In der IT spielt das Thema Cybersecurity schon lange eine bedeutende Rolle. Die OT hinkt hier allerdings hinterher. Warum?
Robert Dürlinger:
In der Vergangenheit wurde die OT fast nur zur Steuerung von Industrieanlagen genutzt. Im Gegensatz zur IT war sie nicht mit Netzwerken verknüpft. Die wenigen digitalen Steuerkomponenten nutzten geschlossene Protokolle, damit waren sie vor Angriffen von außen weitgehend geschützt. Heute verschmelzen OT und IT mehr und mehr. Immer mehr physische Geräte werden in Netzwerke eingebunden. Das hat viele Vorteile: von Predictive Maintenance über die Steuerung und Überwachung aus der Distanz bis hin zur effizienten Steuerung aller Prozesse. Doch die Einbindung in die Netzwerke hat auch ihren Preis: Unternehmen werden von außen angreifbarer. Deshalb steht die OT vor einem Paradigmenwechsel, und das Thema Security bekommt eine immer größere Bedeutung.
IT- und OT-Sicherheit – wo gibt es Parallelen, wo gibt es Unterschiede?
In beiden Fällen geht es um den Schutz vor Malware-Bedrohungen; bei operativen Technologien waren diese wegen ihrer Geschlossenheit bisher unbekannt. Die potenziellen Auswirkungen der Angriffe unterscheiden sich in der IT und OT jedoch stark: In der IT-Welt geht es vor allem um Vertraulichkeit. Bei Banken beispielsweise hätte ein kurzer Systemausfall einer Homebanking-Anwendung überschaubare Auswirkungen. Würden jedoch vertrauliche Bankdaten in falsche Hände geraten, könnte ein hoher Schaden entstehen. Anders ist es hingegen in der Automobilproduktion: Sollte ein Scada-System gehackt werden, kann es durch die zunehmende Vernetzung der einzelnen Maschinen und Anlagen schnell zu einem Systemausfall führen. Ähnlich ist das Szenario auch bei kritischen Infrastrukturen wie der Wasser- oder der Energieversorgung.
Welches Risiko spielen dabei veraltete Systeme oder fehlende Updates?
Veraltete Systeme stellen die OT oft vor eine große Herausforderung. Und auch das Thema Updates hat in beiden Welten eine ganz unterschiedliche Bedeutung: In der IT stehen Software-Updates vor allem für die Garantie von mehr Sicherheit. In der OT stellen gerade Software-Updates paradoxerweise ein hohes Sicherheitsrisiko dar. Ein Beispiel aus der Energieversorgung: Ein Netzleitsystem muss zu nahezu 100 Prozent verfügbar sein. Dazu werden Server redundant ausgeführt. Alle Updates müssen auf speziellen Testsystemen vorher individuell getestet werden, um absolut sichergehen zu können, dass es zu keinen Ausfällen kommt.
Inwieweit kann die OT von der IT lernen, bei der das Thema Sicherheit ja schon länger eine bedeutende Rolle spielt?
Herkömmliche aus der Unternehmens-IT bekannte Mechanismen zur Abwehr von Cyberangriffen bieten zwar eine gute Grundlage, wirken aber nicht ausreichend in der harten Echtzeitwelt der Produktion. Es gilt also, die Maßnahmen aus der IT-Welt individuell zu prüfen und an die OT anzupassen. Für einen ausreichenden Schutz in der OT-Welt bedarf es vor allem langjähriger Erfahrung. Darüber hinaus ist ein solides Verständnis über die speziellen Bedürfnisse unabdingbar. Experten beider Seiten müssen dazulernen. IT- und OT-Teams müssen eng zusammenarbeiten und einen gemeinsamen Ansatz finden. Nur so kann eine durchgängige Cybersecurity von der einzelnen Steuerung in der Produktion bis hin zu den im Unternehmen eingesetzten Cloud-Anwendung, in die Daten aus der Produktion einfließen und verarbeitet werden, gewährleistet werden.