17. FEBRUAR 2025
8 MIN.
Risikomanagement für OT-Netzwerke: IT/OT-Konvergenz richtig gestalten
Wer Messen und Events zur Lage der Cybersicherheit in der industriellen Produktion besucht, stößt immer wieder auf diese Fragestellung: Wie können wir unsere IT- und OT-Systeme miteinander in Einklang bringen?
Gerade im Angesicht immer größerer Bedrohungen durch Cyberkriminalität ist es elementar, im gesamten Unternehmen für Cyberrisiken zu sensibilisieren und ihrer Behebung Priorität einzuräumen.
Dabei sollte dem so wichtigen Austausch zwischen IT- und OT-Fachkräften im Unternehmen genügend Raum verschafft werden.Passend dazu möchten wir in diesem Artikel die grundlegenden Herausforderungen untersuchen, die bei der Integration der Shopfloor Assets in das Informationssicherheits-Managementsystem (ISMS) bestehen und Strategien aufzeigen, mit denen man diese meistern kann.
Die fundamentalen Unterschiede zwischen OT und IT
1. Operative Prioritäten
1. Operative PrioritätenWährend IT-Umgebungen in der Regel auf die Vertraulichkeit und Integrität von Daten optimiert werden, stehen in den OT-Netzwerken Verfügbarkeit und Prozessstabilität an erster Stelle. Denn Downtimes in der Produktion wirken sich unmittelbar auf das Geschäft aus und sind nicht mit einem schnellen Systemneustart in der IT zu vergleichen.
2. Lebenszyklus der Systeme
2. Lebenszyklus der SystemeDer Einsatz von Produktionsanlagen wird aufgrund der hohen Anschaffungskosten über Jahrzehnte hinweg geplant, was zur Folge hat, dass viele heute noch laufende Anlagen hard- und softwareseitig veraltet sind und nie für eine Vernetzung konzipiert wurden. Im Gegensatz dazu durchlaufen IT-Systeme viel kürzere Lebenszyklen und werden von den Herstellern für die Lebensdauer kontinuierlich mit Updates versorgt.
3. Netzwerkkommunikation
3. NetzwerkkommunikationIndustrieanlagen kommunizieren oft mithilfe von spezialisierten Netzwerkprotokollen und Standards, die beispielsweise Verbindungen in Echtzeit mit möglichst niedriger Latenz ermöglichen. Solche Protokolle werden während der Laufzeit der Maschine aufgrund des hohen Aufwands selten aktualisiert und sind nicht mit den IT-Netzwerken kompatibel. So benötigen viele ältere OT-Systeme noch das Server Message Block (SMB) Protokoll in der unsicheren Version SMBv1, während die meisten IT-Systeme mit der aktualisierten SMBv3 arbeiten.
Um dennoch eine Überwachung des Netzverkehrs und bidirektionale Kommunikation zwischen den Netzwerken zu ermöglichen, werden Softwaretools wie der edge.SHIELDOR von TRIOVEGA eingesetzt. Die patentierte Lösung für die OT-Sicherheit kann beispielsweise im IT-Netzwerk in SMBv3 vorliegende Dateien in das veraltete SMBv1 umwandeln und mit einem Verzeichnis im OT-Netzwerk synchronisieren. Auch der umgekehrte Weg wird unterstützt. Dabei werden die Dateien fortwährend auf Malwaresignaturen überprüft und auftretende Bedrohungen isoliert. So wird die Kommunikation mit der Anlage möglich, während Sicherheitsrisiken gesenkt werden.
Schlüsselelemente einer erfolgreichen IT/OT-Konvergenz
1. Einheitliches Risikomanagement
1. Einheitliches RisikomanagementDie Eigenheiten beider Systemlandschaften müssen gleichermaßen in der Bewertung von Unternehmensrisiken berücksichtigt werden. Ein erfolgreiches Risikomanagement vereint deswegen operative und sicherheitsrelevante Auswirkungen aller IT- und OT-Komponenten in einer gemeinsamen Strategie für das ISMS, die auch die Kommunikation über die Netzwerkränder hinweg einschließt.
Bestehende ISMS-Richtlinien sollten um OT-spezifische Aspekte erweitert werden:
Spezielle Patch- und Updateprozesse, die Produktionszeiten berücksichtigen
Angepasste Backup-Strategien für Steuerungssysteme
OT-spezifische Incident-Response-Pläne
Besondere Zugriffskontrollen für Wartungspersonal und externe Dienstleister
Neue Cybersicherheits-Regularien wie die NIS-2-Richtlinie der EU, von der die meisten Industrieunternehmen betroffen sind, erfordern eine solche Integration der OT-Systeme in das organisationsübergreifende Sicherheitskonzept. Wenn Sie diese Punkte in Ihr ISMS aufnehmen, sind Sie für die Erfüllung der gesetzlichen Anforderungen gut gewappnet.
2. Schulungen und Sensibilisierung
2. Schulungen und SensibilisierungDieses gemeinsame Vorgehen setzt ein gegenseitiges Verständnis für die speziellen Herausforderungen in den IT- und OT-Abteilungen im Unternehmen voraus. Wurde in der Vergangenheit typischerweise jeweils in Silos gearbeitet, müssen die Mitarbeitenden in der Produktion nun für IT-Sicherheitsrisiken sensibilisiert werden, während IT-Personal die besonderen Anforderungen der Produktion verstehen muss. Regelmäßige Schulungen und ein kontinuierlicher Austausch zwischen beiden Bereichen sind essentiell.
3. Netzwerksegmentierung und Monitoring
3. Netzwerksegmentierung und MonitoringEine strikte Trennung zwischen IT- und OT-Netzwerken ist unverzichtbar, um zu verhindern, dass Malware sich in der gesamten Organisation ausbreiten kann. Traditionelle Ansätze der Netzwerksegmentierung ermöglichen die notwendigen Verbindungen dabei durch offene Ports, die ihrerseits ein Einfallstor für Angriffe darstellen.
Hier können Softwarelösungen wie der edge.SHIELDOR Abhilfe schaffen: Angelehnt an das Air Gap-Konzept wird eine vollständige Trennung zwischen den Netzwerken erreicht, wobei der Datenverkehr zwischen Produktionsanlagen und Unternehmens-IT selektiv über positive oder negative Filterregeln zugelassen wird. Intrusion Detection und Intrusion Prevention Systeme identifizieren und blockieren unerwünschte Kommunikationsversuche. Die Netzwerk-Ports können geschlossen bleiben.
Mit diesen grundlegenden Strategien können Unternehmen die Konvergenz von IT und OT auf effiziente Weise gestalten. Natürlich müssen in größerer Detailtiefe viele Aspekte beachtet werden, die von individuellen Faktoren abhängen.
Noch Fragen? Buchen Sie Ihren Beratungstermin
Mit diesen grundlegenden Strategien können Unternehmen die Konvergenz von IT und OT auf effiziente Weise gestalten. Natürlich müssen in größerer Detailtiefe viele Aspekte beachtet werden, die von individuellen Faktoren abhängen. Unsere Experten beraten Sie gerne online zu unserem Produktportfolio: hier unverbindlichen Termin vereinbaren
Autor: René Janz
René Janz ist als Wirtschaftsingenieur mit tiefem Wissen über den Shopfloor seit 2023 bei TRIOVEGA GmbH tätig und verantwortet dort in seiner Rolle als Director Business Development den strategischen Ausbau von OT Sicherheit und Digitalisierung in der Industrie.
Sie wollen mehr über unsere Produkte
und Lösungen erfahren?
edge.SHIELDOR
Ganzheitliche OT Sicherheit für Industrieanlagen, die Datenkonnektivität
ermöglicht und nachhaltig Kosten senkt
service.factory.INSIGHTS
Potenziale entdecken und Produktionsprozesse nachhaltig optimieren
mit unserer Data Science-Expertise
Das könnte Sie auch interessieren:
- Cyber Resilience Act – neue Herausforderungen in der Entwicklung vernetzter ProdukteFachkräfte aus dem IT-Bereich wissen längst, dass sie nichts mit dem amerikanischen Geheimdienst zu tun haben: die drei Säulen der sogenannten CIA-Triade, Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit).
- CIA-Triade in der Industrie 4.0: So sichern Sie den ShopfloorFachkräfte aus dem IT-Bereich wissen längst, dass sie nichts mit dem amerikanischen Geheimdienst zu tun haben: die drei Säulen der sogenannten CIA-Triade, Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit).
- NIS-2-Richtlinie: Welche Maßnahmen die Industrie jetzt umsetzen mussWelche Maßnahmen fordert die NIS-2-Richtlinie von Industrieunternehmen? Entdecken Sie die wichtigsten Anforderungen und Pflichten für eine erfolgreiche Umsetzung.
