24. Nov 2021

Von IT und OT

IT-Sicherheit in Smart Factories stärken – gewusst, wie!

„Smart Factories“ erhöhen die Produktivität, indem Anlagen und Systeme eigenständig und vernetzt Daten austauschen. Mit der wachsenden Digitalisierung verändert sich aber auch die Risikolandschaft, in der sich Unternehmen befinden, da eben viele dieser Operational Technology Systeme, kurz OT (also z. B. Produktionsanlagen), zunehmend stärker vernetzt werden.

Vernetzte Produktionsbetriebe bringen demnach viele Vorteile, wie gesteigerte Effizienz und Servicequalität, aber auch einige Nachteile mit sich. Unsichere Konfiguration oder veraltete Komponenten machen somit ganze Betriebe angreifbar und auch zuständige Sicherheitsverantwortliche gaben laut Studien an, seit der Konvergenz von IT und OT herausforderndere Tätigkeiten erbringen zu müssen. Unternehmen müssen daher entscheiden, welche Risiken sie in Kauf nehmen und wo es vermehrt Aufmerksamkeit bedarf.

So unterscheiden sich IT und OT

Information Technology (IT) und Operation Technology (OT) werden häufig in einem Atemzug erwähnt, unterscheiden sich jedoch voneinander. OT ist der Überbegriff für den Einsatz von Hard- bzw. Software in einer betrieblichen bzw. industriellen Umgebung zur Steuerung von Maschinen oder Anlagen. Darunter fallen also beispielsweise industrielle Kontrollsysteme sowie Prozesse und Systeme, die anderes Equipment überwachen. OT steuert und regelt also Maschinen bzw. Prozesse, wogegen IT die innerbetriebliche Informationsverarbeitung umfasst. Vereinfacht gesagt: Mit IT werden somit Informationen und Daten verwaltet, mit OT die Prozesse in Anlagen.

Fusionieren OT und IT in unserer zunehmend vernetzten (Geschäfts-) Welt, müssen sich Unternehmen zwingend auch mit dem Thema Informationssicherheit im OT-Bereich befassen und ähnlich wie im IT-Bereich systematisch Cybersecurity-Risiken erfassen, bewerten und entsprechende Maßnahmen zur Behandlung der Risiken setzen.   Erschwerend kommt hinzu, dass im OT-Bereich für Informationssicherheit oft andere Rahmenbedingungen gelten und andere Anforderungen gestellt werden als in der IT, beispielsweise hinsichtlich der Verfügbarkeit oder Betriebssicherheit (Safety) der Systeme.

Vielzahl an Cyberangriffen in Industriebetrieben

Die weltweite COVID-19 Pandemie hat einen Digitalisierungsschwung bewirkt und Studien zeigen, dass IT- und OT-Netzwerke seit Beginn der Coronakrise vielerorts stärker zusammengewachsen sind. In der Praxis können derzeit aber nach wie vor primär Angriffe auf die IT-Systeme in Industriebetrieben erkannt werden.

Hier haben wir bereits die jüngsten Cyberangriffe für Sie in einem Newsartikel zusammengefasst – viele dieser Angriffskampagnen richteten sich bewusst gegen Produktionsbetriebe und legten diese binnen kurzer Zeit lahm. Ein kontinuierlicher Schutz von Industrie und Infrastrukturen ist unerlässlich – genauso aber das entsprechende Training von Personal und die Priorisierung von Führungsetagen.

Sicherheitslage verbessern und Risiken abwägen

Mithilfe von drei Schutzzielen wird Aufschluss darüber gegeben, in welchem Maße Informationssicherheit erreicht wurde. Diese drei Ziele sind: Vertraulichkeit von Daten, Integrität bzw. die Unveränderlichkeit von Informationen sowie Verfügbarkeit. Die Priorisierung dieser Ziele in IT und OT kann nicht pauschal beantwortet werden – so wird beispielsweise sowohl in der IT als auch der OT häufig Integrität eine höhere Bedeutung als Vertraulichkeit beigemessen.

Für entsprechende Risikobewertungen von OT und IT existieren mittlerweile einige Standards bzw. Sicherheitsrichtlinien, die regelkonformes Arbeiten erleichtern sollen. Bei IT- und Cloud-Lösungen werden häufig die Normen der ISO 27001-Reihe herbei gezogen. Auch kommt die IEC 62443 speziell für Industriebetriebe mehr und mehr in den Fokus von Betrieben. Diese Normenfamilie bietet einen Rahmen zur Behebung bzw. Minimierung von Sicherheitslücken in automatisierten Systemen und fokussiert technische Kontrollen.

Gleichzeitig sollten auch OT-Anbieter stärker in die Informationssicherheits-Setups eingebunden werden – inkl. Kontrollfunktionen zur Stärkung des Bewusstseins und Sicherheits-Knowhows sowie auch ein laufendes Risikomanagement.

Ausblick

Um die Sicherheitslage von Unternehmen künftig zu verbessern, gilt es sowohl entsprechende Zertifizierungen als auch Business Continuity Management und eine stärkere Einbeziehung von Anbietern in Informationssicherheit zu forcieren.

Für die Risikobewertungen von IT- und Cloud-Lösungen werden häufig die Normen der ISO 27001-Reihe herbei gezogen. Auch kommt die IEC 62443 speziell für Industriebetriebe mehr und mehr in den Fokus. Diese Normenfamilie bietet einen Rahmen zur Behebung bzw. Minimierung von Sicherheitslücken in automatisierten Systemen und fokussiert technische Kontrollen.

Sowohl IT- als auch OT-Fachexperten müssen laufend dazu lernen, sich neuen Herausforderungen stellen und Lösungen finden, um sich im Internet der Dinge zurechtzufinden und Systeme unter Kontrolle zu behalten. Wichtig auf dieser Reise ist also die gesonderte und alleinige Betrachtung von OT beiseite zu lassen und vernetzt zu denken.

Eine Risikobetrachtung von außen, wie etwa durch eine unabhängige Zertifizierungsstelle, hilft, blinde Flecken aufzudecken und den Blick bewusst über den Tellerrand zu legen. Gleichzeitig müssen Mitarbeitende sowohl als Chancen als auch Risikofaktoren, aufgrund mangelndem Bewusstsein, gesehen werden.

Die CIS wird sich in Zukunft auch verstärkt der IEC-Normenreihe 62443 im Bereich der Systemzertifizierungen widmen. Für Rückfragen stehen wir Ihnen selbstverständlich schon jetzt zur Verfügung und freuen uns über Ihre Kontaktaufnahme hier.

Jetzt Kontakt aufnehmen!

Weitere News & Events

Immer topaktuell informiert

25. Nov 2021

Mit einer ISO 27001-Zertifizierung den nächsten Gipfel stürmen

Nutzen Sie Managementsysteme für Ihre Ziele!

Mehr erfahren
25. Nov 2021

Cyberkriminalität im Gesundheitswesen kann jeden treffen!

Medizinische Einrichtungen geraten immer stärker in den Fokus

Mehr erfahren
24. Nov 2021

TISAX® als Firewall

Prototypen- und Datenschutz in der Automotive Industrie.

Mehr erfahren
22. Nov 2021

CIS auditiert ab sofort Cyber Trust Austria® Label Gold

Kooperation zur Unterstützung auf Ihrem Weg zum Cyber Trust Austria® Label Gold

Mehr erfahren
08. Nov 2021

Auf das Unerwartete vorbereitet sein

Siemens Digital Grid wurde als erste Einheit in der EU erfolgreich nach ISO 22301 zertifiziert.

Mehr erfahren
08. Okt 2021

Wie sieht IT Security im Spital 2.0 aus?

Cybersicherheit im Gesundheitswesen

Mehr erfahren
09. Sep 2021

Wie man sich mit Künstlicher Intelligenz (KI) vor KI-Bedrohungen schützt

Das war der CIS Compliance Summit 2021

Mehr erfahren
08. Sep 2021

Erfolgsrezept Integriertes Managementsystem

Gastkommentar von Bernhard Bachofner, Chief Technology Officer (CTO) der Fiegl & Spielberger Gruppe

Mehr erfahren
06. Sep 2021

NISG und NISV: Nachweis der Erfüllung von Sicherheits­vorkehrungen

Was Betreiber wesentlicher Dienste und Dienstleister jetzt zum Netz- und Informationssystemsicherheitsgesetz (NISG) wissen müssen

Mehr erfahren
11. Aug 2021

Sommergespräch mit Klaus Veselko und Clemens Wasner

CIS Compliance Summit

Mehr erfahren
27. Jul 2021

Global Threat Report 2021

Die wichtigsten Cybersecurity-Trends und wie sich Unternehmen jetzt wappnen können

Mehr erfahren
26. Jul 2021

Dem Blackout entgehen

Informationssicherheit in der Energiewirtschaft

Mehr erfahren
+43 732 34 23 22