OT-Security: Ein Dialog zwischen IT und OT

    Sarah Kolberg | Februar 29, 2024

    Um zeitgemäße Cybersecurity-Konzepte auch in OT-Umgebungen umzusetzen, müssen einige Hürden überwunden werden. Die IT-Security ist hier in einer Vorreiterrolle, denn der erste Computer-Virus „Creeper“ trieb bereits in den 1970ern sein Unwesen. Seitjeher besteht ein Schlagabtausch zwischen neuen Angriffsmethoden und IT-Sicherheitslösungen. Die Awareness für Bedrohungen durch Cyberkriminalität wächst langsam auch bei den OT-Verantwortlichen, denn die Anzahl von Cyber-Attacken auf Betriebe steigt stetig. Zudem ist es mit Blick auf verschiedene Regularien sowie die IT-OT-Konvergenz unabdingbar, dass die Cybersecurity auch ihren Weg in die Betriebe findet. Damit dies gelingt braucht es einen Dialog zwischen IT & OT.

    Verschiedene Security-Verständnisse

    Zwischen Informationstechnik und Betriebstechnik besteht eine gewisse Diskrepanz im Sinne der Erwartungshaltung an Security. Während in der IT-Sicherheit Datenintegrität höchste Priorität hat, bedeutet Security in OT vor allem Systemverfügbarkeit und Safety: Der kontinuierliche, störungsfreie Betrieb darf nicht gefährdet werden. Außerdem ist insbesondere in Fabrikanlagen oder in sonstigen Bereichen, wo es zu Mensch-Maschinen-Kontakt kommt, die physische Unversehrtheit der Personen zu garantieren.

    Bei IT und OT treffen zwei verschiedene Welten aufeinander und entsprechend auch unterschiedliche Fachkräfte. Die Expertise und Fachtermini unterscheiden sich. Eine gemeinsame Sprache zu finden, um Bedürfnisse und Anforderungen der Systeme klar zu formulieren, wird daher schnell zur Herausforderung. Außerdem ist OT nicht gleich OT. Jede Branche hat eigene Standards und Ansprüche.

    Herausforderungen der Betriebstechnik

    Eine große Herausforderung der OT-Sicherheit sind die historisch gewachsenen Infrastrukturen sowie die langen Lebenszyklen der Technik. So finden sich in Fabriken häufig Geräte wieder, die seit 20 Jahren kontinuierlich laufen. Die OT-Systeme sind in ihrer ursprünglichen Entwicklung nicht darauf ausgelegt, an das Netz angebunden zu werden. Diese Lücke zu schließen und Betriebe entsprechend des neusten Stands der Technik abzusichern, ist die zentrale Aufgabe der OT-Security.

    Die verwendete Software ist zum Teil hochspezifisch und kommuniziert über für die IT untypische Protokolle. Welche Komponenten dabei miteinander kommunizieren, ist häufig nicht transparent. Jedoch kann nur abgesichert werden, was bekannt ist. Der erste Schritt ist es, Transparenz in der Operational Technology zu schaffen. Das bedeutet einerseits einen Überblick über den Zustand der Maschinen sowie sonstigen Assets zu erlangen als auch über deren Kommunikation. Mit Blick auf die langen Lebenszyklen ist Software nicht nur branchenspezifisch, sondern zum Teil auch extrem veraltet. So findet sich in der ein oder anderen Industrieanlage ein verstaubter Rechner wieder, auf dem das Betriebssystem Windows XP läuft. Moderne Sicherheitslösungen aus der IT-Security können solche Strukturen maßlos überfordern. Es ist also wichtig, Sicherheitskonzepte zu entwickeln, die auch Alt-Systeme absichern.

    Generell gilt: In der OT finden sich hochverwundbare Systeme. Kleinste Veränderungen können zu Systemausfällen führen. Es ist von besonderer Wichtigkeit, dass Sicherheitsmaßnahmen den Betrieb nicht gefährden, denn ist der Ablauf einmal unterbrochen, kann dies weitreichende, kostspielige Folgen nach sich ziehen. In mancherlei Hinsicht kann dies Security-Vorhaben behindern. Denn Instrumente wie Penetrationstest könnten Störungen oder gar Ausfälle nach sich ziehen und sind daher häufig keine Option.

    Gemeinsam OT-Security-Lösungen schaffen

    Mann und Frau in Schutzkleidung im Gespräch

    Um passende Lösungskonzepte für die Cybersecurity in OT zu entwickeln, müssen IT-Verantwortliche ein Verständnis für OT-Systeme entwickeln. Häufig sind es bereits initiale Prozesse wie Risikoanalysen, die für OT neu gedacht werden müssen. Auch Hersteller und Kundenunternehmen müssen in Kontakt treten. OT-Systeme sind hochgradig divers, weshalb meist keine One-fits-all-Lösung angeboten werden kann. 

    Stichwort: Customizing! Die Sicherheitslösungen müssen auf die Bedürfnisse der Betriebe angepasst werden. Die Technologien existieren dabei oft schon und müssen lediglich zugeschnitten werden. Besonders erfolgsversprechend sind minimalinvasive Produkte, die sukzessive für eine Erhöhung der Cybersecurity sorgen. In einem OT-Netzwerk ist die Neueinführung von Lösungen meist mit hohem Planungsaufwand und Umbauten verbunden. Eine einfache Handhabung sowie Integration von Sicherheitslösungen ist daher meist ein starkes Entscheidungskriterium.

    Zweiter Frühling in OT für Post-Connect NAC von macmon

    Die verschiedenen Anforderungen von OT und IT zeigen sich auch in der Nachfrage unserer Network Access Control-Lösung macmon NAC. So wird in der IT mittlerweile meist der 802.1X-Standard für NAC gefordert, denn er verspricht ein hohes Cybersecurity-Level. Die Wartung des damit einhergehenden RADIUS-Servers ist jedoch anspruchsvoll und fehleranfällig. Das kann in der Betriebstechnik problematisch sein. Einerseits verfügt das verantwortliche Personal häufig nicht über das notwendige Knowhow. Andererseits ist alles, was eine Gefährdung für den Betriebsablauf darstellt, zu unterbinden. Zudem unterstützen Maschinen und Anlagen den Standard oft nicht.

    Jochen Füllgraf
    Product Manager macmon NAC, Belden Inc.

    „Reaktives NAC erlebt in OT seinen zweiten Frühling.“ 

    macmon NAC bietet jedoch auch eine SNMP-basierte Lösung an – ein Protokoll, das auch die meisten OT-Systeme unterstützen. Post-Connect NAC ermöglicht ein passives Monitoring und eine reaktive Funktionsweise. Hiermit lassen sich Compliance-Richtlinien schrittweise umsetzen, ohne den Betrieb zu gefährden. Wie mit bestimmten sicherheitsrelevanten Ereignissen umgegangen werden soll, kann individuell festgelegt werden. Die Security Solution ist hersteller- und infrastrukturunabhängig und erfordert keine Neuanschaffungen oder Umbauten. macmon NAC gilt als die einfachste NAC-Lösung in Handhabung und Implementierung am Markt. macmon NAC bietet zahlreiche Vorteile, die auf die Bedürfnisse von OT-Netzwerken eingehen. Das zeigt sich auch in der Landschaft der Anwender: Ein Drittel der macmom-Kunden bewegen sich im industriellen Umfeld.

    Empfohlene Artikel

    • 15.11.2023 | Michael Reinholz

      macmon NAC für Betriebssicherheit in der Industrie

      Mit Factory 4.0 und IT-OT-Konvergenz verändern sich industrielle Standards und Sicherheitsanforderungen von OT-Netzwerken. Wie kann NAC helfen?

      more

    • 13.07.2023 | Sarah Kolberg

      Interview mit Prof. Heer: OT-Security & Industrial NAC

      Wie schützt man ein OT-Netzwerk? Wie kann man mit Network Access Control industrielle Netzwerke sichern? Mehr dazu im Interview mit Prof. Dr. Tobias Heer.

      more

    • 31.01.2024 | Sarah Kolberg

      Cybersecurity vs Interoperabilität & Hochverfügbarkeit

      Security vs Interoperability & High Availability – Gegner oder Verbündete? So schaffen Sie Balance und gewährleisten einen cyber-resilienten Betrieb.

      more

    • 14.12.2023 | Malte Marquardt

      Nachhaltige NAC-Lösung für cyber-resilienten Betrieb

      Network Access Control sollte Hochverfügbarkeit und die Umsetzung einer nachhaltigen Sicherheitsstrategie ermöglichen – so geht's mit macmon NAC.

      more

    • 29.11.2023 | Patrick Deruytter

      Datensicherheit in der Betriebstechnik

      Was sind die Unterschiede zwischen IT- und OT-Security, welche Herausforderungen bestehen in der Betriebssicherheit?: wie Sie OT- und IT-Netzwerke schützen.

      more

    © macmon secure GmbH