24. Nov 2021

Von IT und OT

IT-Sicherheit in Smart Factories stärken – gewusst, wie!

„Smart Factories“ erhöhen die Produktivität, indem Anlagen und Systeme eigenständig und vernetzt Daten austauschen. Mit der wachsenden Digitalisierung verändert sich aber auch die Risikolandschaft, in der sich Unternehmen befinden, da eben viele dieser Operational Technology Systeme, kurz OT (also z. B. Produktionsanlagen), zunehmend stärker vernetzt werden.

Vernetzte Produktionsbetriebe bringen demnach viele Vorteile, wie gesteigerte Effizienz und Servicequalität, aber auch einige Nachteile mit sich. Unsichere Konfiguration oder veraltete Komponenten machen somit ganze Betriebe angreifbar und auch zuständige Sicherheitsverantwortliche gaben laut Studien an, seit der Konvergenz von IT und OT herausforderndere Tätigkeiten erbringen zu müssen. Unternehmen müssen daher entscheiden, welche Risiken sie in Kauf nehmen und wo es vermehrt Aufmerksamkeit bedarf.

So unterscheiden sich IT und OT

Information Technology (IT) und Operation Technology (OT) werden häufig in einem Atemzug erwähnt, unterscheiden sich jedoch voneinander. OT ist der Überbegriff für den Einsatz von Hard- bzw. Software in einer betrieblichen bzw. industriellen Umgebung zur Steuerung von Maschinen oder Anlagen. Darunter fallen also beispielsweise industrielle Kontrollsysteme sowie Prozesse und Systeme, die anderes Equipment überwachen. OT steuert und regelt also Maschinen bzw. Prozesse, wogegen IT die innerbetriebliche Informationsverarbeitung umfasst. Vereinfacht gesagt: Mit IT werden somit Informationen und Daten verwaltet, mit OT die Prozesse in Anlagen.

Fusionieren OT und IT in unserer zunehmend vernetzten (Geschäfts-) Welt, müssen sich Unternehmen zwingend auch mit dem Thema Informationssicherheit im OT-Bereich befassen und ähnlich wie im IT-Bereich systematisch Cybersecurity-Risiken erfassen, bewerten und entsprechende Maßnahmen zur Behandlung der Risiken setzen.   Erschwerend kommt hinzu, dass im OT-Bereich für Informationssicherheit oft andere Rahmenbedingungen gelten und andere Anforderungen gestellt werden als in der IT, beispielsweise hinsichtlich der Verfügbarkeit oder Betriebssicherheit (Safety) der Systeme.

Vielzahl an Cyberangriffen in Industriebetrieben

Die weltweite COVID-19 Pandemie hat einen Digitalisierungsschwung bewirkt und Studien zeigen, dass IT- und OT-Netzwerke seit Beginn der Coronakrise vielerorts stärker zusammengewachsen sind. In der Praxis können derzeit aber nach wie vor primär Angriffe auf die IT-Systeme in Industriebetrieben erkannt werden.

Hier haben wir bereits die jüngsten Cyberangriffe für Sie in einem Newsartikel zusammengefasst – viele dieser Angriffskampagnen richteten sich bewusst gegen Produktionsbetriebe und legten diese binnen kurzer Zeit lahm. Ein kontinuierlicher Schutz von Industrie und Infrastrukturen ist unerlässlich – genauso aber das entsprechende Training von Personal und die Priorisierung von Führungsetagen.

Sicherheitslage verbessern und Risiken abwägen

Mithilfe von drei Schutzzielen wird Aufschluss darüber gegeben, in welchem Maße Informationssicherheit erreicht wurde. Diese drei Ziele sind: Vertraulichkeit von Daten, Integrität bzw. die Unveränderlichkeit von Informationen sowie Verfügbarkeit. Die Priorisierung dieser Ziele in IT und OT kann nicht pauschal beantwortet werden – so wird beispielsweise sowohl in der IT als auch der OT häufig Integrität eine höhere Bedeutung als Vertraulichkeit beigemessen.

Für entsprechende Risikobewertungen von OT und IT existieren mittlerweile einige Standards bzw. Sicherheitsrichtlinien, die regelkonformes Arbeiten erleichtern sollen. Bei IT- und Cloud-Lösungen werden häufig die Normen der ISO 27001-Reihe herbei gezogen. Auch kommt die IEC 62443 speziell für Industriebetriebe mehr und mehr in den Fokus von Betrieben. Diese Normenfamilie bietet einen Rahmen zur Behebung bzw. Minimierung von Sicherheitslücken in automatisierten Systemen und fokussiert technische Kontrollen.

Gleichzeitig sollten auch OT-Anbieter stärker in die Informationssicherheits-Setups eingebunden werden – inkl. Kontrollfunktionen zur Stärkung des Bewusstseins und Sicherheits-Knowhows sowie auch ein laufendes Risikomanagement.

Ausblick

Um die Sicherheitslage von Unternehmen künftig zu verbessern, gilt es sowohl entsprechende Zertifizierungen als auch Business Continuity Management und eine stärkere Einbeziehung von Anbietern in Informationssicherheit zu forcieren.

Sowohl IT- als auch OT-Fachexperten müssen laufend dazu lernen, sich neuen Herausforderungen stellen und Lösungen finden, um sich im Internet der Dinge zurechtzufinden und Systeme unter Kontrolle zu behalten. Wichtig auf dieser Reise ist also die gesonderte und alleinige Betrachtung von OT beiseite zu lassen und vernetzt zu denken.

Eine Risikobetrachtung von außen, wie etwa durch eine unabhängige Zertifizierungsstelle, hilft, blinde Flecken aufzudecken und den Blick bewusst über den Tellerrand zu legen. Gleichzeitig müssen Mitarbeitende sowohl als Chancen als auch Risikofaktoren, aufgrund mangelndem Bewusstsein, gesehen werden.

Die CIS wird sich in Zukunft auch verstärkt der IEC-Normenreihe 62443 im Bereich der Systemzertifizierungen widmen. Für Rückfragen stehen wir Ihnen selbstverständlich schon jetzt zur Verfügung und freuen uns über Ihre Kontaktaufnahme hier.

Jetzt Kontakt aufnehmen!

Weitere News & Events

Immer topaktuell informiert

26. Sep 2022

41-jähriger Sicherheits-Experte ist heimischer „CISO of the Year“

Österreichs beste Chief Information Security Officer geehrt

Mehr erfahren
21. Sep 2022

Experten präsentieren Strategien gegen Cyber-Attacken auf Betriebs­technologie

Das war der CIS Compliance Summit 2022

Mehr erfahren
12. Sep 2022

Wer ist der beste CISO im ganzen Land?

Nicht mehr lange und der Titel „CISO of the Year 2022“ wird erstmals beim diesjährigen CIS Compliance Summit an die oder den besten Chief Information Security…

Mehr erfahren
19. Aug 2022

ISO/IEC 27001:2022 – was ist neu?

Was bedeutet die Revision der ISO 27001 für Unternehmen?

Mehr erfahren
08. Aug 2022

6 kritische Faktoren der ISMS Umsetzung

Kritische Faktoren der ISMS Umsetzung

Mehr erfahren
28. Jul 2022

Global Threat Report 2022: was Sie jetzt wissen müssen!

Zusammenfassung aktueller Cyber Trends und Angriffe

Mehr erfahren
20. Jul 2022

Sommer­gespräch mit DI Helmut Leopold, PhD

Sichere digitale Zukunft durch beherrschbare Digitalsysteme

Mehr erfahren
19. Sep 2023

Event: CIS Compliance Summit 2023

Security | Privacy | Continuity

Mehr erfahren
05. Jul 2022

Klaus Veselko neuer VÖSI-Präsident

Fragen an den neuen VÖSI-Präsidenten

Mehr erfahren
08. Jun 2022

Was Sie beim CIS Compliance Summit 2022 erwartet!

Unsere Speaker – auch heuer wieder geballtes Know-how!

Mehr erfahren
07. Jun 2022

Cyber Defense: entscheidender Erfolgsfaktor (?)

Nur 20 Prozent der österreichischen Groß- und Mittelbetriebe geben an, dass sie über einen Krisenplan für Cyber-Angriffe verfügen.

Mehr erfahren
24. Mai 2022

Laufende Digitalisierung in der Industrie als Treiber

Shooting Star: OT-Security

Mehr erfahren
+43 732 34 23 22