Weltweit sind derzeit Schätzungen zufolge 2,7 Millionen Stellen in der IT-Sicherheit unbesetzt. Noch gravierender ist die Lücke im spezialisierten Sektor der industriellen Cybersicherheit: Die IT hat gegenüber der Betriebstechnik (OT) einen jahrzehntelangen Vorsprung beim Aufbau von Security-Fachwissen und damit einen deutlich größeren Talentpool.

Laut einer von Pollfish im September 2021 durchgeführten weltweiten Umfrage unter IT- und OT-Sicherheitsexperten gaben 90 Prozent der Befragten an, dass sie mehr Fachleute für industrielle Cybersicherheit einstellen möchten. Etwa ebenso viele (88 Prozent) erklärten, dass sie Schwierigkeiten hätten, Kandidaten mit dem nötigen Know-how zu finden. An diesem Problem wird sich auf absehbare Zeit nichts ändern. Deshalb sollten Personal- und Sicherheitsverantwortliche auch alternative Wege in Betracht ziehen.

Kann man OT-Positionen im Bereich Cybersicherheit nicht besetzen, empfiehlt sich eine Schulung ausgewählter IT-Mitarbeiter, um die OT-Abläufe zu überwachen. OT-Systeme haben zwar andere Spezifikationen, doch angesichts längerer Lebenszyklen sind die meisten von ihnen veraltet. Gerade erfahrene IT-Mitarbeiter sollten daher mit den zugrunde liegenden Technologien vertraut sein.

Die IT-Mitarbeiter müssen zunächst die verschiedenen Anforderungen dieser Systeme und Netzwerke verstehen. Das geht am besten in der Praxis. Sie sollten beispielsweise wissen, wie eine speicherprogrammierbare Steuerung (SPS) gepatcht wird. Es gilt, Wartungsfenster zu implementieren und alle erforderlichen Sicherheitsmaßnahmen zu planen, um OT-Systeme und -Netzwerke zu warten und zu aktualisieren.

Der Vorteil dabei ist, dass die eigenen IT-Mitarbeiterinnen und -Mitarbeiter bereits mit dem Unternehmen und seinen Prozessen vertraut sind. Sie wissen wahrscheinlich, wo sie das nötige Know-how finden können. Insofern ist dies ein zeit- und kosteneffizienter Weg, um das OT-Sicherheitsprogramm in Gang zu bringen. Gleichzeitig lässt sich auf diese Weise auch eine Brücke zwischen IT- und OT-Teams bauen, was sich im Rahmen der zunehmenden Verschmelzung von IT und OT mittelfristig auszahlen wird.

Lesetipp: Industrieanlagen schützen - Sechs-Punkte-Plan für die OT-Sicherheit

Vereinzelt gibt es mittlerweile auch an den Universitäten, insbesondere in den USA, mehr Inhalte und Studiengänge, die sich auf OT-Sicherheit beziehen. Aber auch im deutschsprachigen Raum stehen zahlreiche Ausbildungsmöglichkeiten im Bereich der internationalen Normenreihe für "Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme" IEC 62443 zur Verfügung. Angeboten werden diese beispielsweise von Fraunhofer, TÜV Süd, CertX, diversen IHKs und privaten Trainingsanbietern.

Auch der öffentliche Sektor reagiert auf den ständig wachsenden Bedarf an industrieller Cybersicherheit. So hat beispielsweise die Cybersicherheitsbehörde von Singapur (CSA) im Oktober 2021, unterstützt von Privatunternehmen, ein Kompetenz-Framework für betriebliche Cybersicherheit (Operational Technology Cybersecurity Competency Framework, OTCCF) eingeführt. So soll eine Grundlage geschaffen werden, um Talente für den OT-Cybersicherheitssektor des Landes zu gewinnen und zu entwickeln. Ähnliche Bestrebungen finden sich auch in den meisten anderen Industrienationen.

Bis diese Initiativen Früchte tragen, lassen sich Lücken auch mit Technologie schließen. Es ist schwer, über alle Anlagen in industriellen Umgebungen den Überblick zu behalten und sie zu verwalten. Noch schwerer ist es, sie abzusichern, vor allem in den wachsenden Ökosystemen aus vernetzten Anlagen und Geräten. Allerdings macht die Technologie große Fortschritte bei der Interpretation intransparenter OT-Netzwerke. Das gilt auch für das erweiterte Internet der Dinge (XIoT), industrielle IoT-Geräte (IIoT), das Internet der medizinischen Dinge (IoMT) und das Unternehmens-IoT.

Lösungen, die speziell für die Asset-Transparenz entwickelt wurden, helfen dabei, Schwachstellen und verdächtiges Verhalten im XIoT zu identifizieren. Sie bilden die Grundlage für eine kontinuierliche Bedrohungsüberwachung. Auf diese Weise können Gefahren erkannt und adressiert werden, die die IT/OT-Grenze überschreiten.

Diese Lösungen können meist schnell implementiert werden und lassen sich in OT- und IT-Systeme sowie Arbeitsabläufe integrieren. Damit ermöglichen sie es IT- und OT-Teams, OT-Umgebungen gemeinsam zu überwachen. Auf der Grundlage derselben Informationen können diese Teams innerhalb von Wochen, nicht wie bislang meist Monaten, konkrete Schritte zur Risikominimierung und Verbesserung der Sicherheit einleiten.

Die OT-Cybersicherheitslücke muss an mehreren Fronten angegangen werden: in der akademischen Welt, in der Gesetzgebung und in den Unternehmen. Wenn es gelingt, das Fachwissen mit dem technologischen Fortschritt zu kombinieren, können kompetente OT-Sicherheitsspezialisten ausgebildet und gleichzeitig der Schutz kritischer OT-Umgebungen, auf die es Angreifer jetzt abgesehen haben, nachhaltig verbessert werden. (jm)