Sicherheitsaspekte zum gemeinsamen Betrieb von IT und OT

Die IEC 62264 beschreibt die „Integration von Unternehmens-EDV und Leitsystemen“. In Anlehnung an die bekannten IT (Information Technology) spricht man von OT (Operation Technology) was Gartner wie folgt definiert: OT umfasst die produktionsnahe Steuerung aller operativen Abläufe von Cyber Physical Systems (CPS) in der Smart Factory.

Die OT umfasst alle maschinennahen Funktionen, wie Steuerungen, embedded Systeme bis hin zu Edge-Geräten, auf denen Maschinen- und Produktionsdaten vorverarbeitet und gefiltert werden.

Im Zuge der zunehmenden Digitalisierung der Fertigung hin zur Smart Factory spielt die Kommunikation unterschiedlicher Fertigungseinrichtungen die zentrale Rolle. Maschine-zu-Maschine-Kommunikation (M2M) ist heute Standard oder auch OPC UA (Open Platform Communications Unified Architecture) zwischen den verschiedenen Cyber Physical Systems (CPS). Zunehmend läuft Kommunikation nicht nur in der Produktion ab, sondern auf IIoT (Industrial Internet of Things) Plattformen in eigenen Clouds, oft über öffentliche Netze.

Wichtig ist, zu verstehen, dass sich die Sicherheitsanforderungen von IT und OT erheblich unterscheiden. Ein Ausfall von Produktionsanlagen oder Sicherheitseinrichtungen kann leicht zu Personenschäden führen. Die Maschinen haben teilweise sehr hohe Echtzeitan­forderungen, die im Millisekundenbereich liegen.

Ein weiterer Unterschied ist die Langlebigkeit der Steuerungen. In der Fabrik begegnen uns noch immer Windows 95/98 Systeme, mit einem Betriebssystem, die bereits seit Jahren nicht mehr gepflegt werden und eine Menge Schwachstellen aufweisen.

Die Steuerung in der Produktion sprechen zudem oftmals andere „Sprachen“, Protokolle wie SCADA sind inzwischen auch ein beliebtes Ziel für Cyberangriffe.

Nicht zu vergessen ist auch der starke Druck einen Produktionsstillstand zu vermeiden. Da öffnet man notgedrungen wichtige Schutzmechanismen für „irgendwelche“ Servicepartner.

Dass diese Unterschiedlichkeit einen starken Einfluss auf die Gestaltung der Informationssicherheit zu tun hat, liegt auf der Hand, ebenso wie die Einsicht, nicht alles, was für IT bewährt ist, lässt sich auf die OT übertragen. Ein gutes Beispiel ist die intensive Überprüfung des Datenstroms in der IT, der Echtzeitanforderungen bei der OT entgegensteht.

Es stellt sich somit die Frage, wie gestalte ich OT und IT so, dass ich eine durchgängige Informationssicherheit für mein Unternehmen erhalte – auch wenn ich kein KRITIS-Unternehmen bin? Einige Empfehlungen hierzu spannen einen guten Rahmen auf:

1. In vielen Betrieben ist die Verantwortlichkeit für IT-Sicherheit noch immer gesplittet zwischen IT- und OT-Verantwortlichen. Oft gibt es gar keinen OT- Sicherheitsverantwortlichen. Füllen Sie diese Positionen unbedingt und achten Sie auf Schulterschluss.
2. Vermeiden sie den „Driven by Incident“ Ansatz zur Informationssicherheit frei nach dem Motto: Wir tun was, wenn was passiert. Führen Sie ein durchgängiges – für Ihr Unternehmen passendes – Informationssicherheits-Managementsystem ein. Diese arbeitet dauerhaft und gibt Ihnen gute Hinweise, wo und wie verbessert werden sollte.
3. Machen Sie die Informationssicherheit zur Chefsache. Von nix kommt nix. Ja, es muss investiert werden, in Prozesse, Ausbildung der Mitarbeiter und Sicherheitskomponenten.

Es gibt eine Menge an guten technischen und organisatorischen Maßnahmen. Auf diese wollen wir hier nicht eingehen, sondern eine Handvoll Punkte adressieren, wo wir immer wieder Nachholbedarf feststellen:

• Monitoren Sie die Produktionsgeräte und deren Netze. Die Protokollierung sollte über Gerätedaten (Verfügbarkeit, Leistung, Einstellungen) hinausgehen und die Datenströme mit überwachen. Auffälligkeit sollten angezeigt werden und natürlich muss dann auch sichergestellt werden, dass entsprechend agiert wird.
• Behandeln Sie nicht alle Fertigungseinrichtungen gleich. Es gibt Kernkomponenten, besonders wichtige Geräte. Identifizieren Sie diese und starten Sie mit diesen. Auch hier gilt, vergessen Sie nicht die Netzwerk-, Sicherheits- und Administrationsgeräte. Ein risikobasierter Ansatz hat sich hier bewährt und durchgesetzt.
• Prüfen sie Ihre Netzwerke. Hierzu gibt gute Netzwerkscanner. Am besten rufen Sie Profis zur Hilfe, die nach Schwachstellen scannen und evtl. sogar Penetrationstest durchführen können. An dieser Stelle braucht es eine Menge Erfahrung, damit die Fertigung nicht zum Erliegen kommt. Überlegen Sie sich auch, wie Sie das Produktionsnetzwerk gestalten und sinnvoll segmentieren.
• Investieren sie in ein gutes Benutzermanagement mit definierten Rechten und Rollen. In vielen Fällen macht es Sinn, dass Benutzer mehrere Konten bekommen, nicht nur eines, mit dem sie auf IT und OT zugreifen können, evtl. sogar mit privilegierten Rechten.
• Planen Sie den Servicefall im Voraus. Zunehmend werden Maschinen als Service gemietet, hier ist es unabdingbar genau festzulegen, wie der Zugriff durch den Servicedienstleister von außen erfolgen muss. Diese Zugriffe sollten unbedingt protokolliert werden. Auch für alle anderen Fertigungsmaschinen sollten Sie den remoten Service festlegen (oder auch ausschließen).
• Bilden Sie Ihre Mitarbeiter aus. Auf der Produktionsfläche gilt das Topthema der IT: Gute Security Awareness aller Mitarbeiter ist ein Kernpunkt für nachhaltige und wirksame Informationssicherheit.
• Überlegen Sie sich im Vorfeld die Reaktion auf Sicherheitsvorfälle, machen Sie diese bekannt und testen Sie diese.