Vor einigen Jahren war ich auf Geschäftsreise im Nahen Osten. Einer unserer Ansprechpartner vor Ort fragte mich, ob ich Zeit für einen ungewöhnlichen Geschäftstermin hätte. Mein Interesse war geweckt und ich fragte nach, was denn so ungewöhnlich an diesem Treffen wäre. Wie sich herausstellte, hatte einer unserer Kunden aus dem Energiesektor zwei CISOs: Einer war für die klassische IT-Sicherheit (Informationstechnologie) verantwortlich, während ein zweiter CISO die Sicherheit der operativen Technologie (OT) im Unternehmen überwachte. Das Problem: Sie sprachen nicht miteinander. Das machte es dem lokalen Ansprechpartner sehr schwer, ein konstruktives Gespräch zu führen.

Zwar ist dieser Fall absoluter Funkstille zwischen den Beteiligten eine wirkliche Ausnahme, aber Meinungsverschiedenheiten über die technische Ausrichtung von IT- und OT-Teams sind durchaus nicht selten. Das liegt zum Teil daran, dass wichtige Geschäftsziele und Konzepte in beiden Technikbereichen ganz unterschiedlich ausfallen können.

OT (Operational Technology)

Operational Technology (OT) könnte man als den „ungeschminkten“ Teil im Unternehmensbetrieb bezeichnen. OT-Umgebungen beherbergen in der Regel industrielle Steuerungssysteme (ICS, Industrial Control Systems) sowie speicherprogrammierbare Steuerungen (SPS) und SCADA-Systeme (Supervisory Control and Data Acquisition). Diese Systeme steuern eine Vielzahl von Funktionen, wie zum Beispiel:

  • Roboter-Automatisierung in der Fertigung
  • Temperatursteuerung im Kernreaktor eines Kraftwerks
  • Steuerventil-Management für das Wasserleitsystem einer Stadt

Gründe für den steigenden Bedarf an Cybersicherheit in der OT

1. Neue Technologien wie IIoT

Viele der oben genannten Funktionen übernehmen im Industrial Internet of Things (IIoT) immer mehr Überwachungs- und Steuerungsaufgaben. Allerdings wurden diese Systeme nur für den Betrieb in geschützten Umgebungen entwickelt und vorgesehen. Zwar waren sichere und zuverlässige Funktionen dabei eine wichtige Anforderung, aber die Verbindung zum Internet eben nicht – zumindest nicht am Anfang. Legacy-OT wurde fast ausnahmslos in geschlossenen Systemen eingesetzt, die Angreifer fernhielten.

2. Nachfrage nach mehr „Verfügbarkeit“

Die drei primären IT-Schutzziele der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Aus OT-Sicht hat Verfügbarkeit dabei die oberste Priorität, weil Vertraulichkeit und Integrität in einem geschlossenen System leichter einzuhalten sind. Wenn Ihr Unternehmen auf die Funktionsfähigkeit einer Fertigungslinie oder Bohranlage angewiesen ist, rückt die Verfügbarkeit automatisch auf der Prioritätenliste ganz nach oben. Daraus ergeben sich einige Kompromisse, die bei IT-Verantwortlichen für Erstaunen sorgen würden.

In der klassischen IT beispielsweise ist das Patch-Management ein kontinuierlicher Prozess. Die meisten Endbenutzergeräte werden so konfiguriert, dass sich Betriebssysteme und Anwendungen automatisch aktualisieren lassen, wenn Hersteller einen neuen Patch veröffentlichen. Bei Servern und anderen Produktionssystemen gibt es in der Regel entsprechende Service Level Agreements (SLA) für die Tests und Bereitstellung solcher Patches innerhalb von rund 30 Tagen. Nur bei Sicherheitspatches mit einem hohen und kritischen Schweregrad wird das nicht immer möglich sein. Durch die Arbeit mit einem Patch-Programm wissen IT-Administratoren jedoch, dass nicht alle Patch-Zyklen reibungslos verlaufen — gerade wenn es um Produktionsserver geht, auf denen kritische Workflows ausgeführt werden.

In der einst abgeschotteten OT-Welt mit dem Schwerpunkt auf Verfügbarkeit erfolgen Update-Patches fast nie automatisch. Stattdessen werden Patches immer wieder getestet, um sicherzustellen, dass es bei der Anwendung auf keinen Fall zu einer Betriebsunterbrechung kommt. Mitunter werden einzelne Patches gar nicht erst eingespielt, wenn sie sich störend auf den Betrieb auswirken könnten. Darüber hinaus warnen einige ICS-Hersteller explizit, dass mit der Installation eines Patches oder der Aktualisierung des Betriebssystems die Garantie für das Gerät erlischt. In stark regulierten Branchen wie dem Gesundheitswesen kann ein Upgrade oder Patch für ein veraltetes Betriebssystem auch dazu führen, dass bestimmte Medizintechnik nicht mehr als zugelassenes Gerät zertifiziert wird.

Konflikte zwischen IT und OT

Schon anhand der oben aufgeführten Beispiele bekommt man ein besseres Verständnis dafür, warum IT- und OT-Führungskräfte die IT-Governance in ihren Aufgabenbereichen ganz unterschiedlich betrachten. IT-Umgebungen stehen als Front-Office in unmittelbarem Kontakt zum Kunden und haben sich parallel zur wachsendenden Nutzung des Internets in der Wirtschaft etabliert und weiterentwickelt. Das bedeutet, dass IT-Systeme über Jahre hinweg auf die Anforderungen einer hypervernetzten Welt angepasst wurden. Allein aus diesem Grund unterscheidet sich die Denkweise der IT-Abteilung ganz grundsätzlich von der klassischen OT, die mit geschlossenen Systemen arbeitet.

IT/OT-Konvergenz zum beiderseitigen Erfolg

Heutige OT-Netzwerke sind keine Insellösungen, die nach außen isoliert und dadurch geschützt sind. Selbst hochsensible OT-Systeme lassen sich mittlerweile per IT-Fernverwaltung oder Remote-Zugriff ansteuern. Mit Shodan gibt es sogar eine Webseite, die mit dem Internet verbundene Geräte anzeigt — viele davon sind ICS- und IIoT-Systeme. IT-Teams können OT-Managern also eine Fülle von IT-Support-Tools zur Verfügung stellen, um die Absicherung vernetzter Steuerungssysteme zu unterstützen.

Patchen ist ein weiterer Aufgabenbereich, von dem beide Seiten profitieren können. Zwar versuchen IT-Administratoren stets, Aktualisierungen so schnell wie möglich durchzuführen, aber alle IT-Verantwortlichen haben auch schon mit Legacy-Systemen gearbeitet, die nicht gepatcht oder aktualisiert werden konnten. Klassische IT-Kontrollen wie Segmentierung, strenge Zugriffskontrolle und lückenlose Überwachung sorgen dann für den notwenigen Schutz von alten Systemen, die nicht gepatcht werden können. Ein ähnlicher Ansatz könnte in OT-Umgebungen ebenfalls ratsam sein, um die Angriffsfläche von nicht gepatchten Anwendungen und EOL-Betriebssystemen (End of Life) zu verringern.

Auswirkungen der IT/OT-Konvergenz: Ansätze für eine bessere Zusammenarbeit

Obwohl sich IT und OT auf unterschiedliche Weise entwickelt haben, kann die Konvergenz beider Seiten von erheblichem Vorteil sein. OT-Teams zeichnen sich dadurch aus, dass sie die Verfügbarkeit aufrechterhalten und verstehen, wie man strenge Sicherheitskontrollen und -anpassungen bei Systemen anwendet, deren Ausfall existenzielle Auswirkungen zur Folge haben können. In der IT haben die Verantwortlichen viele Jahre damit verbracht, vernetzte Systeme vor Angreifern zu schützen. Diese Erfahrungen können sie an ihre OT-Kollegen weitergeben, um moderne IT-Sicherheitsansätze ohne Einschränkungen bei der Verfügbarkeit oder Zuverlässigkeit kritischer Systeme umzusetzen.

Das bringt mich zurück zum besagten Treffen der beiden CISOs mit IT- und OT-Hintergrund. Sie hatten diesem Treffen zwar zugestimmt, aber als ich den Raum betrat, war bereits an ihrer Körpersprache erkennbar, dass ihre Vorfreude auf ein gemeinsames Gespräch mehr als begrenzt war. Meine erste Frage an beide CISOs war daher einfach, was aus ihrer Sicht das größte und folgenreichste Risiko für Ihr Unternehmen sei. Beide antworteten ganz ähnlich: „Ein Sicherheitsverstoß oder ein Vorfall, der die Existenz des Unternehmens gefährdet oder zumindest zu starken Umsatzverlusten führt“. Damit hatten wir eine gemeinsame Basis für die Zusammenarbeit. Die Ausgestaltung eines solchen Vorfalls und die Auswirkungen können für die OT und IT ganz unterschiedlich sein, aber als CISO ist das wichtigste Ziel, die Sicherheit des Unternehmens und der eigenen Kunden zu gewährleisten. IT/OT-Konvergenz beschreibt den gemeinsamen Weg, Systeme der Informationstechnologie und der Betriebstechnologie zusammenzuführen.

Klicken Sie hier, um mehr über OT-Sicherheitslösungen zu erfahren. Weitere Sicherheitserkenntnisse über IT/OT-Konvergenz erhalten Sie in diesem On-Demand-Webinar.

Photograph of Diana Kelley

Diana Kelley, CTO | Executive Mentor | Research Analyst | Keynote Speaker

Diana Kelley’s security career spans over 30 years. She is Co-Founder and CTO of SecurityCurve and donates much of her time to volunteer work in the cybersecurity community, including serving on the ACM Ethics & Plagiarism Committee, as CTO and Board member at Sightline Security, Board member and Inclusion Working Group champion at WiCyS, Cybersecurity Committee Advisor at CompTIA, and RSAC US Program Committee. Diana produces the #MyCyberWhy series, hosts BrightTALK’s The Security Balancing Act, and is a Principal Consulting Analyst with TechVision Research and a member of The Analyst Syndicate. She was the Cybersecurity Field CTO for Microsoft, Global Executive Security Advisor at IBM Security, GM at Symantec, VP at Burton Group (now Gartner), and a Manager at KPMG. She is a sought after keynote speaker, the co-author of the book Cryptographic Libraries for Developers, has been a lecturer at Boston College's Masters program in cybersecurity, the EWF 2020 Executive of the Year, and one of Cybersecurity Ventures 100 Fascinating Females Fighting Cybercrime.

Auf dem Laufenden bleiben

Melden Sie sich für den BeyondTrust Newsletter an.. Sie können sich jederzeit abmelden.

Ich bin damit einverstanden, Mitteilungen über die Produkte von BeyondTrust zu erhalten, wie es in der Datenschutzrichtlinie von BeyondTrust beschrieben ist und ich kann jederzeit meine Präferenzen verwalten oder meine Zustimmung widerrufen.


Up next

Prefers reduced motion setting detected. Animations will now be reduced as a result.