Bildnachweis: Poobest/stock.adobe.com
Die Bedeutung der IT-OT-Integration für moderne Produktionsprozesse
In der heutigen digitalisierten Fertigungslandschaft sind OT-Prozesse (Operational Technology) eng mit IT-Prozessen (Informationstechnologie) verzahnt. Diese Verknüpfung bringt sowohl Chancen als auch Herausforderungen im OT-Informationssicherheitsmanagement mit sich, wie die jüngsten Produktionsunterbrechungen bei Volkswagen und Toyota aufgrund von IT-Problemen gezeigt haben.
Dieser Beitrag beleuchtet die Herausforderungen der OT bei der Integration in das Informationssicherheitsmanagement und zeigt Lösungsansätze auf.
Die Notwendigkeit eines integrierten Sicherheitsansatzes
Ein Ausfall von Produktionssystemen hat für Unternehmen enorme Konsequenzen. Daher steht die Verfügbarkeit dieser Systeme an oberster Stelle. Mit den Entwicklungen der Industrie 4.0 können solche Systeme jedoch nicht mehr isoliert betrachtet werden. Die Verknüpfung zur IT nimmt stetig zu, was einen ganzheitlichen Sicherheitsansatz erfordert.
Wesentliche Unterschiede zwischen IT- und OT-Systemen
IT-Systeme
- Dienen primär der Informationsverarbeitung
- Fokussieren auf Eingabe, Bewertung, Verarbeitung und Austausch von Informationen
- Wichtigste Sicherheitsziele: Vertraulichkeit, Integrität und Authentizität
OT-Systeme
- Steuern, regeln und überwachen mechanische Anlagen
- Konzentrieren sich auf Funktionen und Anforderungen der Anlagen
- Oberstes Schutzziel: Verfügbarkeit
IT-OT-Konvergenz und ihre Auswirkungen
Trotz ihrer Unterschiede werden IT und OT zunehmend integriert. Die OT nutzt vermehrt IT-Technologien wie Netzwerkkomponenten oder Verschlüsselungsmethoden. Dies führt zu einer Abkehr von proprietären Komponenten hin zu speziell angepassten IT-Komponenten. Durch den CIM-Ansatz (Computer Integrated Manufacturing) werden IT-Informationen zu kritischen Steuerungsparametern der OT, deren Fehlen ganze Produktionsprozesse stören kann.
Herausforderungen im OT-ISMS
Strukturanalyse in der OT
Die Basis für eine effektive Schutzbedarf- und Risikoanalyse ist eine gründliche Strukturanalyse der Assets. In der OT besteht die Herausforderung darin, Transparenz in hoch komplexe Produktionsumgebungen zu bringen, Wirkzusammenhänge darzustellen und Schatten-IT aufzudecken. OT-Systeme sind oft auf einzelne Prozesse spezialisiert und bestehen aus vielen Komponenten, deren genaue Konfiguration und Betriebssystem-Versionen erst ermittelt werden müssen.
Risikoanalyse und Maßnahmen in der OT
In den Steuerungs- und Feldprozessen der OT sind häufig spezifische Risiken zu berücksichtigen, die eine szenariobasierte Risikobetrachtung erschweren. Die lange Laufzeit von Systemen und Geräten in der OT führt oft zu veralteten, ungepatchten Betriebssystemen, die anfällig für Angriffe sind. Cyberkriminelle haben inzwischen auch für OT-Systeme dedizierte Malware entwickelt.
Der Fokus auf die Verfügbarkeit der OT-Systeme erschwert die Umsetzung klassischer IT-Sicherheitsmaßnahmen wie Virenscanner, Bildschirmsperren, Passwortrichtlinien oder Patchprozesse.
Herausforderungen im ISMS: Was Unternehmen beachten sollten
Lese auch unseren Beitrag über die besonderen Herausforderungen der IT im Informationssicherheitsmanagement, denen Unternehmen jeder Größe gegenüberstehen. →
Praktische Umsetzung und Normative Grundlagen
In der praktischen Umsetzung von Sicherheitsmaßnahmen muss die Organisation oft mit Schwachstellen leben, die aufgrund von Verfügbarkeitsanforderungen und langen Lebenszyklen der OT-Komponenten nicht sofort behoben werden können.
Wichtig ist daher die Implementierung von Ersatzmaßnahmen wie die Abtrennung von OT-Netzen oder die Deaktivierung nicht benötigter Dienste.
Mit der IEC 62443 wurde eine eigene Norm für „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“ etabliert. Bei der Integration der OT in ein ISMS nach DIN ISO/IEC 27001 müssen Bezüge zwischen den Anforderungen beider Normen hergestellt werden.
Ein gemeinsames ISMS für IT und OT
Die zunehmende Verzahnung von IT- und OT-Prozessen macht eine gemeinsame Betrachtung der Informationssicherheit in einem integrierten ISMS notwendig. Dieser Ansatz kann das Sicherheitsniveau der OT signifikant erhöhen, erfordert jedoch eine sorgfältige Planung und ausreichende Ressourcen.
Für ein erfolgreiches OT-ISMS sollten flexible Tools eingesetzt werden, die die unterschiedlichen Anforderungen von OT und IT abbilden können, mehrere Standards parallel bearbeiten und den Austausch zwischen den Verantwortlichen aus OT und IT fördern.
Fazit und Ausblick
Die Integration von IT und OT in ein gemeinsames ISMS ist trotz Herausforderungen ein vielversprechender Ansatz zur Erhöhung des Gesamtsicherheitsniveaus in modernen Produktionsumgebungen. Mit der fortschreitenden Digitalisierung und dem Voranschreiten von Industrie 4.0 wird die Bedeutung dieses integrierten Ansatzes weiter zunehmen. Unternehmen, die frühzeitig in die Harmonisierung ihrer IT- und OT-Sicherheitsstrategien investieren, werden besser gerüstet sein, um den Herausforderungen der Zukunft zu begegnen und ihre Wettbewerbsfähigkeit zu sichern.
Bernd Hampe
ISMS-Praktiker
Bernd Hampe ist OT-Verantwortlicher in einem KRITIS Unternehmen, Informationssicherheitsbeauftragter, Risikoverantwortlicher, Administrator und Anwender. Durch diese vielen Rollen konnte er das ISMS in vielen Facetten erleben. Seine Erfahrungen teilt er gern – in Gesprächen und in der ISMS-Softwareentwicklung.