Auch wenn sich die Security-Lösungen bei OT und IT unterscheiden, ist es sinnvoll, Security-Konzepte zu implementieren, die übergreifend den Schutz der Daten, Anwendungen und Systeme regeln. Dazu gehören zum einen Bereiche wie der sichere Fernzugriff, die Segmentierung von Netzwerken und das Schwachstellenmanagement, die bei OT und bei IT eine zentrale Rolle spielen. Dazu gehören aber auch Security-Prozesse, die für IT und OT zum Tragen kommen.
Sicherheit für die IT-OT-Konvergenz
Das Zusammenwachsen von IT und OT
Zwischen IT (Informationstechnologie) und OT (Betriebstechnologie) gibt es zunehmend Überschneidungen und Schnittstellen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt als Beispiel für diese Entwicklung einen Bereich der IT, der sich auf die OT auswirken kann:
In industriellen Anlagen, wie der Fabrikautomation oder Prozesssteuerung, zeichnet sich zunehmend der Trend zum Einsatz von Apps auf Smartphones und Tablets ab. Diese werden meist, ähnlich wie konventionelle Human Machine Interfaces (HMI), zur Visualisierung und Parametrierung verwendet. Darüber hinaus gibt es weitere Anwendungsfälle, wie die Integration in Konzepte für Fernwartung und Ferndiagnose.
Die Folgen für die Sicherheit dürfen dabei nicht vergessen werden: App-Schwachstellen und Attacken auf Apps können sich dadurch indirekt auf den OT-Bereich auswirken.
Industrie 4.0 vereint IT und OT
Industrie 4.0 führt dazu, dass IT und OT schmelzen, dass es zur sogenannten IT-OT-Konvergenz kommt. So können zum Beispiel im Rahmen von Industrie 4.0 Daten aus dem OT-Bereich im IT-Bereich analysiert werden. Die IT-OT-Konvergenz bedeutet, dass es keine dauerhafte Trennung mehr zwischen IT und OT gibt, beide Bereiche müssen auch gegen Angriffe geschützt sein, die über den jeweils anderen Bereich erfolgen.
Sicherheit bei Industrie 4.0: IT-Sicherheit und OT-Sicherheit
Empfehlungen von ENISA
Die EU-Agentur für Cybersicherheit ENISA rät zu Maßnahmen zur Absicherung von Industrie 4.0, die IT-Sicherheit und OT-Sicherheit betreffen:
- die Förderung des funktionsübergreifenden Wissens über IT- und OT-Sicherheit
- sichere Supply-Chain-Management-Prozesse für IT und OT (Third-Party-Management, Partner und Lieferanten)
- Training und Awareness für die Sicherheit in IT und OT
- Vergabe definierter Rollen und Berechtigungen für IT und OT
- Entwicklung und Stärkung der Sicherheitskultur in IT und OT
- Management für Konfiguration, Schwachstellen und Notfälle im IT und OT
- spezielle interne Richtlinien für IT- und OT-Anwendungen
Aufgaben einer IT-OT-Sicherheit
Ein übergreifendes Security-Konzept für IT und OT sollte Vorgaben für Aufgaben enthalten, die in beiden Bereichen anfallen und eine Schnittmenge bilden. Dazu gehören:
- IT- und OT-Systeme (Hardware, Software, Anwendungen, Speicher, Netzwerke) identifizieren und gemeinsam verwalten
- Schwachstellen in beiden Bereichen aufspüren, priorisieren und beheben
- Netzwerke nicht komplett trennen, aber segmentieren und überwachen
- Datenverkehr in beiden Bereichen und zwischen den Bereichen überwachen und auswerten, ob es Unregelmäßigkeiten gibt
- Netzwerkzugänge, Anwendungszugriffe und Datenzugriffe auf Basis einer Risikobewertung steuern, wobei die verschiedenen IT-Risiken und OT-Risiken berücksichtigt werden
- Identitäten der Benutzer, Geräte, Maschinen und Anwendungen verwalten und schützen
- Benutzer schulen und sensibilisieren, mit Berücksichtigung der Aufgaben in IT und OT
Übergreifende Schutzfunktionen für IT und OT
Lösungen in Bereichen wie Schwachstellenmanagement, Netzwerküberwachung, Netzwerksegmentierung und Fernzugriffe / Fernwartung haben oftmals die Möglichkeit, bei IT und bei OT zum Einsatz zu kommen:
Das Schwachstellenmanagement dient dabei der Identifizierung von Schwachstellen und der Verwaltung der Planung und Ausführung von Abhilfemaßnahmen (Patching), wo möglich.
Die Netzwerksegmentierung erlaubt die automatische Zuordnung und Segmentierung von OT-Netzwerken und IT-Netzwerken in virtuelle Zonen. Dabei handelt es sich um logische Gruppen von Systemen, die unter normalen Umständen miteinander kommunizieren.
Weiterführende Links
EU-Agentur für Cybersicherheit ENISA
https://www.enisa.europa.eu/