Suchen

Expertenbeitrag

Christian Koch

Christian Koch

Senior Manager GRC und IoT/OT, NTT Security (Germany) GmbH

Security

IoT- und OT-Sicherung fordern die IT heraus

| Autor/ Redakteur: Christian Koch / Sebastian Human

Der IoT-Siegeszug ist kaum aufzuhalten. Die meisten Unternehmen müssen sich damit beschäftigen, ob sie wollen oder nicht. Und auch die IT ist gefordert, gerade im Hinblick auf das Thema Sicherheit, das bis dato weitgehend vernachlässigt wird.

Firmen zum Thema

Für die Gesamtsicherheit muss die Unternehmens-IT ein Verständnis für die Kernanforderungen der anderen Unternehmensbereiche entwickeln.
Für die Gesamtsicherheit muss die Unternehmens-IT ein Verständnis für die Kernanforderungen der anderen Unternehmensbereiche entwickeln.
( Bild: gemeinfrei / Unsplash )

Unter den Begriff Internet of Things lassen sich im Unternehmensumfeld unterschiedlichste Bereiche subsumieren. Es gibt einerseits die Operational Technology (OT) oder Industrial-IoT-Systeme – etwa aus der Produktionssteuerung und Gebäudetechnik – und andererseits die klassischen IoT-Geräte wie Kameras oder Einzelsensoren.

Für die verschiedenen Bereiche sind meistens auch unterschiedliche Abteilungen verantwortlich: für die Produktionssysteme die Werkleitung in Fabriken, für die Gebäudetechnik das Facility Management und für Kameras und Bewegungsmelder der Werkschutz. Eine Gemeinsamkeit besteht allerdings: Die Verantwortung liegt in aller Regel nicht bei der Unternehmens-IT. Die IT redet mit den anderen Bereichen oft gar nicht oder versteht die Anforderungen der anderen Bereiche nicht, weil sie teilweise stark differieren. Mit dem Zusammenwachsen von IT- und OT-Welt im Rahmen von Digitalisierung und Industrie 4.0 muss es allerdings einen neuen gemeinsamen Nenner geben: die Sicherheit.

Umdenken ist gefordert

Ein Produktionssystem etwa war in der Vergangenheit primär auf Verfügbarkeit ausgelegt. Security war hier nie eine Anforderung – musste es aber früher auch nicht sein, da die Systeme separat vom klassischen Unternehmensnetzwerk betrieben wurden und damit keinen Cyber-Gefahren ausgesetzt waren. Das Verständnis der einzelnen Fachverantwortlichen für Security ist somit historisch bedingt noch nicht vorhanden. Oft sind die spezifischen Kenntnisse auf die jeweiligen Fachthemen begrenzt. Die Werkleitung zum Beispiel ist Profi in der Produktionssteuerung, was auch ihre Hauptaufgabe ist. Und ein Facility Manager hat sich meist noch nie Gedanken darüber gemacht, ob eine Aufzugssteuerung angegriffen werden kann. Und selbst in der klassischen IT ist der Fokus oft nur auf Server, Clients und Netzwerk gerichtet. Oder hat die interne IT schon mal die Sicherheit und den Patch-Status der Klimasteuerung im Rechenzentrum geprüft? Diese Beispiele zeigen die Komplexität des Themas und die Herausforderung.

Zentrale Aufgabe der Unternehmens-IT, die die Gesamtsicherheit verantwortet, ist die Entwicklung eines Verständnisses für die Kernanforderungen der anderen Unternehmensbereiche. Nur dann besteht die Möglichkeit, dass alle Bereiche auf Augenhöhe miteinander kommunizieren. Wenn die IT etwa mit den Standard-ITIL-Prozessen auf Produktionsbereiche zugeht und nicht versteht, dass zum Beispiel Patching in Produktionsnetzen nicht so einfach ist und eventuell auch 15 Jahre alte Systeme betrachtet werden müssen, dann wird letztlich in den Fachbereichen nur ein großer Widerstand gegen die IT aufgebaut.

Zentralisierte Verantwortung

Die fachliche Verantwortung für IoT- und OT-Systeme sollte zwar weiterhin bei den Fachbereichen liegen, aber die Verantwortung für Security im Unternehmen sollte zentralisiert sein. Wichtig ist dabei die Definition zentraler Security-Anforderungen, die allerdings auch die spezifischen Belange der jeweiligen Fachbereiche berücksichtigen. Es gibt zum Beispiel etablierte Normen wie IEC 62443 oder NIST 800-82, um das Risiko von OT-Netzwerken zu bewerten und passende Sicherheitsmaßnahmen zu ergreifen.

Um die einzelnen Unternehmensbereiche adäquat in die Gesamtsicherheitsstrategie einzubinden, lautet die Empfehlung: Etablierung von fachlichen Security-Verantwortlichen in allen Bereichen, etwa der Produktion oder dem Facility Management. Sie bilden die Schnittstelle zwischen zentraler Unternehmenssicherheit und den Fachbereichen und können zentrale Security-Anforderungen in die Sprache der Fachbereiche übersetzen. Mit ihrer Hilfe ist auch eine Bewertung der Umsetzbarkeit von Anforderungen möglich.

Die Regelung von Verantwortlichkeiten ist das eine, die noch größere Herausforderung besteht aber in der Umsetzung technischer Maßnahmen zur Sicherung von IoT und OT. Hier zeigt sich schnell, dass eine extrem hohe Komplexität gegeben ist. Zentraler Grund ist die Vielzahl unterschiedlicher Technologien, Protokolle und Übertragungstechniken, die zu berücksichtigen sind. Wenn es um Auswahl, Implementierung und Betrieb von Security-Lösungen für den IoT- und OT-Bereich geht, sollte jedes Unternehmen deshalb genauestens überprüfen, ob es intern in der Lage ist, diese Aufgaben zu übernehmen. Vielfach kann es durchaus sinnvoll sein, auf externe Unterstützung zurückzugreifen. Ein vertrauenswürdiger Partner etwa bietet spezielle technische Lösungen für IoT- und OT-Umgebungen an und verfügt über spezialisierte Mitarbeiter für die Analyse von Bedrohungen in Produktionsnetzen.

Buchtipp „Cybersicherheit“Das Fachbuch „Cybersicherheit" führt grundlegend und praxisnah an die aktuellen Herausforderungen der IT-Security heran. Dabei werden bewusst neue digitale Entwicklungen, wie die Vernetzung industrieller Maschinen und Anlagen durch Industrie-4.0-Technologien, adressiert. „Cybersicherheit“ kann hier versandkostenfrei oder als eBook bestellt werden.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45870558)

Über den Autor

Christian Koch

Christian Koch

Senior Manager GRC und IoT/OT, NTT Security (Germany) GmbH