Cybersecurity: OT und IT im Gleichschritt

Know-how bündeln

24. September 2021, 7:00 Uhr | Christian Koch/jos
© Wolfgang Traub

Cyberkriminelle haben die Operational Technology (OT) als lukratives Angriffsziel entdeckt. Viele Betriebe sind auf die Bedrohung nur wenig vorbereitet. Dies gilt vor allem, weil IT- und OT-Verantwortliche unterschiedliche Sichtweisen haben.

Es kann jeden treffen – im Mai war Colonial Pipeline dran, der Betreiber der größten Treibstoff-Pipeline in den USA. Hacker platzierten eine Schadsoftware, die die Computersysteme verschlüsselte und den Betrieb der Pipeline störte. Damit hatten sie Erfolg. Colonial zahlte fünf Millionen Dollar, damit die Angreifer das System wieder entsperrten.

Angriffe mit Ransomware oder anderen Strategien auf Industrieanlagen oder kritische Infrastrukturen passieren täglich, und sie dürften häufiger werden. Die Industrie digitalisiert ihre Geschäftsprozesse entlang der gesamten Wertschöpfungskette, von der Virtualisierung im Produktentstehungsprozess über flexiblere Service- und Geschäftsmodelle bis zu neuen Herstellungsverfahren wie Additive Manufacturing. Durch die Anbindung der Produktionsanlagen und Maschinen an interne Systeme zur Produktionssteuerung oder immer mehr auch an die Cloud steigt das Risiko für Malware und Cyberangriffe.

Verfügbarkeit ist alles

Noch etwas spielt den Angreifern in die Hände: Zwischen den Verantwortlichen für IT und OT gibt es in vielen Unternehmen eine tiefe Kluft, der eine versteht nicht, was der andere sagt und umgekehrt. Dies beginnt damit, dass IT- und OT-Verantwortliche die drei Säulen von Cybersecurity – Verfügbarkeit, Integrität, Vertraulichkeit – unterschiedlich gewichten. Während für IT-Experten die Vertraulichkeit einen hohen Stellenwert genießt, ist sie den Verantwortlichen im Produktionsumfeld ziemlich gleichgültig. Für sie zählen nur drei Aspekte: Verfügbarkeit, Verfügbarkeit und Verfügbarkeit. Die Produktion darf niemals stillstehen, außer in geplanten Wartungsfenstern, die bei Anlagen in der Prozessindustrie, also bei der kontinuierlichen Fertigung etwa von Chemikalien, nur alle paar Jahre anstehen. Die Maxime aus der IT-Welt, Patches möglichst schnell innerhalb von Tagen einzuspielen, ist deshalb bei Produktionsleuten völlig unbekannt.

Dennoch ist den Beteiligten bewusst, dass dies nicht für immer so bleiben kann. Schließlich hat sich durch die Vernetzung von Maschinen untereinander und zunehmend über die Automatisierungspyramide hinweg mit der Office-IT die Angriffsfläche vergrößert, ebenso das Risiko, sich Malware einzufangen, die sich durch das Netzwerk gräbt. An dieser Stelle gibt es die nächste Diskrepanz. Wenn die IT von Vernetzung spricht, meint sie meist sternförmige Netzwerktopologien, die von Switches koordiniert werden. Dort sind Anbieter wie Cisco, HP oder Fortinet die Platzhirsche. Anders in der OT: Dort dominieren Ringtopologien, Feldbusse und Echtzeit-Netzwerke. Den Markt dominieren Siemens, Hirschmann, Phoenix-Contact und andere, mit denen die IT selten zu tun hat. Die Vorliebe für Ringtopologien in der OT rührt daher, dass dort Latenzen und natürlich die Verfügbarkeitsanforderungen sehr kritisch sind. Der Datenaustausch etwa mit einem Roboter muss auf Millisekunden genau sein, Laufzeitverzögerungen können ihn aus dem Takt bringen. IT- und OT-Experten sprechen also eine unterschiedliche Sprache und haben völlig unterschiedliche Vorstellungen von der  Cybersecurity. Angesichts zunehmender Attacken etwa mit Ransomware fühlen sich die IT-Leute in Unternehmen in der Pflicht, ihren OT-Kollegen die Gefahren zu erklären und Lösungsvorschläge zu machen. Dies kann von ihnen jedoch schnell als oberlehrerhaft aufgefasst und abgeblockt werden. Das Totschlagargument der OT lautet dann: Die Produktion sorgt für den Umsatz des Unternehmens, nicht die IT.

Unterschiedliche Sprachen

Um den Knoten zu durchschlagen, richten einige Unternehmen Schnittstelleneinheiten ein, die zwischen IT und OT vermitteln. Erfahrungsgemäß funktioniert dies meist gut. In solchen Zirkeln müssen beide Seiten aufeinander zugehen. Die OT muss sich öffnen und ihr Know-how preisgeben. Die IT muss die funktionale Sichtweise der OT akzeptieren und ihr Know-how entsprechend anpassen. Wenn die OT zum Beispiel einen Server aufsetzt, sollte sie die IT dazu holen und ein Sicherheitskonzept erstellen, das für beide passt und bei dem die IT-Kollegen nicht die Hände über dem Kopf zusammenschlagen.

Die IT und die Security-Abteilungen können auch ein wichtiger Partner sein bei Verhandlungen mit den Lieferanten von Steuerungen und Anlagen. Fragt man OT-Leute, warum sie eine Anlage so und nicht anders vernetzen, kommt als Antwort meist: Weil es der Hersteller so vorgibt  oder man es  immer schon so gemacht hat. Angesichts neuer Bedrohungen ist dies jedoch unbefriedigend. Die IT kann kritisch hinterfragen und die Hersteller zusammen mit dem Einkauf dazu verpflichten, mehr für eine moderne Cybersicherheit zu tun, damit sich die OT-Kollegen nichts aufzwingen lassen.

 

Anbieter zum Thema

zu Matchmaker+

  1. Know-how bündeln
  2. Malware schon bei Auslieferung

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Cirquent GmbH

Weitere Artikel zu Cybercrime

Weitere Artikel zu Bedrohungsabwehr

Weitere Artikel zu Dr.E. Horn GmbH Messgerätefabrik

Weitere Artikel zu InFocus GmbH

Matchmaker+