Aktuelle Beiträge aus "IT-Awards"
Die beliebtesten Anbieter von Security-Awareness-Trainings 2021
Die beliebtesten Anbieter von Endpoint Detection & Response 2021
Die beliebtesten Anbieter von Web Application Firewalls 2021
Aktuelle Beiträge aus "Bedrohungen"
Die Top-Ziele für Ransomware-Angriffe
CPU-Sicherheitslücke erlaubt Zugriff auf sensible Daten
ÆPIC Leak Schwachstelle in aktuellen Intel-Prozessoren
Microsoft schließt über 140 Sicherheitslücken im August
Aktuelle Beiträge aus "Netzwerke"
Business Continuity für Unternehmensnetze
Mit AIOps und Observability die Netzwerkresilienz stärken
Definition NESAG | Network Equipment Security Assurance Group
Was ist die Network Equipment Security Assurance Group?
Die Cybersecurity Strategie der NATO
Ein neuer Schritt in Richtung Cyber-NATO?
Konvergenz vs. Sicherheit bei der Industrie 4.0
Aktuelle Beiträge aus "Plattformen"
Open Source und Cloud Native stehen bei CISOs hoch im Kurs
Microsoft schließt über 140 Sicherheitslücken im August
Definition NESAG | Network Equipment Security Assurance Group
Was ist die Network Equipment Security Assurance Group?
Aktuelle Beiträge aus "Applikationen"
Aqua Security und Center for Internet Security kollaborieren
Open-Source-Tool stützt CIS Security Guide
Sichere Zusammenarbeit mit internen und externen Partnern
5 Tipps für eine sichere Online-Kollaboration
Kriterien für professionelle Krisenmanagementlösungen
Metaverse und IT-Security – was sich jetzt ändert
Aktuelle Beiträge aus "Identity- und Access-Management"
Die Farbe der Sicherheit: Safe arbeiten mit LastPass
Plattform für Key-Management und Verschlüsselung
Datenschutzlösung für DevSecOps-Teams
Warum MFA nicht gleich MFA ist
Technologie – Freund und Feind zugleich
Identitätsdiebstahl in der digitalen Welt
Aktuelle Beiträge aus "Security-Management"
Die Top-Ziele für Ransomware-Angriffe
Häufigste Bedrohungen erkennen – nicht erraten
Aktuelle Beiträge aus "Specials"
Business Continuity für Unternehmensnetze
Mit AIOps und Observability die Netzwerkresilienz stärken
Definition NESAG | Network Equipment Security Assurance Group
Was ist die Network Equipment Security Assurance Group?
Definition CCRA | Common Criteria Recognition Arrangement
Was ist Common Criteria Recognition Arrangement (CCRA)?
Aktuelle Beiträge aus "IT Security Best Practices"
Best Practices für Detection and Response
Angriffe auf Endpoints erkennen, bevor der Schaden eintritt
Best Practices für Detection and Response
Lücken in der Notfallvorsorge schließen
Best Practices für OT-Sicherheit
So finden Sie den richtigen Schutz für Fertigungssysteme
Best Practices für Cloud-Applikationen
So gelingt Security by Design bei Cloud-Anwendungen
Nachdem Digitalisierung zunächst in vielen Unternehmen Geschäftsabläufe und Prozesse (inklusive der Vertriebs- und Marketingaktivitäten, der übergeordneten Planungsprozesse und Informationssysteme zur Unternehmenssteuerung) betraf und, Stand heute, über alle Branchen hinweg im Einsatz ist, hinkt die umfängliche Digitalisierung von Produktionsprozessen oft hinterher.
Die seit mehr als zehn Jahren propagierten Konzepte von Industrie 4.0 und die daraus erwarteten Verbesserung durch Flexibilisierung von Produktionsabläufen und Identifikation von Optimierungspotentialen werden nicht bestritten. Allerding sind die dazu notwendigen Voraussetzungen selbst heute oftmals nur teilweise oder auf bestimmte Prozessabschnitte beschränkt umgesetzt.
Die Ursachen dafür sind vielfältig:
Produktionsprozesse und die zugehörigen Maschinen und Anlagen haben üblicherweise – insbesondere im Vergleich zu IT-Hardware - sehr lange Nutzungszeiten. Dadurch gibt es in produzierenden Unternehmen in der Regel Anlagentechnik und Maschinen mit sehr unterschiedlichem Alter und, was die Möglichkeiten zur Digitalisierung betrifft, sehr heterogenen technischen Rahmenbedingungen. In einer solchen, häufig als „brown field“ bezeichneten Produktionsumgebung ist es durchaus üblich, dass Prozessschritte zum Teil auf Anlagen ausgeführt werden, die bereits angeschafft wurden, als selbst SPS-Steuerungen noch wenig verbreitet waren, während der nächste Prozessschritt andererseits auf Anlagen läuft, die, zumindest aus der Sicht des Anlagenlieferanten, vollständig digitalisiert sind.
Im Ergebnis hat der Betreiber damit im besten Fall eine Produktionslandschaft, bestehend aus „digitalen Inseln“. Der Zusammenfluss von Informationen findet dann zwar bereits an übergeordneter Stelle in Betriebsdatenerfassungssystemen (BDE), Manufacturing Execution Systemen (MES) und letztlich im in der IT verorteten ERP (Enterprise Resource Planning) statt. Als Konsequenz beschränkt sich die digitale Informationslage dann aber oft auf den kleinsten gemeinsamen Nenner, bei einer einzelnen Maschine beispielsweise auf die generelle Statusinformation („in Betrieb“, „in Störung“, „in Umrüstung“ oder „Wartung“) beschränkt.
Auch hierfür gibt es mehrere Ursachen, wie zum Beispiel der von vielen Maschinenlieferanten noch immer favorisierte Vorteil eines faktischen „Vendor-LockIns“ durch Lieferung einer „eigenen“ Digitalisierungsplattform, durch die zwar die Kundenbindung verstärkt werden soll, die ihre Grenzen bei der Interprozess-Kommunikation aber spätestens am nächsten Prozessschritt von einem anderen Lieferanten findet.
Eine weitere Ursache ist die über die Jahre gewachsene und mittlerweile sehr umfangreiche Anzahl von in Produktionsumgebungen im Einsatz befindlichen physikalischen Schnittstellen und Kommunikationsprotokollen. So hat Oliver Schoneck die Komplexität und Unterschiede zur klassischen IT sehr ausführlich dargestellt im Artikel „Warum OT-Sicherheit anders ist“ (Whitepaper „Sicherheit in IT und OT“).
Alleine der Versuch, hieraus eine OT-seitig standardisierte Datenlage zu schaffen, stellt viele Unternehmen vor erhebliche Herausforderungen, bei denen eine umfängliche Lösung entweder an den technologischen Fähigkeiten und Kenntnissen oder schlicht an den dazu erforderlichen Investitionen scheitert.
Somit findet man in einer Vielzahl von Unternehmen besagte Informationsinseln, die damit zwar eine digitale Kopie der jeweiligen Maschine oder bestenfalls des Prozessabschnitts bieten, aber am Gedanken eines ganzheitlichen digitalen Zwillings der Produktion (und somit letztlich des Produkts) vorbeigehen, weil die dazu notwendige ganzheitliche Datenlage nicht zur Verfügung steht.
Unabhängig vom Umfang der Datenlage ist zur Nutzung der Daten die Weitergabe an die Unternehmenssteuerung erforderlich, da erst dann die möglichen Vorteile z.B. durch Einbindung in eine übergeordnete Planung nutzbar werden.
Diese Anbindung soll möglichst engmaschig sein, um einerseits Bedarfe aus Unternehmenssicht an die Produktion zu liefern und, im Rückkanal, entsprechende Status-Informationen rückzumelden. Erst durch den sich dadurch ergebenden, geschlossenen Informationsfluss wird eine aktive Steuerung und Optimierung von Abläufen überhaupt erst möglich. Diese engmaschige Verzahnung wird auch als „Konvergenz von OT und IT“ bezeichnet.
Im Rahmen zunehmend aggressiverer Cyberattacken sind insbesondere die IT-Abteilungen der Unternehmen und, übergeordnet, auch die Geschäftsleitung in der Pflicht die Sicherheit der innerbetrieblichen Informationssysteme kontinuierlich zu stärken und damit vom Unternehmen sowohl finanzielle Schäden (z.B. in Form von Ransomware-Attacken), Reputationsverluste und natürlich auch Personen- und Sachschäden durch Zerstörung oder Manipulation von Anlagentechnologie abzuwenden. Die Abwehrmaßnahmen der klassischen IT sind jedoch nicht deckungsgleich mit den in der Produktion („Operations Technology“, OT) zum Einsatz kommenden Digitalisierungslösungen.
Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Unterschiede gibt es dabei bereits bei den Zeithorizonten an: während in der IT ein Austausch von Soft- und Hardwarekomponenten (z.B. für Betriebssysteme, ERP und Rechnerarchitektur) in Zeiträumen <= 5 Jahren erfolgt, werden Produktionsanlagen angeschafft, um über Zeiträume von mehr als 10 Jahren oder auch gerne 30 Jahre produktiv eingesetzt zu werden. Die in Produktionsmitteln eingesetzte Digitaltechnik veraltet entsprechend schneller als der eigentliche Prozess: der für die Umsetzung Verantwortliche sieht sich vor dem Dilemma, dass z.B. Betriebssysteme der jeweiligen Maschinensteuerungen oder andere Komponenten überaltern und somit eine dauerhafte Verbindung mit der IT-Infrastruktur zunehmende Risiken bietet.
Ein gutes Beispiel dafür sind Maschinen, die vor mehr als 10 Jahren angeschafft wurden und deren Steuerungen somit noch auf Windows XP, Windows 95 oder ähnlich alten Linux Betriebssystemen fußen, die aufgrund inzwischen aufgedeckter Sicherheitslücken (z.B. das bei alten Windows-Systemen verwendete SMBv1 Protokoll) bei Integration in die Firmen-IT erhebliche Sicherheitslücken reißen würden.
Die reflexhafte Gegenmaßnahme der IT-Verantwortlichen im Sinne eines bestmöglichen Schutzes ist daher die konsequente Abschottung von OT zu IT, also diametral zum Gedanken einer Konvergenz.
Der in bester Absicht gefasste Entschluss zur Entkopplung von IT und OT und der gleichzeitige Erwartungsdruck an die Schaffung eines höheren Digitalisierungsgrad des Unternehmens, führt wiederum zu Stilblüten, die sich in der Schaffung einer „Schatten-IT“ manifestieren, bei der, zunächst oft gedacht als „work around“ „digitale Beipässe“ zum eigentlich abgetrennten Bereich der Produktionssysteme gelegt werden. Der Kreativität der Beteiligten sind dabei häufig kaum Grenzen gesetzt und Maßnahmen reichen von durch das Unternehmen getragenen USB-Sticks und mobilen Festplatten, auf denen Maschinendaten zwischen Produktion und den IT-Systemen in den Büros händisch transportiert werden, bis hin zu separaten Infrastrukturen wie z.B. der Schaffung von Funkstrecken zwischen OT und IT, mit denen der vormals bestehende und eigentlich aus gutem Grund geschaffene „digital moat“ (engl. Wassergraben) überbrückt wird.
Ebenso oft werden Wartungszugänge, die man mittlerweile bei nahezu allen Maschinen neueren Datums in Form von VPN-Gateways für Direktzugriff auf Maschinen oder Produktionsabschnitte vorfindet, in die eigentlich für Wartungszwecke gedacht sind, für permanente Datenverbindungen genutzt. Hierbei ist anzumerken, dass auch viele Maschinenhersteller selbst diese vermeintlich sichere Verbindung als ihre Digitalisierungslösung anbieten.
Dabei wird oftmals übersehen, dass ein vermeintlich sicher verschlüsselter VPN-Tunnel im Falle eines Zugriffs auf eine Endstelle natürlich auch für missbräuchlichen Zugriff auf die gegenüberliegende Endstelle gekapert werden kann, womit dann eine entsprechend dahinterliegende Maschine vollständig angreifbar wird.
Viele Maßnahmen, die in der IT praxiserprobte Verfahren darstellen, sind, auf den Produktionsbereich übertragen, nicht oder nur bedingt zur Gefahrenabwehr geeignet. Die oft praktizierte Segmentierung von Netzen lässt sich durch Kapern eines intelligenten Routers leicht umgehen, Firewalls, die klassische IT-Angriffe verhindern sollen, bieten in der OT nur bedingt Vorteile oder erschweren oder verhindern sogar die Konnektivität zwischen Produktionsabschnitten. Zusätzlich unterscheiden sich Kommunikationswege in der Produktion (Schnittstellen / Interfaces wie auch Protokolle) erheblich von den in der IT gebräuchlichen Technologien (üblicherweise TCP/IP Verbindungen) und zeichnen sich durch spezifische und für den reibungslosen Ablauf kritische Eigenschaften wie z.B. Echtzeitfähigkeiten aus, die in der IT in der Regel keine Priorität genießen (z.B. Profinet mit zwar physikalisch nahezu gleichen Eigenschaften wie die in der IT verwendeten Ethernet-Verbindungen aber durchaus anderen Protokollen und Charakteristika).
Mit dem zunehmenden Einsatz von dezentralisierten Sensoren und Aktoren bedingt durch den zunehmenden Einsatz von IoT (im Produktionsumfeld häufig auch als „IIoT – industrial Internet of things“ bezeichnet) erhöht sich diese Komplexität weiter.
Trotz aller Herausforderungen sprechen die Vorteile zunehmender Konvergenz für sich. Marc Wennmann, Partner Technology Consulting bei EY, sieht diese zum Beispiel als notwendige Voraussetzung zum Erreichen der der „Data Driven Enterprise“ und der „Data Driven Business Models“ (vgl. Wennmann, Marc et al; Mai 2021; „Warum IT und OT in Unternehmen verschmelzen sollten“). Gleichzeitig bestätigt auch er die Herausforderungen, die sich durch diese zunehmende Konvergenz an eine Organisation ergeben: Durch den Wegfall der oftmals historisch gewachsenen Grenzen zwischen Informationstechnologie und Operational Technology sind betroffene Unternehmen gezwungen, die Zusammenarbeit dieser vormals getrennten Bereiche zu stärken. Neben den technologischen damit einhergehenden Herausforderungen betrifft dies insbesondere die Organisation mit allen Organisationseinheiten ebenso wie einen dazu notwendigen Wandel in der Unternehmenskultur. Wird der dazu notwendige kulturelle Wandel nicht oder nicht vollständig umgesetzt entstehen die bereits exemplarisch aufgezeigten „Schatten-IT“-Strukturen.
Zur Vermeidung dieser ineffizienten und potentiell wiederum unsicheren Strukturen ist der offene Austausch aller mit der Umsetzung betroffenen Bereiche erforderlich. Gleichzeitig sind technologische Lösungen und Konzepte gefragt, die die durch die Verbindung von IT und OT begründete Komplexität soweit als möglich reduzieren, z.B. indem bereits am Entstehungsort in der OT möglichst ganzheitliche Datenlangen (engl. „data lakes“) geschaffen und diese der IT zur Verfügung gestellt werden. Die dazu notwendige Vorverarbeitungsmöglichkeit wird beispielsweise durch den Einsatz von Edge-Computing-Fähigkeiten erreicht. Dabei ist wiederum gefordert, dass hierbei die Komplexität nicht weiter gesteigert, sondern eher reduziert wird.
Da die Konvergenz von OT und IT insbesondere auf die Konvergenz von Informationsflüssen abhebt sollte überlegt werden, inwiefern auf Protokoll-basierte Verbindungen verzichtet werden kann, indem lediglich die Datenlagen zwischen OT und IT ausgetauscht werden. Führt man diesen Gedanken weiter, können auch Rückkanäle von IT zu OT z.B. zur konkreten Prozesssteuerung auf Datenpunkte reduziert werden.
Durch den Verzicht auf Direktverbindungen werden Cyberattacken einerseits erschwert und andererseits wird die hinter der IT befindliche OT (also die Details einer Produktion, die häufig spezifisches Know-How der einzelnen Unternehmen reflektiert) durch diese Maßnahme zusätzlich verschleiert.
Dieser Gedanke einer Konnektivität auf Datenebene findet zunehmend Akzeptanz in der Industrie. So geht beispielsweise das NOA Konzept von Namur von Daten-zentrischen Verbindungsmodellen über sogenannte „Datendioden“ aus (vgl. Waldeck, Boris; Glas, Thilo; “Umsetzung des NOA Konzepts”). Die Firma Arendar IT-Security GmbH spricht in diesem Zusammenhang vom Begriff der „Datenprojektion“ (vgl. Abb. 1 und 2), bei der Datenpunkte an der Grenze zwischen OT und IT aus verschiedensten Datenströmen extrahiert und durch „Projektion“ auf einen anderen, physikalisch getrennten Datenstrom wieder beliebig zusammengefasst und weitergeleitet werden. An der Umsetzungsgrenze in Form eines Edge-Devices entsteht dabei bereits der vorgenannte ganzheitliche „data lake“, bei dem Daten aus verschiedensten Quellen in einem zeitlichen Kontext zusammengefasst werden.
Während zunehmende Konvergenz von OT und IT ganzheitliche Datenlagen ermöglicht und das ursprüngliche Versprechen von Industrie 4.0 einlöst, können neue Technologien die Nutzbarkeit dieser Daten weiter stärken. So erlaubt z.B. die Sicherung der Daten durch Industrial Blockchain Verfahren bereits bei der Erhebung bzw. auf den „data lakes“ weitergehende Möglichkeiten wie den übergreifenden Datenaustausch zwischen Wirtschaftspartnern. Teilausschnitte einer ganzheitlichen Datenlage könnten dann geteilt werden, ohne einerseits interne Informationslagen vollständig offenlegen zu müssen und andererseits mit der Sicherheit für den Empfänger, dass diese Teilsicht nicht kompromittiert oder absichtlich geändert wurde.
Über den Autor: Jürgen Kreis (Dipl.-Ing., Dipl.-Wirt.Ing.) ist Vertriebsleiter für die Arendar IT-Security GmbH.
Quantifizierbare Cyberrisiken und der Wert von IT
Was ist Operational Technology (OT)?
Cookie-Manager AGB Hilfe Kundencenter Mediadaten Datenschutz Impressum & Kontakt Autoren
Copyright © 2022 Vogel Communications Group
Diese Webseite ist eine Marke von Vogel Communications Group. Eine Übersicht von allen Produkten und Leistungen finden Sie unter www.vogel.de
Arendar; Gorodenkoff - stock.adobe.com; peshkov - stock.adobe.com; gemeinfrei; Arvato Systems; SEPPmail - Deutschlang GmbH; TXOne Networks; putilov_denis - stock.adobe.com; chinnarach - stock.adobe.com; Sergey Nivens - stock.adobe.com; Vogel IT-Medien; zephyr_p - stock.adobe.com; valerybrozhinsky - stock.adobe.com; Microsoft; © Gorodenkoff - stock.adobe.com; Framestock - stock.adobe.com; Pete Linforth; Aqua Security; Elnur - stock.adobe.com; Ar_TH - stock.adobe.com; Tierney - stock.adobe.com; Getty Images; Thales; Urupong - stock.adobe.com; Brian Jackson - stock.adobe.com; Egor - stock.adobe.com; Darwin Laganzon; Tumisu; Gerd Altmann; Werner Moser