Report: Der Faktor Mensch in der OT-Security
Nicht nur die vernetzten Maschinen bereiten Probleme bei der OT-Absicherung. Der Mensch selbst ist eine dreifache Herausforderung.
OT-Sicherheit liegt hinter IT-Sicherheit weit zurück
Mit Industrie 4.0 und der steigenden Vernetzung von Anlagen und Maschinen bekommen die IT und die OT (Operational Technology) immer mehr Berührungspunkte. Diese Konvergenz bringt die Unterschiede der beiden Bereiche sehr deutlich ans Licht. Dabei sind die verschiedenen technischen Kommunikationsprotokolle in der IT und der OT nur ein Aspekt. Ein weiterer sind zum Beispiel die Unterschiede bei der IT- und OT-Sicherheit.
Betrachtet man die gegenwärtigen Security-Herausforderungen in der OT, drängt sich das Gefühl auf, dass die OT-Sicherheit aktuell dort steht, wo die IT-Sicherheit vor vielen Jahren einmal war. Der noch frühe Entwicklungsstand der OT-Sicherheit macht die Industrieanlagen besonders interessant für Angreifende. Wie der SANS 2021 OT/ICS Cybersecurity Report zeigt, bewerten die meisten Befragten (69,8 Prozent) das Risiko für ihre OT-Umgebung als hoch oder schwerwiegend (gegenüber 51,2 Prozent im Jahr 2019). Fast die Hälfte aller Befragten (48 Prozent) wusste aber nicht, ob ihr Unternehmen kompromittiert worden war, und nur zwölf Prozent waren sich sicher, dass es keinen Vorfall gegeben hatte.
Laut dem Fortinet-Report „2021 State of Operational Technology and Cybersecurity“ hingegen erlebten 9 von 10 OT-Organisationen innerhalb eines Jahr mindestens einen Angriff, 63 Prozent hatten drei oder mehr Angriffe. Fest steht jedenfalls: Es muss mehr für die OT-Sicherheit getan werden.
OT-Sicherheit kämpft mit besonderen Herausforderungen
Doch warum steht es um die OT-Sicherheit noch nicht so gut? Die Umfragen machen deutlich: Die IT-Mitarbeiterinnen und -Mitarbeiter verstehen die OT-Betriebsbedingungen nicht, es gibt nur unzureichende personelle Ressourcen für die Umsetzung vorhandener Sicherheitspläne, herkömmliche IT-Sicherheitstechnologien sind zu komplex, um sie in einer OT-Umgebung zu implementieren und zu warten, um nur drei Beispiele zu nennen.
Wenn man sich diese Herausforderungen ansieht, haben sie eines gemeinsam: Es gibt nicht genug Fachkräfte mit der richtigen Expertise, denn selbst wenn jemand in der IT Erfahrung hat, bedeutet das noch lange nicht, dass sie oder er in der OT-Sicherheit die entscheidende Hilfe sein kann. Hier wird schnell klar, dass die OT-Sicherheit tatsächlich andere Voraussetzungen hat als die IT-Sicherheit.
Was oftmals vergessen wird: Der Mensch in der OT
Es soll noch einmal ganz deutlich gesagt sein: Wenn es um Probleme der OT-Sicherheit geht, denken viele Unternehmen und auch die Security-Verantwortlichen selbst, dass es zuerst die vernetzten Anlagen, Maschinen und Geräte sind, die nun über das Internet erreichbar werden, aber nicht behobene Sicherheitslücken aufweisen, die sich nur schwer patchen lassen und die auch die Installation einer Security-Lösung nicht immer ermöglichen, sofern es denn überhaupt eine passende Security-Lösung ist, die das Betriebssystem und die Kommunikationsprotokolle des OT-Systems unterstützt.
Was aber weitaus weniger hinterfragt wird, ist die Rolle des Menschen in der OT-Sicherheit. Offensichtlich ist auch hier die OT-Sicherheit nicht auf dem gleichen Stand wie die IT-Sicherheit, in der umfassend und breit über den Faktor Mensch, die Sicherheitslücke Mensch und die notwendige Human Firewall gesprochen wird.
Damit die OT-Sicherheit aber in Zukunft auch diese Flanke abdecken kann, sollten alle drei Aspekte des Faktors Mensch im OT-Bereich berücksichtigt werden.
Problem 1: Die Frage nach der Verantwortung
Als ausschlaggebend für Deutschlands Erfolg in der Industrie 4.0 wird vor allem ein proaktives Management in den Unternehmen gesehen (55 Prozent der Antworten), so eine Umfrage des Digitalverbands Bitkom.
Was im Management-Bereich generell bei Industrie 4.0 lobend erwähnt wird, sieht im Bereich der Security aber ganz anders aus. Laut der zuvor genannten Studie „SANS 2021 OT/ICS Cybersecurity Report“ verantwortet das IT-Management in 39 Prozent der OT-Organisationen die Sicherheitsmaßnahmen im OT-Bereich, bei 35 Prozent sind es die CIOs oder die CISOs.
Offensichtlich liegt die Verantwortung für die OT-Sicherheit eher in der IT oder in der IT-Sicherheit. Im Sinne der eingangs erwähnten IT-OT-Konvergenz kann es sinnvoll sein, die Verantwortlichkeiten für IT-Sicherheit und OT-Sicherheit stärker zu verbinden.
Voraussetzung ist aber, dass es in der IT auch das erforderliche Wissen für die besonderen OT-Herausforderungen gibt. Andernfalls drohen Budget und Security-Konzepte an dem echten OT-Bedarf vorbeizugehen.
Problem 2: Der verschärfte Fachkräftemangel
Der Fachkräftemangel ist bereits seit langem ein vorherrschendes Thema in den IT-Abteilungen: Gemäß einer von Netskope in Auftrag gegebenen aktuellen Studie baut jedes vierte Unternehmen (28 Prozent) sein IT-Sicherheitsteam aus oder rechnet damit, dass es aufgrund der Nutzung der Cloud wachsen wird, um den erweiterten Aufgabenbereich abzudecken. Dabei haben 46 Prozent der Unternehmen bereits Schwierigkeiten, geeignete Kandidaten zu finden oder erwarten dies in der Zukunft.
Wenn man nun bedenkt, dass für OT-Sicherheit weitere Fähigkeiten und Kenntnisse erforderlich sind, die über die IT-Sicherheit hinaus gehen, ist es eine einfache Rechnung, dass es sogar noch schwieriger werden dürfte, OT-Sicherheitsfachkräfte zu bekommen. Hier besteht also ein hoher Qualifizierungsbedarf, die vorhandene Ressourcenlücke wird sich in der OT-Sicherheit nicht so schnell verringern lassen.
Problem 3: Security-Awareness ist noch schwieriger
Es gibt aber noch eine dritte Herausforderung in der OT-Sicherheit, die mit uns Menschen zusammenhängt. Neben der Management-Ebene und der Security-Ebene sind es gerade die Nutzenden in der OT, die für die Sicherheit eine zentrale Rolle spielen. Betrachtet man die Art der OT-Attacken, so nutzen auch diese den Menschen als „Sicherheitslücke“ aus.
Allerdings sind die meisten Awareness-Programme im Bereich Security auf die IT zugeschnitten und nicht auf die OT. Schulungs- und Sensibilisierungsmaßnahmen, die es im OT-Bereich gibt, haben einen anderen Fokus als die Security, hier geht es vornehmlich um Safety. Also gibt es auch hier einen deutlichen Handlungsbedarf.
Kein Konzept für OT-Sicherheit ohne den Faktor Mensch
Betrachtet man also die Herausforderungen der OT-Sicherheit einmal nicht aus dem Blickwinkel der vernetzten Anlagen, sondern sieht man sich die Rolle des Menschen dabei genauer an, stellt man fest, dass es in der OT-Security auch hier einen großen Nachholbedarf gibt im Vergleich zur IT-Sicherheit. Dabei kann die IT-Sicherheit mit ihren Mitteln aber nur begrenzt aushelfen, wegen der bekannten Unterschiede zwischen OT und IT.
OT-Sicherheitskonzepte müssen deshalb ein weiteres Kapitel bekommen, wo dies noch nicht geschehen ist: Der Mensch als Human OT-Firewall. In vielen Industrieunternehmen muss dieses Kapitel aber noch geschrieben werden, und die Zeit dafür drängt, denkt man an die Fülle der OT-Attacken und ihre schwerwiegenden Folgen.
Im Gespräch mit Kai Grunwitz, Geschäftsführer der NTT Ltd. in Deutschland
Die Rolle des Menschen in der OT-Security: Ist sie noch wichtiger als in der IT?
Kai Grunwitz: Der Mensch nimmt beim Thema OT-Security eine entscheidende, wenn nicht sogar eine extrem wichtige Rolle ein. Aber Sicherheit ist immer eine Gemeinschaftsaufgabe aller Abteilungen eines Unternehmens, nur so lässt sich ein effektiver Schutzschirm gegen Cyberangriffe aufbauen. Ob die Rolle nun größer oder kleiner ist als in der klassischen IT – diese Frage stellt sich nicht. Wird die IT-Infrastruktur angegriffen, sind grundlegende Prozesse gestört, schlimmstenfalls steht das komplette Unternehmen still. Durch die immer stärkere Verknüpfung von OT und IT stehen zudem Firmen ohne ganzheitlichen Ansatz auf verlorenem Posten. Und dieser schließt immer die Awareness aller Mitarbeitenden für die verschiedenen Gefahren ein.
Ist sie anders als in der IT?
Ja und Nein. Die notwendigen organisatorischen und technischen Maßnahmen wie die Segmentierung von kritischen Bereichen, die kontinuierliche Prüfung auf Verwundbarkeiten oder die Sensibilisierung der Mitarbeitenden sind identisch. Darüber hinaus hat der OT-Bereich zusätzliche Anforderungen, was in der Regel an den Eigenheiten solcher Anlagen liegt: Viele Maschinen sind bereits älter, in der Folge fehlen oftmals klassische Security-Funktionalitäten. Viele Systeme müssen rund um die Uhr zur Verfügung stehen, was ein regelmäßiges Update- und Patch-Management grundsätzlich erschwert. Hinzu kommen spezifische Kommunikationsprotokolle und individuelle Fertigungsprozesse. Die Verantwortlichen für OT-Security müssen also die Eigenheiten und Abhängigkeiten ihrer Maschinen genau kennen – gepaart mit dem Wissen über moderne IT-Sicherheitsmaßnahmen.
Was sollte hier geschehen, um die Awareness zu erhöhen?
Trainings und Schulungen der Mitarbeitenden sind nach wie vor das beste Mittel, um die Awareness für Risiken und Gefahren zu erhöhen. Zudem muss das Management verstehen, dass die OT-Umgebung heute genauso von Cyberkriminellen bedroht wird wie das klassische Rechenzentrum und deswegen OT-Security integraler Bestandteil einer ganzheitlichen Sicherheitsstrategie ist. Grundsätzlich gilt es, alle relevanten Mitarbeitenden an einen Tisch zu holen. Darüber hinaus sind klare Verantwortlichkeiten, ein aktiver Wissenstransfer und eine gute Kommunikation unabdingbar, damit Security-Projekte gelingen.