Vor diesem Hintergrund gewinnen regulatorische Maßnahmen wie NIS2 oder der Cyber Resilience Act (CRA) an Bedeutung. Diese Regelwerke fordern umfassende Risikomanagementmaßnahmen, die explizit auch die OT-Security einschließen. Mehr noch: Unternehmen sind gezwungen, ihre Sicherheitsstrategien grundlegend zu analysieren und zu verbessern. Sie müssen in neue Technologien investieren, Prozesse anpassen und das Bewusstsein innerhalb ihrer Organisation schärfen. Gleichzeitig bieten die Gesetze Chancen, die Resilienz gegen Cyberangriffe zu erhöhen und das Vertrauen in digitale Technologien zu stärken.
Die OT-Security-Landschaft stellt die Industrie vor technische und organisatorische Aufgaben, wobei Inkompatibilität von Komponenten, Datensicherheit und veraltete Technologien zu den Hauptproblemen zählen. Mangelhafte Asset-Verwaltung und unzureichendes Wissensmanagement erhöhen Kosten und Risiken, während kontinuierliche Mitarbeiterschulungen essenziell für eine verbesserte IT-Sicherheit sind. Diese Komplexität erfordert einen systematischen Ansatz für effektive OT-Security-Strategien.
Maßnahme I: Transparenz
Das Asset-Management bildet das Fundament für eine umfassende OT-Security-Strategie und ermöglicht einen ganzheitlichen Ansatz zum Schutz kritischer Infrastrukturen. Um potenzielle Schwachstellen zu identifizieren und angemessen zu schützen, muss der Anwender wissen, welche Hard- und Software, Netzwerkgeräte und Steuerungssysteme sich im Netzwerk befinden. Da in OT-Umgebungen oftmals ältere Geräte mit Sicherheitsrisiken zum Einsatz kommen, hilft die Inventarisierung bei der Erkennung nicht mehr unterstützter Komponenten. Mit dem Wissen über alle Komponenten im Netzwerk kann eine Priorisierung hinsichtlich der potenziellen Bedrohung der einzelnen Assets vorgenommen werden, um so bei der Einführung von Sicherheitsmaßnahmen fundierte Entscheidungen zu treffen. Zudem unterstützt ein effektives Asset-Management bei der Einhaltung von Compliance-Anforderungen und ermöglicht die gezielte, sichere und auf den Produktionsprozess abgestimmte Implementierung von Updates und Patches.
Wie eine ganzheitliche und umfassende Sichtbarkeit und Kontrolle in der gesamten Fertigungsumgebung im Sinne einer strengen Sicherheitsstrategie erreicht werden können, zeigt der Use Case des Asset-Intelligence-Spezialisten Armis und Colgate-Palmolive. Aufgrund von mangelnder Transparenz im Produktionsbereich waren die Verantwortlichen des Konsumgüterkonzerns auf der Suche nach einer Plattform, die alle Geräte im Netzwerk identifiziert, profiliert und klassifiziert, und es darüber hinaus ermöglicht, automatisiert Richtlinien durchzusetzen sowie die Netzwerksegmentierung zu erleichtern. Die einfache Verwaltung der Cloud-Infrastruktur stellt einen weiteren Vorteil dar. Damit bietet Armis mit seinen spezifischen Lösungsansätzen eine umfassende Asset-Erkennung, die Erstellung einer Risikobewertung und die Fokussierung auf die Behebung kritischer oder ausnutzbarer Schwachstellen zur schnellen Reduzierung der Angriffsfläche.
Maßnahme II: IT/OT-Konvergenz
Die Vernetzung von IT- und OT-Systemen erhöht potenzielle Cyberrisiken, indem isolierte OT-Systeme nun über Netzwerke erreichbar werden und neue Angriffsvektoren entstehen. Unterschiedliche Security-Standards zwischen ausgereiften IT-Systemen und älteren OT-Systemen, die oft nicht für Netzwerkverbindungen konzipiert sind, verschärfen dieses Problem. Die Integration von komplexen Systemen mit unterschiedlichen Protokollen, Datenformaten und Architekturen erschwert die Implementierung einheitlicher Maßnahmen. Strenge Verfügbarkeitsanforderungen von OT-Systemen stehen im Konflikt mit klassischen IT- Security-Maßnahmen, wie regelmäßigen Patches oder Neustarts. Fehlende Transparenz und Kontrolle über alle vernetzten Geräte in der konvergierten Umgebung behindern außerdem die effektive Erkennung von Cyberbedrohungen, während unterschiedliche Sicherheitskulturen und Prioritäten zwischen IT- und OT-Teams die Zusammenarbeit erschweren. Zudem lassen sich veraltete OT-Systeme mit langen Lebenszyklen meist nicht einfach aktualisieren, was sie anfällig für Sicherheitslücken macht. Schließlich können Vorfälle in konvergierten Umgebungen schwerwiegende Folgen für die physische Produktion und Sicherheit haben. Deshalb ist ein Ansatz erforderlich, der sowohl IT- als auch OT-spezifische Anforderungen berücksichtigt und eine enge Zusammenarbeit zwischen den Teams fördert.
Vor den Herausforderungen stand ein Kritis-Unternehmen im Bereich der erneuerbaren Energien. Dabei wurde nach einer skalierbaren und flexiblen Netzwerkinfrastruktur gesucht, die die laufenden Innovationen unterstützt und Sichtbarkeit sowie zentrale Kontrolle über alle Systeme bietet. Einen solchen integrierten Ansatz bietet Fortinet Security Fabric, dessen ganzheitlicher Sicherheitsansatz sowohl IT- als auch OT-Systeme abdeckt. Fortinets Cloud-kompatible Lösungen zahlen auf die Cloud-Strategie des Unternehmens ein, während die SD-Branch-Lösung eine flexible und skalierbare Netzwerkarchitektur ermöglicht. Die Fortinet-Plattform bietet zudem Transparenz und Kontrolle über alle Systeme sowie spezifische OT-Funktionen und Protokollunterstützung. Auf diese Weise konnte das Kritis-Unternehmen eine sichere, skalierbare und gut integrierte Netzwerkinfrastruktur aufbauen, die sowohl IT- als auch OT-Anforderungen erfüllt und gleichzeitig die Cloud-basierte digitale Strategie unterstützt.
Maßnahme III: Komplexität reduzieren
Eine sichere Koexistenz und Integration von Alt- und Neusystemen, ohne dabei die Betriebsabläufe negativ zu beeinflussen, ist für viele Unternehmen eine Mammutaufgabe. Denn Altsysteme verfügen häufig nicht über moderne Security-Funktionen und können daher nur schwer gepatcht werden, und auch die Integration beider Systemarten kann zu Kompatibilitätsproblemen führen. Wichtige Aspekte sind außerdem regulatorische und Verfügbarkeitsanforderungen.
Für das Getränkeunternehmen Krombacher stellte TXOne Networks ein passendes Lösungspaket im Sinne der IT/OT-Konvergenz bereit: Alt- und Neusysteme können durch virtuelle Segmentierung sicher getrennt und integriert werden, wobei die Sicherheitsmaßnahmen flexibel auf die unterschiedlichen Anforderungen angepasst sind. Die OT-nativen Lösungen berücksichtigen die Besonderheiten industrieller Umgebungen und gewährleisten umfassende Transparenz über alle Netzwerkgeräte. Für nicht direkt patchbare Systeme stellt TXOne virtuelle Patching-Optionen bereit und unterstützt bei der Einhaltung regulatorischer Vorgaben. Sämtliche Sicherheitsvorkehrungen lassen sich mit kleinen Betriebsunterbrechungen einführen.