24. Nov 2021

Von IT und OT

IT-Sicherheit in Smart Factories stärken – gewusst, wie!

„Smart Factories“ erhöhen die Produktivität, indem Anlagen und Systeme eigenständig und vernetzt Daten austauschen. Mit der wachsenden Digitalisierung verändert sich aber auch die Risikolandschaft, in der sich Unternehmen befinden, da eben viele dieser Operational Technology Systeme, kurz OT (also z. B. Produktionsanlagen), zunehmend stärker vernetzt werden.

Vernetzte Produktionsbetriebe bringen demnach viele Vorteile, wie gesteigerte Effizienz und Servicequalität, aber auch einige Nachteile mit sich. Unsichere Konfiguration oder veraltete Komponenten machen somit ganze Betriebe angreifbar und auch zuständige Sicherheitsverantwortliche gaben laut Studien an, seit der Konvergenz von IT und OT herausforderndere Tätigkeiten erbringen zu müssen. Unternehmen müssen daher entscheiden, welche Risiken sie in Kauf nehmen und wo es vermehrt Aufmerksamkeit bedarf.

So unterscheiden sich IT und OT

Information Technology (IT) und Operation Technology (OT) werden häufig in einem Atemzug erwähnt, unterscheiden sich jedoch voneinander. OT ist der Überbegriff für den Einsatz von Hard- bzw. Software in einer betrieblichen bzw. industriellen Umgebung zur Steuerung von Maschinen oder Anlagen. Darunter fallen also beispielsweise industrielle Kontrollsysteme sowie Prozesse und Systeme, die anderes Equipment überwachen. OT steuert und regelt also Maschinen bzw. Prozesse, wogegen IT die innerbetriebliche Informationsverarbeitung umfasst. Vereinfacht gesagt: Mit IT werden somit Informationen und Daten verwaltet, mit OT die Prozesse in Anlagen.

Fusionieren OT und IT in unserer zunehmend vernetzten (Geschäfts-) Welt, müssen sich Unternehmen zwingend auch mit dem Thema Informationssicherheit im OT-Bereich befassen und ähnlich wie im IT-Bereich systematisch Cybersecurity-Risiken erfassen, bewerten und entsprechende Maßnahmen zur Behandlung der Risiken setzen.   Erschwerend kommt hinzu, dass im OT-Bereich für Informationssicherheit oft andere Rahmenbedingungen gelten und andere Anforderungen gestellt werden als in der IT, beispielsweise hinsichtlich der Verfügbarkeit oder Betriebssicherheit (Safety) der Systeme.

Vielzahl an Cyberangriffen in Industriebetrieben

Die weltweite COVID-19 Pandemie hat einen Digitalisierungsschwung bewirkt und Studien zeigen, dass IT- und OT-Netzwerke seit Beginn der Coronakrise vielerorts stärker zusammengewachsen sind. In der Praxis können derzeit aber nach wie vor primär Angriffe auf die IT-Systeme in Industriebetrieben erkannt werden.

Hier haben wir bereits die jüngsten Cyberangriffe für Sie in einem Newsartikel zusammengefasst – viele dieser Angriffskampagnen richteten sich bewusst gegen Produktionsbetriebe und legten diese binnen kurzer Zeit lahm. Ein kontinuierlicher Schutz von Industrie und Infrastrukturen ist unerlässlich – genauso aber das entsprechende Training von Personal und die Priorisierung von Führungsetagen.

Sicherheitslage verbessern und Risiken abwägen

Mithilfe von drei Schutzzielen wird Aufschluss darüber gegeben, in welchem Maße Informationssicherheit erreicht wurde. Diese drei Ziele sind: Vertraulichkeit von Daten, Integrität bzw. die Unveränderlichkeit von Informationen sowie Verfügbarkeit. Die Priorisierung dieser Ziele in IT und OT kann nicht pauschal beantwortet werden – so wird beispielsweise sowohl in der IT als auch der OT häufig Integrität eine höhere Bedeutung als Vertraulichkeit beigemessen.

Für entsprechende Risikobewertungen von OT und IT existieren mittlerweile einige Standards bzw. Sicherheitsrichtlinien, die regelkonformes Arbeiten erleichtern sollen. Bei IT- und Cloud-Lösungen werden häufig die Normen der ISO 27001-Reihe herbei gezogen. Auch kommt die IEC 62443 speziell für Industriebetriebe mehr und mehr in den Fokus von Betrieben. Diese Normenfamilie bietet einen Rahmen zur Behebung bzw. Minimierung von Sicherheitslücken in automatisierten Systemen und fokussiert technische Kontrollen.

Gleichzeitig sollten auch OT-Anbieter stärker in die Informationssicherheits-Setups eingebunden werden – inkl. Kontrollfunktionen zur Stärkung des Bewusstseins und Sicherheits-Knowhows sowie auch ein laufendes Risikomanagement.

Ausblick

Um die Sicherheitslage von Unternehmen künftig zu verbessern, gilt es sowohl entsprechende Zertifizierungen als auch Business Continuity Management und eine stärkere Einbeziehung von Anbietern in Informationssicherheit zu forcieren.

Sowohl IT- als auch OT-Fachexperten müssen laufend dazu lernen, sich neuen Herausforderungen stellen und Lösungen finden, um sich im Internet der Dinge zurechtzufinden und Systeme unter Kontrolle zu behalten. Wichtig auf dieser Reise ist also die gesonderte und alleinige Betrachtung von OT beiseite zu lassen und vernetzt zu denken.

Eine Risikobetrachtung von außen, wie etwa durch eine unabhängige Zertifizierungsstelle, hilft, blinde Flecken aufzudecken und den Blick bewusst über den Tellerrand zu legen. Gleichzeitig müssen Mitarbeitende sowohl als Chancen als auch Risikofaktoren, aufgrund mangelndem Bewusstsein, gesehen werden.

Die CIS wird sich in Zukunft auch verstärkt der IEC-Normenreihe 62443 im Bereich der Systemzertifizierungen widmen. Für Rückfragen stehen wir Ihnen selbstverständlich schon jetzt zur Verfügung und freuen uns über Ihre Kontaktaufnahme hier.

Jetzt Kontakt aufnehmen!

Weitere News & Events

Immer topaktuell informiert

17. Mai 2023

Wollen Sie wissen, wie sicher Ihr Unternehmen ist? Lassen Sie sich hacken!

Ethical Hacking als Trend in der Security Branche

Mehr erfahren
10. Mai 2023

Top-Secret-Strategien für mehr Informations­sicherheit

Mit ungewöhnlichen Maßnahmen Mitarbeitende sensibilisieren

Mehr erfahren
03. Mai 2023

Wie Sie Ihr Unternehmen vor Daten­missbrauch schützen

Ein effektives Managementsystem kann helfen, die Informationen und Daten des Unternehmens zu schützen und vor Cyber-Attacken zu sichern.

Mehr erfahren
11. Apr 2023

8 Tipps für mehr Security in der „New Work“ Arbeitswelt

Hier ein paar Tipps und Tricks für mehr Sicherheit in der „New Work“ Umgebung.

Mehr erfahren
03. Apr 2023

New Work – Provokation nutzen und Potenzial leben

Neue Wege in der Sicherheit sind gefragt, um eine sichere Arbeitsumgebung zu schaffen.

Mehr erfahren
14. Mrz 2023

Einreichfrist ver­längert: Österreichs beste und bester Chief Information Security Officer gesucht

„CISO of the Year“: Bewerbungen bis 21. April 2023 möglich

Mehr erfahren
01. Mrz 2023

ISO 27001 trifft Cyber Trust Austria® Label: Das i-Tüpfelchen der Security

Success Story am Beispiel von ACP

Mehr erfahren
07. Feb 2023

Sicherheits­maßnahmen für Unternehmen am Safer Internet Day

Ein sicheres Netz geht uns alle etwas an - inwiefern können auch Unternehmen und Organisationen zu einem sicheren Internet beitragen?

Mehr erfahren
31. Jan 2023

Wachsende Angriffsfläche durch Digitalisierungsschub

30. Jan 2023

Harald Erkinger ist neuer Geschäftsführer der CIS

Erfahrener IT- und Cybersicherheits-Experte neuer CEO

Mehr erfahren
05. Dez 2022

NIS 2.0 – was kommt auf uns zu?

Neue Regelung für Cybersicherheit: CIS-Experte klärt auf

Mehr erfahren
30. Nov 2022

Gesucht: Auditor*in Informations-sicherheits-management nach ISO 27001 (m/w/d)

+43 732 34 23 22