24. Nov 2021

Von IT und OT

IT-Sicherheit in Smart Factories stärken – gewusst, wie!

„Smart Factories“ erhöhen die Produktivität, indem Anlagen und Systeme eigenständig und vernetzt Daten austauschen. Mit der wachsenden Digitalisierung verändert sich aber auch die Risikolandschaft, in der sich Unternehmen befinden, da eben viele dieser Operational Technology Systeme, kurz OT (also z. B. Produktionsanlagen), zunehmend stärker vernetzt werden.

Vernetzte Produktionsbetriebe bringen demnach viele Vorteile, wie gesteigerte Effizienz und Servicequalität, aber auch einige Nachteile mit sich. Unsichere Konfiguration oder veraltete Komponenten machen somit ganze Betriebe angreifbar und auch zuständige Sicherheitsverantwortliche gaben laut Studien an, seit der Konvergenz von IT und OT herausforderndere Tätigkeiten erbringen zu müssen. Unternehmen müssen daher entscheiden, welche Risiken sie in Kauf nehmen und wo es vermehrt Aufmerksamkeit bedarf.

So unterscheiden sich IT und OT

Information Technology (IT) und Operation Technology (OT) werden häufig in einem Atemzug erwähnt, unterscheiden sich jedoch voneinander. OT ist der Überbegriff für den Einsatz von Hard- bzw. Software in einer betrieblichen bzw. industriellen Umgebung zur Steuerung von Maschinen oder Anlagen. Darunter fallen also beispielsweise industrielle Kontrollsysteme sowie Prozesse und Systeme, die anderes Equipment überwachen. OT steuert und regelt also Maschinen bzw. Prozesse, wogegen IT die innerbetriebliche Informationsverarbeitung umfasst. Vereinfacht gesagt: Mit IT werden somit Informationen und Daten verwaltet, mit OT die Prozesse in Anlagen.

Fusionieren OT und IT in unserer zunehmend vernetzten (Geschäfts-) Welt, müssen sich Unternehmen zwingend auch mit dem Thema Informationssicherheit im OT-Bereich befassen und ähnlich wie im IT-Bereich systematisch Cybersecurity-Risiken erfassen, bewerten und entsprechende Maßnahmen zur Behandlung der Risiken setzen.   Erschwerend kommt hinzu, dass im OT-Bereich für Informationssicherheit oft andere Rahmenbedingungen gelten und andere Anforderungen gestellt werden als in der IT, beispielsweise hinsichtlich der Verfügbarkeit oder Betriebssicherheit (Safety) der Systeme.

Vielzahl an Cyberangriffen in Industriebetrieben

Die weltweite COVID-19 Pandemie hat einen Digitalisierungsschwung bewirkt und Studien zeigen, dass IT- und OT-Netzwerke seit Beginn der Coronakrise vielerorts stärker zusammengewachsen sind. In der Praxis können derzeit aber nach wie vor primär Angriffe auf die IT-Systeme in Industriebetrieben erkannt werden.

Hier haben wir bereits die jüngsten Cyberangriffe für Sie in einem Newsartikel zusammengefasst – viele dieser Angriffskampagnen richteten sich bewusst gegen Produktionsbetriebe und legten diese binnen kurzer Zeit lahm. Ein kontinuierlicher Schutz von Industrie und Infrastrukturen ist unerlässlich – genauso aber das entsprechende Training von Personal und die Priorisierung von Führungsetagen.

Sicherheitslage verbessern und Risiken abwägen

Mithilfe von drei Schutzzielen wird Aufschluss darüber gegeben, in welchem Maße Informationssicherheit erreicht wurde. Diese drei Ziele sind: Vertraulichkeit von Daten, Integrität bzw. die Unveränderlichkeit von Informationen sowie Verfügbarkeit. Die Priorisierung dieser Ziele in IT und OT kann nicht pauschal beantwortet werden – so wird beispielsweise sowohl in der IT als auch der OT häufig Integrität eine höhere Bedeutung als Vertraulichkeit beigemessen.

Für entsprechende Risikobewertungen von OT und IT existieren mittlerweile einige Standards bzw. Sicherheitsrichtlinien, die regelkonformes Arbeiten erleichtern sollen. Bei IT- und Cloud-Lösungen werden häufig die Normen der ISO 27001-Reihe herbei gezogen. Auch kommt die IEC 62443 speziell für Industriebetriebe mehr und mehr in den Fokus von Betrieben. Diese Normenfamilie bietet einen Rahmen zur Behebung bzw. Minimierung von Sicherheitslücken in automatisierten Systemen und fokussiert technische Kontrollen.

Gleichzeitig sollten auch OT-Anbieter stärker in die Informationssicherheits-Setups eingebunden werden – inkl. Kontrollfunktionen zur Stärkung des Bewusstseins und Sicherheits-Knowhows sowie auch ein laufendes Risikomanagement.

Ausblick

Um die Sicherheitslage von Unternehmen künftig zu verbessern, gilt es sowohl entsprechende Zertifizierungen als auch Business Continuity Management und eine stärkere Einbeziehung von Anbietern in Informationssicherheit zu forcieren.

Sowohl IT- als auch OT-Fachexperten müssen laufend dazu lernen, sich neuen Herausforderungen stellen und Lösungen finden, um sich im Internet der Dinge zurechtzufinden und Systeme unter Kontrolle zu behalten. Wichtig auf dieser Reise ist also die gesonderte und alleinige Betrachtung von OT beiseite zu lassen und vernetzt zu denken.

Eine Risikobetrachtung von außen, wie etwa durch eine unabhängige Zertifizierungsstelle, hilft, blinde Flecken aufzudecken und den Blick bewusst über den Tellerrand zu legen. Gleichzeitig müssen Mitarbeitende sowohl als Chancen als auch Risikofaktoren, aufgrund mangelndem Bewusstsein, gesehen werden.

Die CIS wird sich in Zukunft auch verstärkt der IEC-Normenreihe 62443 im Bereich der Systemzertifizierungen widmen. Für Rückfragen stehen wir Ihnen selbstverständlich schon jetzt zur Verfügung und freuen uns über Ihre Kontaktaufnahme hier.

Jetzt Kontakt aufnehmen!

Weitere News & Events

Immer topaktuell informiert

18. Sep 2024

Event: CIS Compliance Summit 2024

Security | Privacy | Continuity

Mehr erfahren
25. Sep 2023

Auszeichnung „CISO of the Year“ zum zweiten Mal verliehen

Die besten Chief Information Security Officer des Landes sind gekürt:

Mehr erfahren
22. Sep 2023

Neuer Trainingsfolder der CIS veröffentlicht

Zahlreiche Neuerungen am Puls der Zeit

Mehr erfahren
20. Sep 2023

New Work: Durch neue Arbeitsweisen und Technologien bleibt der Mensch Risikofaktor Nummer 1

Das war der CIS Compliance Summit 2023

Mehr erfahren
12. Sep 2023

Business Continuity rückt in den Fokus

Ein Schnittstellenthema mit Boost durch NIS und DORA

Mehr erfahren
01. Sep 2023

NIS 2: Was muss Ihr Unternehmen wann umsetzen?

07. Aug 2023

Im Gespräch mit Harald Erkinger und Christoph Mondl über New Work, Chancen und Risiken

Die aktuellen Themen der Cyber Security

Mehr erfahren
03. Aug 2023

Auf welches Know-how wir uns beim CIS Compliance Summit 2023 freuen dürfen

Die Vorfreude auf hochkarätige Vortragende steigt!

Mehr erfahren
01. Aug 2023

Cyberkriminalität – 3 aktuelle Gefahren, mit denen Sie rechnen müssen!

Neuer Bericht des BKI

Mehr erfahren
27. Jul 2023

Webinar ISO/IEC 27001:2022: Was Sie wissen müssen

CIS-Webinar am 9. November

Mehr erfahren
09. Nov 2023

Event: Webinar: Neue ISO 27001:2022 – Das müssen Unternehmen jetzt wissen

Webinarreihe Unternehmen & Qualität – Praxiserprobte Lösungen

Mehr erfahren
06. Jul 2023

Global Threat Report 2023: Trends in aktive Chancen umwandeln

Erkenntnisse, Trends und Handlungsempfehlungen

Mehr erfahren
+43 1 532 98 90