Jens Kulikowski: OT- und IoT-Sicherheit sind geschäftskritisch
15. November 2022 | Allgeier CyRis
Aufgrund der zunehmenden Zahl an Hackerattacken, Vorgaben in Unternehmen oder durch Gesetzgeber gewinnt das Thema IT-Sicherheit erheblich an Bedeutung. Mit klassischen Lösungen wie Firewalls, Virenscannern, Schwachstellen-Scans oder auch Security Awareness Schulungen können sich Unternehmen beziehungsweise öffentliche Einrichtungen gegen Cyberkriminalität schützen. Doch Hacker entwickeln ihre Angriffstechniken laufend weiter und nutzen laut Studien immer häufiger Schwachstellen in der OT, der Betriebstechnik, aus.
Mit Jens Kulikowski, Chief Security Strategy Officer von Allgeier Security, sprachen wir in unser aktuellen Ausgabe von „3 Fragen – 3 Antworten“ über das Thema OT- und IoT-Security.
Jens, im Zusammenhang mit Cyberkriminalität tauchen immer häufiger die Begriffe OT und auch OT-Sicherheit auf. Erkläre uns doch bitte einmal was diese genau bedeuten!
OT steht für Operational Technology. Gemeint sind damit Anlagen, Maschinen, Geräte, aber auch Sensoren und Aktoren. Oder, um gleich eine Brücke zu schlagen: Dinge, die erfassen, bewegen, erzeugen, mischen, zusammenfügen und vieles mehr. OT zeichnet sich dadurch aus, dass sie meistens für eine sehr lange Nutzung und durchgängigen Betrieb gebaut ist. OT-Sicherheit beziehungsweise OT-Security, hier im Kontext IT-Sicherheit, wird relevant, sobald es um die Vernetzung von OT oder entsprechenden Elementen im Rahmen der Digitalisierung geht. Hiermit einhergehend kommen weitere Begriffe ins Spiel: IoT (Internet der Dinge) oder IIoT (Industrial Internet der Dinge). Es geht also um den IT-Schutz dieser Dinge durch Technologien und Prozesse. Denn: Mit dem Voranschreiten der Digitalisierung hat sich der Schutz vor Angriffen aus dem Internet für viele Unternehmen zu einer der größten Herausforderungen überhaupt entwickelt.
Warum ist das eine Herausforderung? Und wie ist es derzeit um das Thema IoT-Security bei deutschen Unternehmen bestellt?
Um es gleich deutlich zu sagen: IoT/IIoT ohne Security ist geschäftskritisch. IoT-Security ist ein generelles Problem und keines einer Branche oder einer Region. In der Vergangenheit waren IT und OT zwei voneinander getrennte Welten, die sich zum Teil unter konträren Anforderungen entwickelt haben. Bei der IT heißt es „up-to-date“, bei der OT hingegen „never-change-a-running-system“. Das zeigt sich besonders bei der entsprechenden Software, die genutzt wird. Sie ist bei OT-Systemen auf Stabilität ausgelegt, aber nicht immer aktuell, zumindest nicht mit Blick auf das Thema IT-Sicherheit. Und nun sollen IT und OT verbunden werden. Das sind Herausforderungen, durchaus auch mit Konfliktpotential. Parallel konvergieren auch lokale Netzwerke mit Cloud-Strukturen, wodurch die Zahl der Angriffsvektoren massiv ansteigt.
Generell gibt es beim Thema OT- oder IoT-Security großen Nachholbedarf. Trotz der Bemühungen, hier nachzurüsten, gibt es große Lücken. In meinen Augen werden OT-Systeme für sich selbst auch mittelfristig nicht den aktuellen Stand der IT-Sicherheit haben. Dazu kommt die Tatsache, dass nicht alle etablierten IT-Sicherheitsmaßnahmen in der OT wirksam sind.
Worauf sollten Unternehmen achten, um sich gegen Angriffe, die auf die IoT zielen, zu schützen?
Immer wiederkehrend und daher für mich die wichtigsten Hausaufgaben: Niemand vernetzt seine OT ohne Grund. Das ist essenziell. Der Grund sorgt für Einsparungen oder sogar Mehreinnahmen, macht es somit geschäftskritisch und bringt auch das Budget für die Sicherheitsmaßnahmen, die OT sicher zu halten. Das ist wichtig und darüber sollten sich Unternehmen im Klaren sein. So ein Grund hilft auch bei Security Awareness Programmen, da diese ein für Laien durchaus komplexes Thema konkret greifbar beziehungsweise begreifbar machen. Und ohne sensibilisierte Mitarbeiter werden alle Maßnahmen wenig Erfolg haben. Ein Grund schafft die Grundlage für Maßnahmen und
- erzwingt eine Inventarisierung und schafft Transparenz
- hilft die Kommunikation auf den Grund/Zweck einzuschränken (Firewall-Settings)
- unterstützt dabei, Risiken einzuschätzen und zum Beispiel durch Netzwerksegmentierung zu minimieren
- ermöglicht oder verbessert den Betrieb der OT-Vernetzung und macht sie damit resilienter.
Nun sind IT- und OT-Security nicht unbedingt das Kerngeschäft von zum Beispiel Maschinenbauern oder Produktionsbetreibern, entsprechend sind auch das Knowhow oder die Personalkapazitäten hier begrenzt. Daher noch ein Tipp: Bleiben Sie fokussiert auf Ihr Kerngeschäft und holen Sie sich Partner für IT- und OT-Security.