OT- und IIoT-Umgebungen (Operational Technology, also Maschinen und Anlagen; Industrial Internet of Things), in denen IT-Komponenten steuernd in die „wirkliche Welt“ eingreifen, verlangen nach neuen, kreativen Ansätzen für die Sicherheit. Die Unterschiede zur vertrauten IT-Welt beginnen schon bei der Methodik für Statusbestimmungen und umfassende Assessments.

Wenn ein Unternehmen einen Eindruck davon gewinnen will, wie es um die Verletzlichkeit einer seiner Produktionsstätten durch Cyberangriffe und Datenpannen bestellt ist, begibt es sich häufig auf eine Reise in ein unentdecktes Land. Im „Expeditionsmodus“ befindet es sich deshalb, weil in vielen Fällen genau diejenigen Ankerpunkte fehlen, an denen sich typische ISO-2700x-, Grundschutz-, Datenschutz- oder PCI-DSS-Assessments verlässlich entlanghangeln können: verantwortliche Personen wie der CISO (Chief Information Security Officer), Security-Administrator oder Datenschutzbeauftragte, vorgegebene Rahmenwerke wie die oben genannten Normen, ISMS-Prozesse (Information-Security-Management-System), Richtlinien, daran gekoppelte Standards und so weiter. Bis heute trifft man bei produzierenden Unternehmen nur selten auf IT-Sicherheitsstrukturen, die auch die Produktionsumgebungen erfassen oder sogar speziell für diese Bereiche ausgelegt sind. Die übliche Vorgehensweise – mit Fragebögen, die Mindestanforderungen enthalten, auf Personen zuzugehen, die Kraft ihrer Rolle die Fragen beantworten können sollten – läuft deshalb ins Leere.

Man muss stattdessen zunächst einmal herausfinden, wer sich im Unternehmen überhaupt schon im weitesten Sinne mit Informationssicherheit in der Produktion und der Widerstandsfähigkeit von Maschinen gegen Cyberangriffe befasst. Bei einem kleinen Mittelständler kann dies durchaus einmal der Hauselektriker sein. Bei größeren Organisationen ist es wahrscheinlich, dass man beim internen Maschinenbau fündig wird, dessen Personal sich zumeist ebenfalls aus den Ausbildungsgängen der Elektrotechnik rekrutiert. Im schlechtesten Fall schrauben die Teams hier und da standardmäßig Hutschienen-Firewalls in Steuerschränke, deren Eignung für eine immer stärkere Vernetzung und Digitalisierung schon seit Jahren niemand mehr ernsthaft überprüft hat. Manchmal aber gibt es durchaus bereits ernstzunehmende Sicherheitsprozesse, von denen die Business-IT und deren Management mangels etablierter Kommunikation mit den Kollegen aus den lauten und staubigen Produktionshallen aber kaum etwas weiß.

Offener Start

Vor diesem Hintergrund lautet der erste Rat für ein OT- oder IIoT-Assessment: Man stelle Vermutungen darüber an, wer sich auf dem unbekannten Terrain der Produktionsstraßen und Roboter bereits in Sachen Cybersicherheit auskennen könnte; dann lade man den so ausgependelten Personenkreis ein, stelle das Assessment-Projekt vor und bitte darum, Ideen vorzutragen und mit ein paar ersten Koordinaten für das weitere Vorgehen auszuhelfen. Keine Agenda!

IT-Fachleute und OT-Personal sehen die gleichen Dinge oft unterschiedlich. Gemeinsame Projekte wie Assessments müssen Kulturunterschiede überbrücken und Verständnis für andere Perspektiven erzeugen. Bild: Weßelmann/Wiele

Gewöhnlich kommen bei solchen Meetings nicht nur Hinweise auf weitere Personen zusammen, die tatsächlich schon an Security-Konzepten arbeiten, sondern auch Geschichten über kuriose Praktiken und Prozesse, etwa unter Einsatz von USB-Sticks, sowie über Fehler der Vergangenheit. Zu letzteren können Erinnerungen an unsensible Eingriffe der IT-Security in die Produktionstechnik gehören. Mitarbeiter fast jeder Produktionsstätte wissen von Fällen zu berichten, in denen beispielsweise erzwungene Patch-Vorgänge das Echtzeitverhalten von Steuerrechnern beeinflussten. Oder man hat die Praktiker an den Anlagen mit Forderungen konfrontiert, die dort beim besten Willen nicht umzusetzen waren.

Kooperatives Vorgehen ist Pflicht

Zum zwanglosen Start in ein Assessment-Projekt gehört deshalb die glaubhafte Versicherung, kooperativ vorzugehen und auf jeden Fall die Belange der Produktion zu berücksichtigen. Tatsächlich geht die Initiative für eine Statusbestimmung der OT-Sicherheit in den meisten Fällen ja wiederum von der klassischen IT-Security oder den ihr übergeordneten Stellen aus – also von genau jenen Positionen, denen man im OT-Umfeld nicht immer ein tieferes Verständnis für die Arbeit in der Herstellung zutraut.

Das Bewusstsein der OT-Verantwortlichen für die Risiken der zunehmenden Digitalisierung ist dafür oft höher, als man in IT-Kreisen annimmt. Doch den Fachkollegen fehlt es an Möglichkeiten, ihre Bedenken und Ideen zu äußern. Das beste Geschenk der Forschungsreisenden ins unentdeckte OT-Land an deren „Eingeborene“ ist es deshalb, das Assessment und die daraus abzuleitenden Maßnahmen als Hilfen für die OT-Verantwortlichen zu konzipieren. Helfen kann dies beispielsweise, um harten künftigen Compliance-Anforderungen zu genügen und die zugehörigen Audits zu bestehen. Über die Qualität der Ergebnisse eines Assessments entscheiden vor diesem Hintergrund oft die Kommunikationstalente der Ausführenden und ihre Bereitschaft, sich auf die Gegebenheiten der fremden OT-Welt und die dort vorherrschenden Perspektiven einzulassen.

Die (un)üblichen Verdächtigen

Zu den Bereichen eines produzierenden Unternehmens, deren Tun und Lassen einen Einfluss auf die IT-Sicherheit in der Herstellung haben, gehören gewöhnlich:

  • Interner Maschinenbau: Rüstet Maschinen mit Sicherheitstechnik aus.
  • Instandhaltung und Wartung: Muss Maschinen auf dem Stand der Technik halten, auch in Sachen Security.
  • Gebäudeverwaltung: Ein Hacker kann Produktionsanlagen auch dadurch beeinflussen, dass er Umweltbedingungen wie Temperatur und Feuchte in einem Gebäude manipuliert.
  • Einkauf und Zulieferer: Kennen die Parameter zugekaufter Maschinen und die Service-Level-Agreements sowie die Praktiken der Fernzugriffe.
  • Standort-Management: Hat großen Einfluss auf die sicherheitsrelevante Praxis vor Ort.
  • Steuerprogramm-Entwicklung: Hier könnten Codemodule manipuliert oder Malware unter legitime Programme geschmuggelt werden.
  • Digitalisierung: Will man hier nur alles schnell ans Netz bringen, oder führt man auch Sicherheitsbetrachtungen durch?
  • Physische Sicherheit: Spielt eine zentrale Rolle für die Zutrittssicherheit.

Von vornherein zu bedenken ist, dass es in großen, international agierenden produzierenden Unternehmen fast immer gewaltige Reifegradunterschiede zwischen Standorten gibt: einerseits solche, die in Europa relativ nah der Firmenzentrale angeordnet sind, andererseits Lokationen weit weg vom Hauptstandort und auf fremden Kontinenten. Im Extremfall fehlt es hier und da an jeglichem Personal, das qualifiziert Auskunft über Sicherheitsbelange geben könnte. Mindestens ebenso stark fallen Differenzen ins Gewicht, die beispielsweise nach Akquisitionen auf Unterschiede in Firmenkulturen zurückgehen. Diese Differenzen sollte man im Rahmen des Assessments – sofern es überhaupt alle Lokationen erfassen kann – von vornherein gut dokumentieren. Denn speziell die Behebung der Maturitätsgefälle erfordert später mit hoher Wahrscheinlichkeit eine eigene Strategie sowie eine Festlegung von Mindeststandards für die Teilnahme einzelner Standorte an Digitalisierungsinitiativen.

Bereits vom ersten Assessment-Gespräch an sollten die Initiatoren auf Personen achten, die sich freiwillig mit Security-Themen befassen oder gute Beobachtungen und Ideen einbringen. IT-Security-Personal mit OT-Affinität ist am Arbeitsmarkt noch seltener zu finden als die ohnehin schon raren IT-Security-Spezialisten. Deshalb ist es sinnvoll, entsprechend engagierte vorhandene Kräfte eventuell für Positionen in einer künftigen OT-Security-Organisation vorzumerken.

Auch wenn eine Produktionsumgebung noch keine Security-Organisation aufweist, gibt es doch viele Abteilungen, die das Sicherheitsniveau beeinflussen. Bild: Weßelmann/Wiele

Hat das OT-Security-Assessment-Team nach dem oben beschriebenen Modell seine Ansprechpartner in der OT-Sphäre gefunden, kann es gewöhnlich aufatmen. Nach und nach kann es nun nach bewährtem Muster vorhandene Security-Prozesse und -Maßnahmen bewerten und Lücken dokumentieren. Wie man dabei zu einer Orientierungshilfe und Bewertungsmaßstäben kommt, hat der erste Teil dieser Artikelserie beschrieben: Hilfreich sind hier die generellen NIST- und ISO-Rahmenwerke zusammen mit spezifischen Best-Practice-Dokumenten von Branchenverbänden und eventuell dem ICS-Kompendium des BSI. Sie können als Basis für eine der gängigen Ist/Soll-Tabellen dienen.

Fragen, die im Assessment zu klären sind, wurden ebenfalls schon im ersten Teil der Serie aufgelistet. Die zentralen Punkte sind:

  • Welche Standorte, Maschinen oder Anlagen lassen sich als getrennte Einheiten behandeln? Gibt es ein Segmentierungskonzept, das diese Strukturen wiedergibt?
  • Gilt für die ermittelten Einheiten ein gemeinsames Risikoniveau oder nicht? Wie lang darf welche Einheit ausfallen, bevor Schaden entsteht, und in welchem Maße sind jeweils Personen gefährdet?
  • Wie hoch ist jeweils das Risiko eines Datendiebstahls direkt am Gerät oder übers Netz?
  • Existieren für die jeweilige Einheit Sicherheitskonzepte, zugewiesene Verantwortlichkeiten und Notfall-Kommunikationswege?
  • Wie hoch ist der Vernetzungs- oder Digitalisierungsgrad?
  • Wie sieht das Fernwartungskonzept aus?
  • Gibt es ein Verfahren für Zutritts- und Zugangssicherheit?
  • Wie alt ist das jeweilige System? Lässt es sich mit Updates und Virenschutz-Software ausstatten oder ist dies ausgeschlossen? Gibt es als Ersatz vorgeschaltete Sicherheits-Gateways?
  • Ist die Steuerung ein zugekauftes System?
  • Erfolgte bei Einführung des Systems/der Anlage eine Sicherheitsprüfung?

In diesem Bereich ähnelt die Erhebung somit dem gewohnten IT-Tagesgeschäft. „Besonders“ ist dagegen wieder das, was am Ende an Dokumentationen zu erzeugen ist: Die Tabelle allein und die daraus abgeleitete Prosa reichen in den seltensten Fällen aus.

Serie Aspekte der OT-Security

Im Rahmen dieser Serie befasst sich LANline in loser Folge mit Aspekten moderner OT- und IoT-Sicherheit. Was das IoT-Umfeld betrifft, so stehen dabei keine Geräte im Mittelpunkt, die hauptsächlich von Privatanwendern verwendet werden, sondern professionell eingesetzte Systeme in der Medizin, in der Produktion oder als Komponente von Anlagensteuerungen.

Die Serie umfasst Beiträge zu folgenden Themen:
  1. Orientierungsrahmen: Scope und Best Practices (siehe LANline 7, S.36ff.)
  2. Assessment-Praxis
  3. Zutritts- und Zugriffs-Management
  4. Ein SOC für IT und OT

Händeringend gesucht wird erfahrungsgemäß fast immer auch tatkräftige Hilfe bei der Konzeption von Ergebnispräsentationen für Vorstände, Geschäftsführer und mittleres Management. Dabei stoßen die Veranstalter eines Assessments bei den obersten Unternehmensebenen zwar fast immer auf Probleme, die nötigen Sicherheitsbudgets freizusetzen, aber selten auf echtes Unverständnis oder gar Ablehnung. Denn die Führungskräfte sehen sich mit hoher Wahrscheinlichkeit bereits mit recht harten Sicherheitsforderungen der Kunden und Partner konfrontiert.

Schwerer fällt es meist, das mittlere Management zu überzeugen, das häufig schon ähnlich lange im Amt ist, wie die ältesten Produktionsmaschinen laufen. Verständnis für neue Risiken gibt es hier nicht immer, und die Verfügbarkeit der Anlagen und die Produktionszahlen gehen Managern dieser Bereiche verständlicherweise über alles. Zusatzprozesse und hinderliche Vorschriften mögen sie nicht. Die Ergebnisse einer Statuserhebung so zu präsentieren, dass die daraus abgeleiteten Forderungen auch umgesetzt werden, ist vor diesem Hintergrund genau so wichtig zu nehmen wie das Assessment selbst.

Bettina Weßelmann ist Beraterin für Unternehmenskommunikation und Fachautorin mit dem Spezialgebiet Informationssicherheit. Dr. Johannes Wiele ist freier Autor und arbeitet als Managing Security Consultant.