SPONSORED-POST Dossier Kompakt von SPIE ICS

Von der Dichotomie zur Symbiose ­zwischen OT- und IT-Systemen

Uhr
von Christophe Francey, Chief Technology Officer, Spie ICS & Alexandre Garnier, Head of Business Development Connectivity and Cybersecurity, Spie ICS & Frédéric Noyer, Head of Governance Spie ICS

Die Konvergenz von Operational Technology (OT) und Informationstechnologie (IT) ist eine entscheidende Herausforderung für die moderne Cybersicherheit. Doch die Erfahrung zeigt, dass sie oft unterschätzt wird.

Die Bedeutung der Cybersicherheit von Betriebssystemen ist unbestritten. In der Praxis konzentrieren sich die Bemühungen jedoch häufig auf die Informationstechnologie (IT). Die Herausforderung liegt in den inhärenten Unterschieden zwischen Operational Technology (OT) und IT. Dazu zählen auch ihre Ziele, Technologien und Governance-Modelle.

 

Die Lücke in der Cybersicherheit von OT-Systemen

OT-Technologien haben hohe Anforderungen an die Integrität, Zuverlässigkeit und Verfügbarkeit von Betriebsabläufen. Veraltete Geräte, die nicht vom Hersteller unterstützt und ohne Sicherheitsbedenken entwickelt wurden, sind weit verbreitet und setzen Unternehmen einem erhöhten Risiko durch Cyberbedrohungen aus.

Dies führt zu einer schnellen Ausweitung der Angriffsfläche, die durch die zunehmende Integration von OT und IT noch verschärft wird.

 

Auf dem Weg zu einer strategischen IT-Governance

Um die Lücke zwischen OT und IT zu überbrücken, sollten Unternehmen das Bedrohungslandschaft für diese Bereiche ganzheitlich betrachten. Es ist von entscheidender Bedeutung, dass OT und IT ihre Vorhaben zusammenführen und diese Chance nutzen, um eine kohärente, effektive und auf alle Herausforderungen zugeschnittene Verteidigungsstrategie zu entwickeln. Ein einheitlicher OT-IT-Rahmen für Cybersicherheit, der durch Standards wie IEC 62443, NIST SP 800-32 und GMP oder Konzepte wie das Purdue-Modell aufgebaut wird, ermöglicht es Organisationen, auf einem soliden Fundament zu stehen. Damit werden neue Paradigmen integriert und tragen dazu bei, Risiken zu mindern und ihre Widerstandsfähigkeit gegen Cyberbedrohungen zu gewährleisten. Dies fördert eine sichere und anpassungsfähige Transformation im heutigen digitalen Ökosystem.

 

Fazit

Allzu oft beschränken sich Organisationen darauf, generische Lösungen einzusetzen, ohne die Risiken zu berücksichtigen, welche mit der Integration der beiden Umgebungen ineinander verbunden sind. Die sich ständig weiterentwickelnde Informationssicherheit der OT erfordert besondere Aufmerksamkeit und spezialisiertes Fachwissen. Eine angemessene Governance-Politik ist der beste Weg, um eine wirksame Sicherheitsstrategie zu etablieren. So können Unternehmen Risiken vollständig identifizieren und angemessene Massnahmen ­umsetzen.


« Die OT kann Ziel oder Vektor für ­Angriffe auf die IT sein »

Systeme der Operational Technology (OT) sind sowohl Ziele von Cyberangriffen als auch sehr anfällig für Unterbrechungen und erfordern daher besondere Schutzmassnahmen. Im Interview erklärt ­Alexandre Garnier, Head of Business Development Cybersecurity & Connectivity bei Spie ICS, wie man diese anspruchsvollen Umgebungen absichern kann. Interview: Rodolphe Koller, Übersetzung: Tanja Mettauer

Welche besonderen Risikien sind operative Systeme ausgesetzt und mit welchen Arten von Angriffen werden sie konfrontiert?

Alexandre Garnier: Systeme der Operational Technology (OT) sind Sicherheitsbedrohungen ausgesetzt, die neben den klassischen IT-Schwachstellen auch Risiken umfassen, die speziell mit ihrer Natur zusammenhängen. Hierzu zählen etwa lebensbedrohliche physische sowie Umweltgefahren, die finanziellen Folgen eines Produktionsstopps oder das Risiko der Nichteinhaltung branchenspezifischer Vorschriften. Eine bemerkenswerte Eigenheit ist: Die OT kann Ziel oder Vektor für Angriffe auf die IT sein. Was die Art der Angriffe betrifft, so werden OT-Systeme hauptsächlich mit Malware, Denial-of-Service-Angriffen (DDoS) und Kompromittierungen der Lieferkette konfrontiert.

 

Inwiefern unterscheidet sich der Schutz von OT-­Systemen vom Schutz von IT-Systemen?

Der Unterschied zwischen dem Schutz von Produktionssystemen (OT) und Geschäftssystemen (IT) liegt vor allem an den Besonderheiten der OT. So ist zum Beispiel die Implementierung von Sicherheitsupdates, die nahtlos in das IT-Ökosystem integriert ist, bei OT-Systemen oft komplex oder gar nicht durchführbar. Letztere zeichnen sich durch eine stark kontrollierte Umgebung und häufig angepasste oder veraltete Betriebssysteme aus und erfordern einen kontinuierlichen Betrieb ohne Unterbrechungen. Dieser Zwang zur ununterbrochenen Verfügbarkeit erfordert eine Anpassung des traditionellen Modells der mehrstufigen Verteidigung. Der Schutz von OT-Systemen stützt sich daher überwiegend auf externe Sicherheitsmechanismen, da es schwierig ist, direkte Eingriffe an diesen Geräten vorzunehmen.

Integrieren die Hersteller von OT-Systemen in der Regel Schutztools in ihre Produkte?

Die Integration von Schutzmechanismen durch die OT-Hersteller variiert je nach Branche und Regulierungsgrad. Viele OT-Hersteller haben die Risiken noch nicht erkannt und bieten Produkte ohne eingebaute Sicherheitsfunktionen an. Die meisten Hersteller, die sich auf den Bau von OT-Geräten spezialisiert haben, verfügen nicht über umfassende IT-Kenntnisse, was zu einer Unterschätzung der Risiken beiträgt.

 

Gibt es heute spezialisierte Anbieter, die Sicherheitslösungen speziell für diese Umgebungen anbieten?

Die wichtigsten Anbieter von IT-Sicherheitslösungen haben erkannt, wie wichtig der Schutz von operativer Technologie (OT) ist, und bieten spezielle Lösungen für diesen Zweck an. Der Markt hat sich um Lösungen erweitert, die sich mit der Erkennung von OT-Komponenten in Netzwerken, ihrer Sicherung und der sicheren Verwaltung von Remote-Zugriffen befassen. Die Erweiterung und Diversifizierung von Sicherheitslösungen, die speziell für OT entwickelt wurden, zeugt von einem wachsenden Bewusstsein für die Herausforderungen und Risiken, die mit diesen kritischen Umgebungen einhergehen.

 

Wie können Organisationen ihre OT- und IT-Umgebungen auf integrierte und effektive Weise schützen?

Um IT- und OT-Umgebungen wirksam zu sichern, ist es entscheidend, die Zusammenarbeit zwischen den für diese Bereiche verantwortlichen Teams zu fördern, die allzu oft unabhängig voneinander verwaltet werden. Die Governance und die Sicherheitsstrategie müssen überarbeitet werden, um die Besonderheiten der OT mit einzubeziehen. Das setzt eine genaue Kenntnis und Verwaltung der OT-Flotte voraus, die aber oft vernachlässigt wird. Angesichts der Entwicklung hin zur Industrie 4.0 und des Bedarfs an Konnektivität werden traditionelle Ansätze wie die physische Isolierung (Air Gap) überflüssig, was die Einführung von Sichtbarkeits- und Sicherheitslösungen, die auf die OT zugeschnitten sind, unabdingbar macht.

 

Operational Technology

  • Operational Technology ist eine Kategorie von IT-Technologien, die Hard- und Software zur Überwachung von Maschinen und industriellen Prozessen in allen Branchen umfasst. Der Begriff hat sich durchgesetzt, um die technologischen und funktionalen Unterschiede zwischen herkömmlichen Systemen der Informationstechnologie (IT) und der Umgebung von industriellen Kontrollsystemen aufzuzeigen.

Purdue-Modell

  • Entworfen in den 1990er-Jahren an der Purdue University, ist das Purdue-Modell Bestandteil der PERA-Methodik (Purdue Enterprise Reference Architecture). Es bildet ein Referenzmodell für die Beziehungen zwischen Automations- und industriellen Steuerungssystemen sowie Geschäftsnetzwerken. Das Referenzmodell schlägt Best Practices für den Schutz von OT-Cyberbedrohungen vor.
Webcode
TB8CYcZm