bringen.
Dazu müssen Mitarbeitende auf allen Ebenen von IT und OT lernen, die gleiche Sprache zu sprechen, Schnittstellen zu definieren und ihre jeweilige Rolle zu verstehen. Denn insbesondere im industriellen Umfeld ist Cyber Security auch Change-Management: Entscheidend sind daher Dialog, Führung, die Einbindung aller Rollen (vom Maschinen- bis zum Geschäftsführer) und der Aufbau einer gemeinsamen Sicherheitskultur. Nur wenn alle Mitarbeitenden den Nutzen von Sicherheitsmaßnahmen erkennen, wenn sie mitgestalten können und Verantwortung sowie Vertrauen erhalten, werden sie Cyber Security auch leben. Und nur so gelingt es, eine auf ein Unternehmen individuell zugeschnittene Sicherheitsarchitektur zu entwickeln.
Integrative Methodik
Als „Industrial Guardians“ umfasst der Ende-zu-Ende-Service von Actemium und Axians Beratung und Entwicklung, Implementierung und Trainings. Dabei erfolgt in jeder Phase eine enge Abstimmung mit dem Kunden, um die jeweilige Lösung an den individuellen Anforderungen eines Unternehmens und deren Systeme und Anlagen auszurichten. Verschiedene Methoden kommen hier zur Anwendung:
- Workshops:
Mit allen Verantwortlichen (IT, OT, Geschäftsführung) wird zunächst der Status Quo eruiert. Auf dieser Basis lassen sich dann gemeinsam die Rollen, Schnittstellen, technische und rechtliche Anforderungen und Verantwortlichkeiten für das angestrebte IT/OT-Sicherheitskonzept definieren. Dabei hilft der Rückgriff auf die hierarchisch angeordnete Maslowsche Bedürfnispyramide: Mit ihr können die Bedürfnisse der unterschiedlichen Rollen und Funktionen der Mitarbeitenden im Unternehmen nicht nur erkannt werden. Die Mitarbeitenden werden dadurch auch zur aktiven Mitgestaltung motiviert. So steigt das Verständnis gegenüber den Bedürfnissen anderer, das Silodenken bricht auf und Lösungen werden kooperativ erarbeitet.
- Risk Ownership:
Ursprünglich für den Katastrophenschutz entwickelt gehört die Methode des Risk Ownerships mittlerweile auch fest zum Bestandteil betrieblicher Managementsysteme. Actemium und Axians haben diese explizit auf den Bereich Cyber Security zugeschnitten, wodurch Verantwortung klar und nachvollziehbar auf die Mitarbeitenden und ihre jeweiligen Rollen als Risk Owner verteilt werden. So tragen die Leitungen von Produktion und IT genauso ihre Verantwortung für die Cybersicherheit wie ein Maschinenführer oder die Kolleginnen und Kollegen in der Verwaltung. Die Einbindung aller Beteiligten fördert durch Incentivierung eines sicheren Verhaltens den Erfolg von Cyber-Security-Maßnahmen.
- TOM:
Unter Berücksichtigung der zuvor geschaffenen Grundlagen von Verständnis, Bedürfnissen und Verantwortung folgt der nächste Schritt: Abhängig von den individuell in einem Unternehmen genutzten Anlagen und Systemen und den rechtlichen Anforderungen lassen sich geeignete umfassende technisch-organisatorische Maßnahmen (TOM) ableiten und einsetzen. Dazu zählen etwa Lösungen zur Netzwerksegmentierung, Authentifizierung einschließlich Rollen, Rechten und Zugriffssteuerung, das Asset-Management und die Angriffsabwehr. So können etwa Patch-Zyklen so in die Produktion eingebettet werden, um Stillstände auf ein Minimum zu reduzieren.
Systemintegrator als USP
Beim klassischen Weg über IT-Systemhäuser auf der einen und Beratungsgesellschaften auf der anderen Seite fehlt es häufig an Praxiswissen und dem Verständnis, eine Brücke zwischen IT und OT zu schlagen. Als Systemintegratoren und „Blue Color Consultants“ schließen Actemium (OT) und Axians (IT) diese Lücke, indem sie ihre Praxiserfahrung mit der eigens entwickelten integrativen Methodik verbinden. Technisches, organisatorisches und rechtliches Know-how wird dadurch explizit auf den Menschen hin ausgerichtet, um eine ganzheitliche IT/OT-Cyber Security unter den real existierenden Bedingungen zu etablieren. So wird jeder einzelne Mitarbeitende zur wichtigsten Firewall eines Unternehmens.