OT-Security ist mehr als nur eine gesetzliche und marktgetriebene Verpflichtung, es gehen viele Chancen und Mehrwerte damit einher. Für die erfolgreiche Umsetzung von Maßnahmen, die Ihren Betrieb sicher und zukunftsfähig machen, gibt es Best Practices. Diese stellen wir Ihnen in einer Veranstaltungsreihe bei der all about automation vor.

OT-Security ist in allen Industrieunternehmen auf der Tagesordnung. Mit knappen Ressourcen müssen Lösungen umgesetzt werden, die im eigenen Betrieb funktionieren und die Anforderungen aus der Regulierung erfüllen. Wie kann man die Vielzahl an Security-Themen so angehen, dass Maßnahmen schnell echte Verbesserungen bewirken? Was ist entscheidend, um Projekte erfolgreich abschließen zu können?

Meine Empfehlung aus der Praxis: Betrachten Sie Security im Kontext einer nachhaltigen Entwicklung Ihrer Produktionsinfrastrukturen. Sorgen Sie bei der Umsetzung für die nötigen Grundlagen und behalten Sie das Wesentliche im Blick.

Die digitale Transformation absichern

Die aktuellen Herausforderungen für OT-Infrastrukturen sind vielschichtig. Um wettbewerbsfähig zu bleiben, kommen Unternehmen an einer Modernisierung ihrer Produktionssysteme nicht vorbei. Die Trends in der Automation sind für die Wirtschaftlichkeit entscheidend. Datenbasierte Anwendungen unterstützen z.B. Optimierungen der Produktionsprozesse und ein effizientes Ressourcenmanagement. Die Digitalisierung geht mit einer massiven Zunahme der Komplexität in den Infrastrukturen einher, dabei entstehen immer mehr Aufwände für den Betrieb der IT-Systeme in der Produktion. Besonders im Fokus steht die Absicherung von Legacy-Systemen, die oft keine ausreichende Sicherheitsfunktionalität aufweisen.

Stilisierung Cloud basiertes Working in Betrieben
Die Anforderungen an einen professionalisierten Betrieb nehmen zu. Dabei spielen Security und Transparenz, Standardisierung und klare Verantwortlichkeiten eng zusammen. Bildquelle: SI | Sichere Industrie

NIS2, CRA & Co: OT-Security ist obligatorisch

OT-Security ist längst kein Nice-to-have mehr. Immer mehr Betreiber unterliegen gesetzlichen Anforderungen etwa aus der NIS2 oder der TRBS 1115-1, und mit dem Cyber Resilience Act (CRA) sind nun auch die Hersteller mit im Boot. Security ist eine Gemeinschaftsaufgabe, umso mehr in vernetzten Supply Chains. Im Markt spielt Security inzwischen eine große Rolle, wenn es um die Auswahl der Geschäftspartner geht, denn jedes Unternehmen hat Compliance-Anforderungen zu erfüllen.

Wichtige Grundlagen für erfolgreiche OT-Security-Projekte

Zunächst ist wichtig zu verstehen, dass bei OT-Security spezielle Rahmenbedingungen berücksichtigt werden müssen, die in Produktionsumgebungen vorherrschen:

  • Anders als in der klassischen IT haben Systeme und Komponenten sehr lange Lebensspannen. Das macht die Infrastrukturen heterogen, sie weisen große Unterschiede im Sicherheitsniveau auf. Es gibt viele Bestandssysteme, die lokal nicht ausreichend geschützt werden können.
  • Die Anzahl der Geräte und Schnittstellen wächst in IIoT immer weiter an, die Abhängigkeiten im Produktionsprozess sind komplex und selten klar ersichtlich.
  • Relevante Informationen zu Systemen und wie sie im Produktionsprozess eingebunden sind, existieren oftmals nur in den Köpfen der Betriebsmannschaft. Meist fehlt eine aktuelle und vollständige Dokumentation.
  • Die Produktion läuft im 24/7-Betrieb, Patches und Updates können nicht mal eben aufgespielt werden.
  • Technische Lösungen müssen auf Industrieprotokolle und Echtzeitkommunikation ausgelegt sein.

Geeignete Security-Strategien müssen an die individuellen Anforderungen im Betrieb angepasst werden. Das erfordert eine enge Zusammenarbeit von IT und OT und ein gemeinsames Verständnis für die Besonderheiten und Umstände beider Welten.

Stilisierung von Security Strategien im Meeting
Bildquelle: SI | Sichere Industrie

Was ist eigentlich OT?

Projekte brauchen einen klaren Scope. Deswegen muss grundsätzlich geklärt werden, was im Unternehmen alles zur OT gehört und was nicht. Sind beispielsweise ein Drucker im QS-Labor oder ein Handscanner in der Logistik OT-Assets oder liegt die Betriebsverantwortung dafür bei der IT?

Weil jeder Betrieb individuell aufgebaut ist, muss die Definition der Operational Technology auch individuell festgelegt werden.

Kommen wir zu wichtigen Grundlagen, die nicht nur den Erfolg von OT-Security-Projekten unterstützen, sondern darüber hinaus nachhaltige Mehrwerte liefern:

Grundlage OT-Organisation

Eine OT-Organisation verantwortet den IT-Betrieb in der Produktion. Ein organisatorisch verankerter OT-Fachbereich stellt dafür Ressourcen und IT-nahe Leistungen für die Werke. Für die Leistungserbringung gibt es standardisierte Vorgehensweisen, die Aufwände dafür sind transparent. Die OT-Organisation ist für die strategische Entwicklung der OT-Infrastruktur zuständig und stellt eine saubere Schnittstelle zur OT-Security sicher. Für das Betriebskonzept implementierter Maßnahmen spielt sie eine zentrale Rolle.

Eine OT-Organisation ist eine wichtige Voraussetzung sowohl für einen sicheren Betrieb wachsender heterogener OT-Infrastrukturbestände als auch für ihre nachhaltige technologische Entwicklung. Wie Sie aus bestehenden Strukturen und Personal ihre OT-Organisation entwickeln und passende Prozesse und einen Servicekatalog erarbeiten, darüber sprechen wir in der Veranstaltungsreihe.

Grundlage OT-Asset-Management

Aktuelle Daten und Informationen zu Assets und ihren Zuständen sind essenziell, um Security zu konzipieren und um Maßnahmen erfolgreich umzusetzen. OT-Asset-Management ist ein systemischer Ansatz aus Prozessen, Organisation und Tool, um Assets über ihren gesamten Lebenszyklus professionell zu verwaltet. Dazu gehört eine standardisierte Datenhygiene. Im Asset-Inventar sind relevante grundlegende Daten verfügbar wie z.B. IP-Adresse, MAC-Adresse, Versionsstand, Asset Owner, Standort im Werk, Hersteller und bekannte Schwachstellen. Zusätzlich liefern Meta-Daten den Kontext, um die Rolle eines Assets im Produktionsprozess zu verstehen und Maßnahmen an der Kritikalität ausrichten zu können.

Die Mehrwerte gehen aber weit über die Security-Perspektive hinaus, denn für OT-Asset-Management gibt es Use Cases in vielen Bereichen. Das Engineering oder die Instandhaltung können mit den Informationen aus dem Inventar wesentlich effizienter arbeiten.

Leitfäden nutzen und OT-Security strukturiert umsetzen

Bringen Sie Struktur in Ihre OT-Security-Themen, priorisieren Sie Aufgaben sinnvoll und machen Sie Fortschritte messbar. Wichtige Schritte für die Erarbeitung einer zielgerichteten Security-Strategie sind:

  • Klären Sie Ihre Ausgangslage
  • Definieren Sie, was Sie erreichen wollen
  • Ermitteln Sie Ihren Reifegrad

Für eine konforme Umsetzung von Security-Maßnahmen bieten Standards und Normen, wie die IEC 62443, der BSI IT-Grundschutz sowie branchenspezifische Sicherheitsstandards (B3S) wertvolle Orientierung.

Die Rolle des OT Risk Managements

Nur wenn Sie bestehende Risiken und ihre Auswirkungen auf die kritischen Geschäftsprozesse kennen, können Sie steuern, wie Sie damit umgehen. Deswegen ist ein regelmäßiges OT-Risk-Assessment (RIA – Risk Impact Analysis, BIA – Business Impact Analysis) die Ausgangsbasis, um geeignete Maßnahmen identifizieren oder bei Bedarf entsprechende Anpassungen vorzunehmen.

 Die NIS2 beschreibt Risikobetrachtung als fortwährende Aufgabe, dafür ist Transparenz notwendig und eine Einbettung in ein Managementsystem mit definierten Prozessen.

OT-Risk-Management ist grundlegend, um Ihre Projekte zu priorisieren und mit den bestehenden Ressourcen die größtmögliche Wirkung zu erzielen.

OT-Security-Maßnahmen sinnvoll priorisieren

Steigern Sie ihre Effizienz, indem Sie Hebel nutzen, die Ihr Security-Niveau deutlich erhöhen.

Sicheres OT-Netzwerk

Eine sichere Netzwerkarchitektur ist einer der stärksten Hebel für OT-Security.

Wichtige Maßnahmen, die die Ausbreitung von Schadcode oder Störungen im Netzwerk verhindert, sind:

  • Eine klare Trennung des Unternehmensnetzes vom OT-Netzwerk
  • Segmentierung des Produktionsnetzwerks in logische Zonen mit kontrollierter Kommunikation durch sichere Übergänge
  • Defense-in-Depth-Konzept nach IEC 62442 (Least Privilege, Zero Trust, etc.)

Ein einheitlicher Standard für Remote Access sorgt für sichere Fernwartung. Dabei ist sicherzustellen, dass Zugänge von innen freigeschaltet und auf das zu wartende Asset beschränkt werden.

Sowohl die Entwicklung eines globalen Architekturstandards als auch ein Migrationsprojekt erfordern eine Fülle von Daten und Informationen zu Assets und zu ihrer Verortung im Produktionsprozess. Ein OT-Asset-Management ist deswegen eine wichtige Voraussetzung für den Projekterfolg. Für Ihr Betriebskonzept kommt die OT-Organisation ins Spiel.

Umgang mit Legacy-Systemen

Bestandssysteme, die auf unterschiedlichen Technologien aufsetzen sind in der Produktion der Normalfall. Systeme können auch ohne aktuelle Betriebssystemversion über sehr lange Zeiträume ihren Dienst zuverlässig tun. Damit Legacy-Systeme bei der digitalen Transformation nicht zum Einfallstor für Schadcode werden, muss ihr Betrieb bedarfsgerecht abgesichert werden. Aus dem OT-Asset-Management kommen wichtige Daten für Unternehmensprozesse, die im Kontext eines sicheren Betriebs von Legacy-Systemen eine besondere Rolle spielen wie Lifecycle-Management, Obsolescence-Management, Business-Continuity-Management, etc. Informationen etwa zur Ersatzteilverfügbarkeit sind wichtig, um sinnvolle Entscheidungen auch unter wirtschaftlichen Gesichtspunkten treffen zu können.

Backup & Recovery

Kommt es zu einem Ausfall im Betrieb, dann kann das schnelle Einspielen funktionsfähiger Versionsstände die negativen Folgen begrenzen. Vorausgesetzt, sie sind im Notfall verfügbar. Dafür muss klar sein, welche Daten von wem wo (besonders) gesichert werden müssen.

Die Betriebskontinuität ist eine verpflichtende Anforderung der NIS2. Über den Erfolg einer schnellen Wiederherstellung nach einem Notfall entscheidet nicht Bauchgefühl, sondern Klarheit und Struktur. Dazu sind Prozesse und Vorgehensweiden zu definieren und Verantwortlichkeiten und Rollen zu klären.

Ein Backup- und Recovery-Konzept basiert auf wichtigen Kennzahlen:

  • RPO – Recovery Point Objective: tolerierbarer Datenverlust
  • RTO – Recovery Time Objective: tolerierbare Ausfallzeit kritischer Prozesse

 Auch hierfür ist OT-Asset-Management in einer Schlüsselrolle. Es liefert wichtige Informationen zur Anlagenzugehörigkeit und zu den Abhängigkeiten im Produktionsprozess.

Themen zentral im OT-Security-Programm steuern

Security-Themen unter einem zentralen Dach zu steuern, ist wesentlich sinnvoller – und am Ende erfolgreicher – als einzelne Projekte ohne Einbettung in den übergeordneten Kontext durchzuführen. Ein OT-Security-Programm ist der geeignete organisatorische Rahmen, um Projekte sinnvoll zu priorisieren, geeignete Strukturen zu schaffen und Synergien zu nutzen. Darüber hinaus konsolidiert ein OT-Security-Programm das Management Reporting und schafft einen umfassenden Überblick über messbare Fortschritte bei Ihrer OT-Security-Strategie.

Fazit

Security und Zukunftssicherheit gehen in der OT Hand in Hand. Unternehmen, die ihren OT-Betrieb professionalisieren und für Transparenz, Standardisierung und klare Verantwortlichkeiten sorgen, machen damit auch wichtige Schritte für ihre OT-Security.

Die Praxis zeigt, dass Grundlagen, die dafür gelegt werden, in Projekten wertvolle Zeit sparen und oftmals wesentlich über einen nachhaltigen Projekterfolg entscheiden. Sowohl OT-Asset-Management als auch eine OT-Organisation spielen auch über die Security-Projekt-Perspektive hinaus eine wichtige Rolle für einen effizienten Betrieb und für die Investitionssicherheit.

Ein OT-Security-Programm, das zentral die einzelnen Security-Themen steuert, bietet Struktur und ermöglicht eine sinnvolle Priorisierung Ihrer Projekte. Setzen Sie Ihre vorhandenen wertvollen Ressourcen effizient ein, und erreichen Sie Ihre übergeordnete Zielsetzung.

Verpassen Sie nicht die Veranstaltungsreihe der all about automation, in der wir diese Themen vertiefen und spannende Einblicke aus der Praxis liefern. Wir starten am 16. März mit dem ersten Webinar. Melden Sie sich hier an.

Picture of Max Weidele

Max Weidele

Max Weidele ist Experte für OT-Security und industrielle Cybersecurity mit langjähriger Praxiserfahrung in Produktions- und Infrastrukturumgebungen.

Er unterstützt Unternehmen dabei, zielgerichtete OT-Security-Strategien zu entwickeln und OT-Betriebsmodelle umzusetzen. In Vorträgen und Webinaren vermittelt er komplexe OT-Security-Themen verständlich, praxisnah und umsetzungsorientiert.