Obwohl es sich sowohl bei operativer Technologie (OT) als auch bei Informationstechnologie (IT) um Hardware- und Software-Anwendungen handelt, unterscheidet sich deren Fokus bei genauerer Betrachtung. Bei der IT geht es, wie der Name schon sagt, um die Verarbeitung, Verwaltung, Speicherung und den Schutz von Informationen. Oder anders ausgedrückt: Es dreht sich alles um Daten. In diesem Zusammenhang spielt insbesondere der Mensch eine Hauptrolle, denn er ist im Kontext der Informationstechnologie in der Regel entweder Empfänger oder Sender der zu verarbeitenden Informationen. OT hingegen hat nur sehr mittelbar etwas mit dem Menschen zu tun. Operative Technologie dient der Steuerung und Überwachung von industriellen Geräten und Maschinen über in sie eingebettete Software. Die Steuerungsprogramme setzen allem voran festgelegten Richtlinien für den Betrieb durch. Sie sind zudem in der Lage, Sensordaten über beispielsweise Luftdruck oder Temperatur auszuwerten und auf die veränderten Umstände zu reagieren.

Anders als die IT fokussiert sich die OT also auf Prozesse und deren korrekte Durchführung anstatt auf Interaktion zwischen Mensch und Maschine. Ein besonderes Merkmal operativer Technologie ist zudem deren Ausrichtung auf eine lange Lebensdauer. Während IT-Systeme aus Gründen der Sicherheit und der Erweiterung um neue Funktionen regelmäßig Updates und Patches erhalten, erfahren OT-Systeme nur selten Aktualisierungen, da sie das Potenzial haben, den reibungslosen Ablauf zu stören – und somit erhebliche Kosten zu verursachen. Durch die strikte Trennung zwischen IT und OT ist es kein Wunder, dass in manchen Produktionshallen noch Betriebssysteme im Einsatz sind, die die IT-Abteilung schon vor Jahren in Rente geschickt hätte.

IT und OT wachsen zusammen

Die historische Trennung zwischen Informationstechnologie und operativer Technologie spiegelt sich auch in der jeweiligen Systemarchitektur wider. Während die IT mit APIs und anderen Schnittstellen arbeitet und somit viele Verknüpfungsmöglichkeiten der unterschiedlichen Anwendungen und Geräte ermöglicht, sind OT-Systeme traditionell in sich geschlossen und von der Außenwelt abgeschottet. Unternehmen haben allerdings erkannt, dass die Verknüpfung von operativer und Informationstechnologie ihr Geschäft in vielerlei Hinsicht voranbringt, beispielsweise kann dieses Vorgehen die Produktions- und Kosteneffizienz oder die Nachhaltigkeit steigern. Die Zeiten, in denen Unternehmen die Informationstechnologie und operative Technologie strikt voneinander getrennt betrachteten, neigen sich daher dem Ende entgegen. Dafür sorgen auch technologische Ansätze wie das Internet of Things (IoT).

Für die Vernetzung zwischen IT und OT sorgen IoT-Gateways. Die Geräte stellen die Sensordaten aus Industrieanlagen in der Regel für die Analyse und Verarbeitung in der Cloud bereit, in einigen Fällen findet dort auch nur eine Zwischensicherung auf dem Weg ins Rechenzentrum statt. Von den horrenden Kosten einmal abgesehen, ist diese Herangehensweise durch die Verzögerung bei der Datenübertragung suboptimal. Gerade im industriellen Kontext geht es mitunter um Millisekunden, die über eine erfolgreiche Produktion entscheiden – viel zu kurz, um Daten in der Cloud oder in zentralen Rechenzentren zu verarbeiten. Um diese Problematik zu lösen, setzen viele Betriebe mittlerweile auf Edge Computing, also die Verlagerung der Datenverarbeitung an den Rand des Netzwerks.

Herausforderungen für die IT-Abteilung

Edge-Server gibt es in verschiedenen Formfaktoren, die Unternehmen je nach Einsatzort wählen können.

© Dell Technologies

Die physische Nähe und enge Verzahnung von IT und OT spart kostbare Zeit, bringt aber neue Herausforderungen für die IT-Abteilungen mit sich: Edge-Systeme sind im Grunde herkömmliche IT-Server, die Unternehmen außerhalb des Rechenzentrums betreiben müssen. Dazu gehören selbstverständlich auch sämtliche Aspekte der Wartung, Verwaltung und Absicherung, die Administratoren – anders als beim zentralisierten Ansatz – jedoch nur selten direkt vor Ort vornehmen können. Hinzu kommt, dass dedizierte Edge-Systeme in der Regel eigene Tools für das Management und die Sicherheit benötigen. Daher ist es sinnvoller bei der Planung der Infrastruktur für den Netzwerkrand auf einen einzigen Hersteller zu setzen.

Selbst in großen Unternehmen ist die IT-Abteilung aller Wahrscheinlichkeit dauerhaft am Rande der Belastungsgrenze. Die zunehmende Anzahl an Daten in Verbindung mit der sich zuspitzenden Sicherheitslage im Cyberspace erschwert das alltägliche Management der IT-Infrastruktur. Und auch große Firmen sind vom Fachkräftemangel betroffen, der sich insbesondere in der Tech-Branche immer stärker bemerkbar macht. Eine zusätzliche Belastung wie die Verwaltung einer unbekannten Edge-Umgebung ist unter diesen Voraussetzungen schwierig. Gute Hersteller bieten eine Lösung aus einem Guss: Sie machen ihre Edge-Systeme zum integrativen Bestandteil der bisherigen IT-Infrastruktur. Administratoren können sie dann nach bewährtem Konzept über die gleiche Software verwalten, überwachen und absichern - egal, wo sie stehen. Das verringert den Aufwand für die IT-Abteilung maßgeblich.

Einige Hersteller statten ihre herkömmlichen Server und Edge-Systeme von Haus aus mit speziellen standardisierten Management-Prozessoren aus. Bei Dell Technologies kommt dafür zum Beispiel der Integrated Dell Remote Access Controller (iDRAC) zum Einsatz. Diese Fernwartungschips verfügen in der Regel über einen eigenen Netzwerk-Port, sodass Administratoren über eine eigene LAN- oder WAN-Verbindung auf sie zugreifen können. Der gravierende Vorteil dieser Technologie gegenüber der Verwaltung über Remote-Desktop-Verbindungen oder Virtual Network Computing ist, dass die IT-Abteilung selbst dann Zugriff auf alle wichtigen Einstellungsoptionen erhält, wenn der Server abgestürzt oder ohne Strom ist.

Für physische Sicherheit sorgen

Die Ausweitung der IT-Infrastruktur an den Netzwerkrand erhöht das Gefahrenpotenzial für einen Ausfall. Da die Server nicht mehr in geschützten Rechenzentren stehen, wo sie unter Optimalbedingungen laufen, müssen sie – je nach Einsatzort – entsprechend abgehärtet sein. Sogenannte »Rugged Server« halten selbst sehr niedrige oder hohe Temperaturen aus, sind stoßfest und vor Vibrationen geschützt sowie mit leistungsfähigen Staub- und Partikelfiltern ausgestattet. Zudem enthalten sie Sensoren, die das System ständig überwachen und ein entsprechendes Warnsystem, das bei drohendem Ausfall Alarm schlägt.

Sogenannte »Rugged Server« sind durch ihre robuste Bauweise in der Lage, selbst unter widrigsten Umständen einwandfrei zu funktionieren. Frontblenden mit Partikelfilter schützen etwa vor Feinstaub und anderen Verunreinigungen.

© Dell Technologies

Auch der Schutz vor Fremdzugriff vor Ort ist ein neues Gefahrenfeld, das in dieser Form in Rechenzentren nicht vorliegt: Da die Server an manchen Einsatzorten leicht zugänglich sind, sollten Unternehmen auf Edge-Geräte setzen, die automatisierte Sicherheitschecks durchführen und melden, falls Änderungen am Gerät selbst vorgenommen wurden. So kann die IT-Abteilung sofort nachvollziehen, ob jemand einen USB-Stick angeschlossen, eine Steckkarte entfernt oder ein Kabel abgezogen hat und entsprechend reagieren. Zudem sollten Administratoren sicherheitshalber alle ungenutzten Ports und Anschlüsse abschalten. Bei Geräten einiger Anbieter ist es zum Beispiel sogar möglich, den Stromschalter zu deaktivieren.

Der iDRAC von Dell Technologies bietet darüber hinaus spezielle Sicherheitsfeatures. So erkennt der Controller beispielsweise den Austausch einer Steckkarte. Er überprüft daraufhin, ob die Firmware der neuen Karte kompromittiert ist und spielt bei Abweichung automatisch die ursprüngliche Firmware auf. Das ist nicht nur ein effektiver Schutz gegen Kriminelle, sondern erleichtert auch die Konfiguration nach einem legitimen Komponentenwechsel.

Den Perimeterschutz bis an den Edge ausweiten

Informationstechnologie und operative Technologie wachsen durch Edge Computing enger zusammen.

© Dell Technologies

Der notwendige Fernzugriff auf die Edge-Server durch die IT-Abteilung spielt Hackern in die Karten, da sich die Angriffsfläche durch die zusätzlichen Geräte vergrößert. Zudem sind Management-LAN und Public-LAN am Netzwerkrand selten physisch voneinander getrennt. Aus diesem Grund sollten Unternehmen darauf achten, dass die Kommunikation zwischen den Administratoren und dem Server am Edge stets gesichert abläuft. Voraussetzung dafür sind Sicherheitstechnologien wie die Protokolle Hypertext Transfer Protocol Secure (HTTPS) sowie Secure Sockets Layer (SSL) und dessen Nachfolger Transport Layer Security. Für die Authentifizierung und Nutzervalidierung sollten Unternehmen das Lightweight Directory Access Protocol (LDAP). Neben diesen Protokollen unterstützen eine Fernwartungschips wie der iDRAC noch weitere Sicherheitsfunktionen wie die Zwei-Faktor-Authentifizierung via Benutzername und Kennwort sowie einem Schlüssel, der etwa via E-Mail geschickt oder in einem Token-Generator (RSA SecurID) erstellt wird.

Auch die einheitliche Verwaltung aller Geräte über eine Management-Lösung ist ein entscheidender Vorteil für die Absicherung und die Ausweitung des Perimeterschutzes an den Netzwerkrand. Über sie kann – genau wie bei herkömmlichen Servern – das Monitoring und die Software- und Firmware-Aktualisierung automatisiert erfolgen. Zudem loggt die Management-Software vieler Hersteller sämtliche Server-Aktivitäten, was es das Threat Hunting, also das Aufspüren von Schwachstellen im Angriffsfall, erleichtert.

Edge Computing verknüpft IT und OT

Der Autor: Peter Dümig ist Senior Server Product Manager bei Dell Technologies.

© Dell Technologies

IT und OT standen sich noch nie so nah wie heute. Es ist daher durchaus denkbar, dass die Verschmelzung der beiden Technologiebereiche weiter voranschreiten wird. Treibender Faktor dafür sind das Internet of Things und das Edge Computing. Zukunftstechnologien wie künstliche Intelligenz und Machine Learning, die die Industrie auf lange Sicht prägen werden, setzen starke Rechenleistung und niedrige Latenzen voraus, um ihre vollständige Wirkung zu entfalten. Weder zentralisierte Rechenzentren noch Cloud Computing sind dafür mittelfristig geeignet. Die Datenverarbeitung am Netzwerkrand mit dedizierten Edge-Servern wird daher langfristig der lukrativste Ansatz bleiben.

Da gerade die Zielgruppe solcher Technologien allerdings hierzulande Teil der kritischen Infrastruktur ist, gelten hohe Sicherheitsanforderungen. Für sie ist es um so wichtiger, ihren Perimeterschutz lückenlos bis an den Edge auszuweiten. Eine einheitliche Management-Plattform und entsprechende Geräte, die nativ eine hohe Cybersecurity und -Resilienz bieten, sind dafür Pflicht.