IT- und OT-Konvergenz braucht ganzheitliche Sicherheitsstrategie
OT- und IT-Sicherheit sollte aus Sicht von Anwendern und den Endpunkten betrachtet werden, sagt Bernd Gross, CTO der Software AG.
Die Einbindung von Maschinen, Anlagen und „Dingen“ aus dem (Industrial) Internet of Things stellt Unternehmen vor neue Herausforderungen bei der Organisation der Anlagesicherheit. Traditionell sind industrielle Endpunkte wie Maschinen und Anlagen nicht oder nur unzureichend vor Angriffen geschützt, denn anders als IT-Systeme hatten diese Punkte lange Zeit überhaupt keine Verbindung nach außen. Die Vernetzung über IP und damit zum weltweiten Internet der Dinge über Firmennetze und Verbindungspunkte ändert das fundamental.
Wir sehen in dieser neuen Wirklichkeit eine zunehmende Konvergenz zwischen Operational (OT) und Information Technology (IT). Dieses Zusammenwachsen führt Unternehmen in eine rundum vernetzte Welt, in der verschiedene Systeme mit unterschiedlicher Historie und auf den ersten Blick inkompatiblen Management-Ansätzen zusammenwachsen. Das führt dazu, dass wir Security neu denken müssen – auf beiden Ebenen und am Ende auf der einen, die die bisher getrennten Systeme miteinander verbindet und integriert.
Über User Experience zu mehr Sicherheit im vernetzten Unternehmen
Am besten funktioniert dieser notwendige Paradigmenwechsel nach im Kopf – über einen veränderten Blick auf die Dinge. Betrachten wir OT- und IT-Sicherheit nicht aus einer technokratischen Sicht auf die Systeme, ihre möglichen Schwächen und potenziellen Angriffspunkte. Betrachten wir sie aus Sicht von Anwendern und den Endpunkten, die es zu schützen gilt, kommen wir zu einem neuen Ansatz, der viel mit dem Managen von User Experience und der Customer Journey gemein hat.
Dabei zerlegen wir den komplexen Ende-zu-Ende-Prozess einer ganzheitlichen gedachten OT- und IT-Sicherheit in einzelne Schritte: Wer greift wann, wie und warum auf einen Endpunkt oder etwa eine Cloud-Schnittstelle zu? Wie ist dieser Access abgesichert, welche Rechte sind damit verbunden und was kann im schlimmsten Fall passieren?
Solche Analysen kennen viele aus der Software-Entwicklung und dem Marketing. Sie dienen normalerweise dazu zu verstehen, was Anwendern (und ich erweitere das hier um den Terminus „vernetzte Geräte“) tatsächlich tun. In den genannten Bereichen dient es der Verbesserung der Bedienung oder dem optimalen Befriedigen von Kundenwünschen. In einem System ganzheitlicher Sicherheit aber dient es ausschließlich einer besseren Absicherung von Nutzern und Geräten entlang der gesamten Wertschöpfungs- und Prozesskette.
Mehr Schutz für Endpunkte
Bei diesem strategischen Paradigmenwechsel rücken genau diese beiden „Komponenten“ in den Fokus: die Nutzer und die Endpunkte. Wenn sie vor Angriffen von außen geschützt sind, ist es immer noch, aber nicht mehr so erfolgskritisch, dass Netzwerke und Schnittstellen sicher sind. Das ist natürlich kein Plädoyer, deren Schutz zu vernachlässigen, denn es gibt auch dort genug schützenswerte Komponente wie Speicher oder Kommunikationsmodule. Aber auch hier hilft es, sie als schützenswerte Endpunkte zu sehen.
Ich plädiere dafür, für Schutz dort zu sorgen, wo geschäftskritische Komponenten wirken – eben an den Endpunkten. Das bezieht sich sowohl auf Maschinen und industrielle Anlagen, die bisher nicht auf die Einbindung in Netzwerke vorbereitet sind. Es bezieht sich aber auch auf die Menschen, die sie bedienen und mit ihnen arbeiten. Jeder IT-Sicherheitsbeauftragten weiß, dass die Menschen das schwächste Glied in der Sicherheitskette sind, weil sie unwissentlich und fahrlässig oder gar bewusst Fehler begehen. Es geht nicht darum, sie deswegen zu kritisieren, sondern darum, sie vor Fehlern zu schützen, etwa über Zero-Trust-Konzepte oder rollenbasierte Zugriffsrechte („Role Based Access Control“) mit Policies.
Wenn Menschen und Endpunkte im Fokus stehen, lassen sich wichtige Sicherheitsprobleme lösen. So greift zum Beispiel das Netzwerk oder immer häufiger die Cloud nicht mehr ständig und ungefragt auf Endpunkte zu und kann so im Falle eines Netzwerk-Hacks auch nicht als Angreifer agieren. Umgekehrt nutzen geschützte Endpunkte Netzwerk und Cloud dann, wenn sie sie brauchen – mit individuellen Rollen und Rechten. Diese Architektur kennen wir aus dem Bereich mobiler Geräte wie Smartphones, auch wenn viele Apps dieses Prinzip zu ihren Gunsten auszuhöhlen versuchen. Wenn wir diesen Umgang auf vernetzte Geräte und Anlagen anwenden, haben wir ein gutes Stück mehr Sicherheit geschaffen.
Wir statten Geräte am Rande von Netzwerken, sogenannte Edge-Geräte, mit immer mehr Intelligenz aus, damit sie ihre Aufgaben unabhängig großer Netzwerke erledigen, zu denen sie nur dann eine Verbindung aufbauen, wenn das notwendig ist. Es wäre sinnvoll und ist Teil eines ganzheitlichen Ansatzes, auch die OT-Sicherheit, soweit möglich, an den Edge zu verschieben.
Sicherheit ist Managementaufgabe
Zum Paradigmenwechsel und zu einer ganzheitlichen Sicht auf das Thema Sicherheit gehört es schließlich, dass Unternehmen die Verantwortung dafür nicht wie bisher meist an die IT-Abteilung oder einen CISO delegieren. Es ist Aufgabe des Managements, das zu organisieren, denn ganzheitlich kann ein Konzept nur wirken, wenn das ganze Unternehmen einbezogen ist. Security verträgt ebenso wie geschäftskritische Daten keine Silohaltung, sondern muss umfassend – und integrierend wirken.