Dabei sollte dem so wichtigen Austausch zwischen IT- und OT-Fachkräften im Unternehmen genügend Raum verschafft werden. Passend dazu untersuchen wir in diesem Artikel die grundlegenden Herausforderungen, die bei der Integration der Shopfloor Assets in das Informationssicherheits-Managementsystem (ISMS) bestehen und zeigen Strategien auf, mit denen man diese meistern kann.
Die fundamentalen Unterschiede zwischen OT und IT
- Operative Prioritäten
Während IT-Umgebungen in der Regel auf die Vertraulichkeit und Integrität von Daten optimiert werden, stehen in den OT-Netzwerken Verfügbarkeit und Prozessstabilität an erster Stelle. Denn Downtimes in der Produktion wirken sich unmittelbar auf das Geschäft aus und sind nicht mit einem schnellen Systemneustart in der IT zu vergleichen. - Lebenszyklus der Systeme
Der Einsatz von Produktionsanlagen wird aufgrund der hohen Anschaffungskosten über Jahrzehnte hinweg geplant, was zur Folge hat, dass viele heute noch laufende Anlagen hardware- und softwareseitig veraltet sind und nie für eine Vernetzung konzipiert wurden. Im Gegensatz dazu durchlaufen IT-Systeme viel kürzere Lebenszyklen und werden von den Herstellern für die Lebensdauer kontinuierlich mit Updates versorgt. - Netzwerkkommunikation
Industrieanlagen kommunizieren oft mithilfe von spezialisierten Netzwerkprotokollen und Standards, die beispielsweise Verbindungen in Echtzeit mit möglichst niedriger Latenz ermöglichen. Solche Protokolle werden während der Laufzeit der Maschine aufgrund des hohen Aufwands selten aktualisiert und sind nicht mit den IT-Netzwerken kompatibel. So benötigen viele ältere OT-Systeme noch das Server Message Block (SMB) Protokoll in der unsicheren Version SMBv1, während die meisten IT-Systeme mit der aktualisierten SMBv3 arbeiten.Um dennoch eine Überwachung des Netzverkehrs und bidirektionale Kommunikation zwischen den Netzwerken zu ermöglichen, werden Softwaretools wie der edge.SHIELDOR von TRIOVEGA eingesetzt. Die patentierte Lösung für die OT-Sicherheit kann beispielsweise im IT-Netzwerk in SMBv3 vorliegende Dateien in das veraltete SMBv1 umwandeln und mit einem Verzeichnis im OT-Netzwerk synchronisieren. Auch der umgekehrte Weg wird unterstützt. Dabei werden die Dateien fortwährend auf Malwaresignaturen überprüft und auftretende Bedrohungen isoliert. So wird die Kommunikation mit der Anlage möglich, während Sicherheitsrisiken gesenkt werden.
Schlüsselelemente einer erfolgreichen IT/OT-Konvergenz
- Einheitliches Risikomanagement
Die Eigenheiten beider Systemlandschaften müssen gleichermaßen in der Bewertung von Unternehmensrisiken berücksichtigt werden. Ein erfolgreiches Risikomanagement vereint deswegen operative und sicherheitsrelevante Auswirkungen aller IT- und OT-Komponenten in einer gemeinsamen Strategie für das ISMS, die auch die Kommunikation über die Netzwerkränder hinweg einschließt. - Schulungen und Sensibilisierung
Dieses gemeinsame Vorgehen setzt ein gegenseitiges Verständnis für die speziellen Herausforderungen in den IT- und OT-Abteilungen im Unternehmen voraus. Wurde in der Vergangenheit typischerweise jeweils in Silos gearbeitet, müssen die Mitarbeitenden in der Produktion nun für IT-Sicherheitsrisiken sensibilisiert werden, während IT-Personal die besonderen Anforderungen der Produktion verstehen muss. Regelmäßige Schulungen und ein kontinuierlicher Austausch zwischen beiden Bereichen sind essenziell. - Netzwerksegmentierung und Monitoring
Eine strikte Trennung zwischen IT- und OT-Netzwerken ist unverzichtbar, um zu verhindern, dass Malware sich in der gesamten Organisation ausbreiten kann. Traditionelle Ansätze der Netzwerksegmentierung ermöglichen die notwendigen Verbindungen dabei durch offene Ports, die ihrerseits ein Einfallstor für Angriffe darstellen.
Hier können Softwarelösungen wie der edge.SHIELDOR Abhilfe schaffen: Angelehnt an das Air Gap-Konzept wird eine vollständige Trennung zwischen den Netzwerken erreicht, wobei der Datenverkehr zwischen Produktionsanlagen und Unternehmens-IT selektiv über positive oder negative Filterregeln zugelassen wird. Intrusion Detection und Intrusion Prevention Systeme identifizieren und blockieren unerwünschte Kommunikationsversuche. Die Netzwerk-Ports können geschlossen bleiben.
Mit diesen grundlegenden Strategien können Unternehmen die Konvergenz von IT und OT auf effiziente Weise gestalten.
TRIOVEGA ist Teil der Viega Gruppe und begleitet seit über 25 Jahren von den Standorten Lübeck und Braunschweig heraus Industrieunternehmen weltweit dabei, das Potenzial der Digitalisierung sicher und nachhaltig zu erschließen. Das Portfolio umfasst einsatzfertige Produkte und Dienstleistungen zur Steigerung von Produktionssicherheit und Effizienz sowie individuell entwickelte Softwarelösungen, die sich nahtlos in die Wertschöpfungsketten der Kunden integrieren lassen. Mit mehrfach ausgezeichneter Innovationskraft und zertifizierter als auch patentierter Cybersicherheitsexpertise steht TRIOVEGA für partnerschaftliche Zusammenarbeit auf Augenhöhe – von der technischen Beratung über die Umsetzung bis zum After-Sales-Service.
TRIOVEGA GmbH
Kaninchenborn 31
23560 Lübeck
Telefon: +49 (451) 39771-0
https://triovega.com
Senior Marketing Manager
Telefon: +49 451397710
E-Mail: iga@triovega.com
