OT- und IIoT-Umgebungen (Operational Technology, also Maschinen und Anlagen; Industrial Internet of Things), in denen IT-Komponenten steuernd in die "wirkliche Welt" eingreifen, verlangen nach neuen, kreativen Ansätzen für die Sicherheit. Die Unterschiede zur vertrauten IT-Welt beginnen schon bei der Methodik für Statusbestimmungen und umfassende Assessments.
Wenn ein Unternehmen einen Eindruck davon gewinnen will, wie es um die Verletzlichkeit einer seiner Produktionsstätten durch Cyberangriffe und Datenpannen bestellt ist, begibt es sich häufig auf eine Reise in ein unentdecktes Land. Im "Expeditionsmodus" befindet es sich deshalb, weil in vielen Fällen genau diejenigen Ankerpunkte fehlen, an denen sich typische ISO-2700x-, Grundschutz-, Datenschutz- oder PCI-DSS-Assessments verlässlich entlanghangeln können: verantwortliche Personen wie der CISO (Chief Information Security Officer), Security-Administrator oder Datenschutzbeauftragte, vorgegebene Rahmenwerke wie die oben genannten Normen, ISMS-Prozesse (Information-Security-Management-System), Richtlinien, daran gekoppelte Standards und so weiter. Bis heute trifft man bei produzierenden Unternehmen nur selten auf IT-Sicherheitsstrukturen, die auch die Produktionsumgebungen erfassen oder sogar speziell für diese Bereiche ausgelegt sind. Die übliche Vorgehensweise - mit Fragebögen, die Mindestanforderungen enthalten, auf Personen zuzugehen, die Kraft ihrer Rolle die Fragen beantworten können sollten - läuft deshalb ins Leere.
Man muss stattdessen zunächst einmal herausfinden, wer sich im Unternehmen überhaupt schon im weitesten Sinne mit Informationssicherheit in der Produktion und der Widerstandsfähigkeit von Maschinen gegen Cyberangriffe befasst. Bei einem kleinen Mittelständler kann dies durchaus einmal der Hauselektriker sein. Bei größeren Organisationen ist es wahrscheinlich, dass man beim internen Maschinenbau fündig wird, dessen Personal sich zumeist ebenfalls aus den Ausbildungsgängen der Elektrotechnik rekrutiert. Im schlechtesten Fall schrauben die Teams hier und da standardmäßig Hutschienen-Firewalls in Steuerschränke, deren Eignung für eine immer stärkere Vernetzung und Digitalisierung schon seit Jahren niemand mehr ernsthaft überprüft hat. Manchmal aber gibt es durchaus bereits ernstzunehmende Sicherheitsprozesse, von denen die Business-IT und deren Management mangels etablierter Kommunikation mit den Kollegen aus den lauten und staubigen Produktionshallen aber kaum etwas weiß.
Vor diesem Hintergrund lautet der erste Rat für ein OT- oder IIoT-Assessment: Man stelle Vermutungen darüber an, wer sich auf dem unbekannten Terrain der Produktionsstraßen und Roboter bereits in Sachen Cybersicherheit auskennen könnte; dann lade man den so ausgependelten Personenkreis ein, stelle das Assessment-Projekt vor und bitte darum, Ideen vorzutragen und mit ein paar ersten Koordinaten für das weitere Vorgehen auszuhelfen. Keine Agenda!
Gewöhnlich kommen bei solchen Meetings nicht nur Hinweise auf weitere Personen zusammen, die tatsächlich schon an Security-Konzepten arbeiten, sondern auch Geschichten über kuriose Praktiken und Prozesse, etwa unter Einsatz von USB-Sticks, sowie über Fehler der Vergangenheit. Zu letzteren können Erinnerungen an unsensible Eingriffe der IT-Security in die Produktionstechnik gehören. Mitarbeiter fast jeder Produktionsstätte wissen von Fällen zu berichten, in denen beispielsweise erzwungene Patch-Vorgänge das Echtzeitverhalten von Steuerrechnern beeinflussten. Oder man hat die Praktiker an den Anlagen mit Forderungen konfrontiert, die dort beim besten Willen nicht umzusetzen waren.
Zum zwanglosen Start in ein Assessment-Projekt gehört deshalb die glaubhafte Versicherung, kooperativ vorzugehen und auf jeden Fall die Belange der Produktion zu berücksichtigen. Tatsächlich geht die Initiative für eine Statusbestimmung der OT-Sicherheit in den meisten Fällen ja wiederum von der klassischen IT-Security oder den ihr übergeordneten Stellen aus - also von genau jenen Positionen, denen man im OT-Umfeld nicht immer ein tieferes Verständnis für die Arbeit in der Herstellung zutraut.
Das Bewusstsein der OT-Verantwortlichen für die Risiken der zunehmenden Digitalisierung ist dafür oft höher, als man in IT-Kreisen annimmt. Doch den Fachkollegen fehlt es an Möglichkeiten, ihre Bedenken und Ideen zu äußern. Das beste Geschenk der Forschungsreisenden ins unentdeckte OT-Land an deren "Eingeborene" ist es deshalb, das Assessment und die daraus abzuleitenden Maßnahmen als Hilfen für die OT-Verantwortlichen zu konzipieren. Helfen kann dies beispielsweise, um harten künftigen Compliance-Anforderungen zu genügen und die zugehörigen Audits zu bestehen. Über die Qualität der Ergebnisse eines Assessments entscheiden vor diesem Hintergrund oft die Kommunikationstalente der Ausführenden und ihre Bereitschaft, sich auf die Gegebenheiten der fremden OT-Welt und die dort vorherrschenden Perspektiven einzulassen.
Zu den Bereichen eines produzierenden Unternehmens, deren Tun und Lassen einen Einfluss auf die IT-Sicherheit in der Herstellung haben, gehören gewöhnlich:
Von vornherein zu bedenken ist, dass es in großen, international agierenden produzierenden Unternehmen fast immer gewaltige Reifegradunterschiede zwischen Standorten gibt: einerseits solche, die in Europa relativ nah der Firmenzentrale angeordnet sind, andererseits Lokationen weit weg vom Hauptstandort und auf fremden Kontinenten. Im Extremfall fehlt es hier und da an jeglichem Personal, das qualifiziert Auskunft über Sicherheitsbelange geben könnte. Mindestens ebenso stark fallen Differenzen ins Gewicht, die beispielsweise nach Akquisitionen auf Unterschiede in Firmenkulturen zurückgehen. Diese Differenzen sollte man im Rahmen des Assessments - sofern es überhaupt alle Lokationen erfassen kann - von vornherein gut dokumentieren. Denn speziell die Behebung der Maturitätsgefälle erfordert später mit hoher Wahrscheinlichkeit eine eigene Strategie sowie eine Festlegung von Mindeststandards für die Teilnahme einzelner Standorte an Digitalisierungsinitiativen.
Bereits vom ersten Assessment-Gespräch an sollten die Initiatoren auf Personen achten, die sich freiwillig mit Security-Themen befassen oder gute Beobachtungen und Ideen einbringen. IT-Security-Personal mit OT-Affinität ist am Arbeitsmarkt noch seltener zu finden als die ohnehin schon raren IT-Security-Spezialisten. Deshalb ist es sinnvoll, entsprechend engagierte vorhandene Kräfte eventuell für Positionen in einer künftigen OT-Security-Organisation vorzumerken.
Hat das OT-Security-Assessment-Team nach dem oben beschriebenen Modell seine Ansprechpartner in der OT-Sphäre gefunden, kann es gewöhnlich aufatmen. Nach und nach kann es nun nach bewährtem Muster vorhandene Security-Prozesse und -Maßnahmen bewerten und Lücken dokumentieren. Wie man dabei zu einer Orientierungshilfe und Bewertungsmaßstäben kommt, hat der erste Teil dieser Artikelserie beschrieben: Hilfreich sind hier die generellen NIST- und ISO-Rahmenwerke zusammen mit spezifischen Best-Practice-Dokumenten von Branchenverbänden und eventuell dem ICS-Kompendium des BSI. Sie können als Basis für eine der gängigen Ist/Soll-Tabellen dienen.
Fragen, die im Assessment zu klären sind, wurden ebenfalls schon im ersten Teil der Serie aufgelistet. Die zentralen Punkte sind:
In diesem Bereich ähnelt die Erhebung somit dem gewohnten IT-Tagesgeschäft. "Besonders" ist dagegen wieder das, was am Ende an Dokumentationen zu erzeugen ist: Die Tabelle allein und die daraus abgeleitete Prosa reichen in den seltensten Fällen aus.
Serie Aspekte der OT-Security
Im Rahmen dieser Serie befasst sich LANline in loser Folge mit Aspekten moderner OT- und IoT-Sicherheit. Was das IoT-Umfeld betrifft, so stehen dabei keine Geräte im Mittelpunkt, die hauptsächlich von Privatanwendern verwendet werden, sondern professionell eingesetzte Systeme in der Medizin, in der Produktion oder als Komponente von Anlagensteuerungen.
Händeringend gesucht wird erfahrungsgemäß fast immer auch tatkräftige Hilfe bei der Konzeption von Ergebnispräsentationen für Vorstände, Geschäftsführer und mittleres Management. Dabei stoßen die Veranstalter eines Assessments bei den obersten Unternehmensebenen zwar fast immer auf Probleme, die nötigen Sicherheitsbudgets freizusetzen, aber selten auf echtes Unverständnis oder gar Ablehnung. Denn die Führungskräfte sehen sich mit hoher Wahrscheinlichkeit bereits mit recht harten Sicherheitsforderungen der Kunden und Partner konfrontiert.
Schwerer fällt es meist, das mittlere Management zu überzeugen, das häufig schon ähnlich lange im Amt ist, wie die ältesten Produktionsmaschinen laufen. Verständnis für neue Risiken gibt es hier nicht immer, und die Verfügbarkeit der Anlagen und die Produktionszahlen gehen Managern dieser Bereiche verständlicherweise über alles. Zusatzprozesse und hinderliche Vorschriften mögen sie nicht. Die Ergebnisse einer Statuserhebung so zu präsentieren, dass die daraus abgeleiteten Forderungen auch umgesetzt werden, ist vor diesem Hintergrund genau so wichtig zu nehmen wie das Assessment selbst.