Operational Technology

OT – schöne neue Welt mit Sicherheitsrisiko

Operational Technology (OT) ist ein Begriff, der von einfachen bis hin zu hoch komplexen Anwendungen alles umfassen kann: Autoelektronik, die Daten über das Internet übermittelt oder gesamte Produktionssysteme. Auch die Integration von Maschinen in Businessprozesse nimmt zu. Beispiele hierfür sind ERP-Systeme oder auch Predictive Maintanance, wobei Mess- und Produktionsdaten aus Maschinen und Anlagen gewonnen werden, um diese proaktiv warten zu können.

Durch Operational Technology – die schöne neue Welt – gestaltet sich die Situation heute so, dass jede Maschine und quasi jeder Sensor, der neu verbaut wird, mit einem anderen und auch mit dem Internet kommunizieren kann. 

Entwicklungs-, Produktions- und Logistikprozesse können dadurch optimiert, Daten an andere Systeme gesendet und Maschinen auch aus der Ferne gewartet werden. 

Operational Technology als Sicherheitsrisiko

OT birgt großes Potenzial, um die Produktivität zu steigern und Kosten sowie Ressourcen zu sparen. Mit neuen Verbindungen, die früher nicht existiert haben, hat es für alle Branchen die Tür geöffnet für innovative neue Dienste und Produkte, birgt allerdings auch Risiken in Sachen IT-Sicherheit. Nicht nur, weil bei OT-Lösungen häufig Sicherheitsmechanismen zugunsten von Funktionalität vernachlässigt werden. Neben den neuen vernetzten Systemen existieren auch ältere Systeme weiterhin in ihrer bisherigen Insellage. 

Die Mischung zwischen modernen Systemen und denen, die in die Jahre gekommenen sind, birgt ein zusätzliches Sicherheitsrisiko. Unternehmen stehen vor der Herausforderung, alle Komponenten entsprechend zu schützen – und das sehr oft in Koexistenz. Was es dazu bedarf, sind neue Sicherheitsstrategien, um das Risiko von Hackerangriffen zu minimieren, die ansonsten in Produktionsabläufe eingreifen und auf geschäftskritische Daten zugreifen können.

Wichtig ist es daher zunächst, sich als Unternehmen einen Überblick über die IT-Infrastruktur zu verschaffen, um zu wissen, welche Geräte miteinander und mit dem Netzwerk verbunden sind und welche Systeme ihr altes Inseldasein fristen. 

Moderne und alte Systeme benötigen unterschiedliche Absicherung

Auch auf ältere Systeme wollen und müssen Mitarbeiter für Wartungen zugreifen. Dabei besteht häufig die Herausforderung, dass diese oft keine Sicherheitsupdates mehr erhalten können, da die darunterliegende Hardware beziehungsweise Software dies nicht zulassen. Grundsätzlich ist daher der richtige Ansatz bei älterer Hard- und Software das Minimalprinzip. Sie sollte weitgehend isoliert werden, damit sie nicht zu vielen Angriffsvektoren ausgesetzt ist. Eine Öffnung sollte nur so weit geschehen, wie sie unbedingt notwendig ist. 

Bei neuen OT-Systemen ist die Kommunikation mit ERPs und Online-Plattformen sowie Updateservern und dem Internet allerdings unabdingbar. Bei diesen ist daher eine Öffnung notwendig, die von entsprechenden Schutzmechanismen begleitet werden muss. 

Aufgrund der unterschiedlichen Anforderungen und Ausrichtungen sollten neuere Systeme sinnvollerweise von älteren getrennt und separat gesichert werden. Das bringt allerdings die Herausforderung mit sich, dass alles – von relativ weit geöffnet bis hin zu stark isoliert – im gleichen Netz abgebildet werden muss. 

IT-Sicherheit muss über die Firewall hinausgedacht werden

Dies gelingt im OT-Bereich nur, wenn man bezüglich der Absicherung alle Netzwerkschichten einbezieht. So kann die Netzwerksegmentierung durch Private VLANs in Kombination mit Network Access Control (NAC) im LAN und WLAN die Sicherheit erheblich verbessern. Klassische und NextGen Firewall-Ansätze müssen dann die Netzwerkübergänge schützen.

Leistungsstarke und funktionsreiche Switches, die sichere Link-Verschlüsselungen und Hyper-Segmentierung ermöglichen, schützen das Produktionsnetz vor Bedrohungen. Eine optimale Zugangskontrolllösung bietet Unternehmen zudem eine zentrale, detaillierte Sichtbarkeit und die Kontrolle über alle Endpunkte in Netzwerken. Die passende Firewall mit entsprechenden Sicherheitsfunktionen und einem auf Unternehmensbedürfnisse zugeschnittenes Regelwerk, rundet das Sicherheitskonzept ab.

indevis arbeitet in diesen Bereichen mit verschiedenen Herstellern zusammen, die Sicherheitsmechanismen für neue und alte Systeme abbilden können und sich gut ergänzen. 

Eine Risikoanalyse als Basis für individuelle Sicherheitslösungen

Es reicht allerdings nicht aus, nur über passende Herstellerlösungen zu sprechen. Nicht in jedem Fall werden beispielsweise Next Generation Features benötigt, sondern zum Teil auch eigene Protokolle. Nur auf Basis einer Risikoanalyse kann die gesamte nötige sicherheitstechnische Bandbreite in einem einzigen Netz abgedeckt werden: für Systeme, die maximal abgeschottet werden müssen bis hin zu einer idealen Öffnung der OT-basierten Systeme. 

indevis kann flexibel auf unterschiedliche Anforderungen reagieren und die individuell benötigten Features durch entsprechende Services abbilden. Damit bieten wir Unternehmen eine für sie sinnvolle Kombination: für die alte Welt mit ihren alten Protokollen, über die beispielsweise Maschinen gesteuert werden und für die neuen Welt mit neuen Protokollen. 

Fazit: Die Herausforderungen, die Operational Technology mit sich bringt, lassen sich nicht oberflächlich durch die Absicherung mit Hilfe einer Firewall lösen. Damit die ganze Gefahren-Bandbreite adressiert werden kann, müssen die Sicherheitsmechanismen auch Switch, Netzwerk-Port und WLAN-SSID umfassen.
 

Wolfgang Kurz
Wolfgang Kurz

CEO, indevis

Kontakt

indevis IT-Consulting
and Solutions GmbH

Irschenhauser Str. 10
81379 München

Telefon:
+49 (89) 45 24 24-100

Oder über unser Kontaktformular.

Sie erreichen uns von Montag bis Freitag von 8 bis 18 Uhr.

indevis IT-Security News

Bleiben Sie auf dem Laufenden mit unserem informativen monatlichen Newsletter.

Tragen Sie sich einfach in den Verteiler ein:

Hier abonnieren!