Das Industrial IoT lebt von Offenheit und Vernetzung. In diesem Zusammenhang nähern sich IT und OT immer weiter an. Gibt es ein sichere IT/OT-Referenzarchitektur?

Verschiedene Organisationen und Standardisierungsgremien sind dabei, Best Practices zu sammeln und branchen- bzw. anforderungsspezifisch zu standardisieren. Zum Beispiel gibt die IEC 62443 einen guten Rahmen, um OT-Infrastrukturen sicher, also safe und (cyber)secure zu bauen und zu betreiben. Das schließt auch die Annäherung an die IT ein. Die NAMUR hat mit der NAMUR Open Architecture einen wesentlichen Beitrag geleistet. Diese beschreibt nicht nur, wie Security innerhalb der OT aussehen sollte, sondern auch, wie die Interaktion mit dem Business-Bereich, also der IT- gestützten Seite, praktisch und vor allem rückwirkungsfrei funktionieren kann bzw. aufgebaut sein sollte. Auch das BSI arbeitet daran, die im IT-Grundschutz erarbeiteten Vorgaben und Best Practices für IT-gestützte Prozesse auf die Anforderungen in der OT sinnvoll zu übertragen und mit speziellen OT-Bausteinen oder Technischen Richtlinien die Integration in ein ISMS nach IT-Grundschutz oder ISO27001 zu ermöglichen.

Welches sind die gängigsten Angriffsszenarien auf OT-Umgebungen und wie kann sich ein Unternehmen dagegen wehren?

Das gängigste Szenario ist ein Angriff auf IT-Umgebungen mit der OT als Kollateralschaden. Immer wieder kommen dadurch ganze Produktionsprozesse zum Erliegen. Typisch sind Ransomware-Angriffe. Hier hilft nur, die IT entsprechend abzusichern. Direkte Angriffe auf die OT passieren primär dann, wenn einem externen Angreifer Zugriff auf die OT gegeben wird, zum Beispiel über Fernwartungszugänge. Typischerweise erfolgen die Angriffe durch eine unsichere Anbindung an potentiell kompromittierte IT-Infrastrukturen, sei es die eigene IT oder die eines Dienstleisters. Abhilfe kann eine möglichst restriktive Anbindung schaffen, welche die Angriffsfläche minimal hält. Auf keinen Fall sollte man Externen direkten unbeschränkten und unbeaufsichtigten Zugriff auf die eigene OT erlauben. Leider ist das immer noch des Öfteren der Fall.

Welchen Mehrwert bieten Dienstleistungen wie Security-as-a-Service?

Viele Unternehmen haben nicht die nötige eigene Expertise und Personal, um Lösungen wie sichere Remote-Zugriffe ausreichend sicher zu betreiben. Gerade in kleineren Umgebungen ist selbst die initiale Investition in die nötige Hardware und den Aufbau des Wissens nicht akzeptabel. Hier können externe vertrauenswürdige Anbieter unterstützen und die initialen Investitionsaufwände minimieren. Die Unternehmen können sich auf ihr Kerngeschäft fokussieren.

Vor dem Hintergrund der neuen Maschinenverordnung und NIS – welche Schritte sollten KMUs möglichst schnell gehen?

Vor allem in Hinblick auf NIS2.0 ist die dringendste Tätigkeit für KMUs, zu prüfen, ob sie von der Regulierung betroffen sind. Der Scope wurde stark erweitert, vor allem bei den Grenzwerten der Unternehmensgröße. Branchenverbände und Bundesregierung gehen davon aus, dass eine fünfstellige Anzahl von Unternehmen (neu) betroffen ist. Wir raten auch davon ab, abzuwarten, nach dem Motto: „Das wird schon nicht so schlimm umgesetzt werden“. Der Spielraum bei der Umsetzung von NIS2 in nationales Recht ist eher gering. Die Mitgliedstaaten können zwar striktere Vorgaben machen. Eine Lockerung unterhalb des von der EU vorgegebenen Levels ist jedoch nicht möglich. Dann gilt es für die Unternehmen vor allem, ein ISMS nach ISO27001 oder IT-Grundschutz aufzusetzen und auch aktiv zu leben. Vielfach wird solch eine Zertifizierung nur als Papiertiger begriffen und umgesetzt, um dem Gesetz zu genügen. Das ist weder vom Gesetzgeber so vorgesehen noch bringt es dem Unternehmen einen Gewinn. Die regulatorischen Anforderungen sind kein Selbstzweck. Die geforderten Security-Maßnahmen dienen dazu, Schaden vom Unternehmen abzuwenden. Genau so sollten sie von Unternehmen verstanden und gelebt werden.

Genua auf der SPS 2023: Halle 5, Stand 419