Cybersecurity wird durch viele EU-Verordnungen Pflicht. Was raten Sie Unternehmen bei der Umsetzung von OT-Security-Maßnahmen zu beachten?

Die Regularien, die die Cybersecurity betreffen, sind vielfältig, hier wären u.A. die EU-NIS-2, das IT-Sicherheitsgesetz 2.0, sowie der EU Cyber Resilience Act (CRA) zu nennen, aber auch der EU AI-Act, der auch das Thema Security beim Einsatz von künstlicher Intelligenz betrachtet.

Zuerst müssen die regulatorisch vorgegebenen sowie die eigenen Schutzziele identifiziert werden, um eine Sicherheitsarchitektur mit geeigneten Schutzmaßnahmen entwerfen zu können. Der Einsatz standardisierter, gut untersuchter Verfahren ist dabei proprietären Lösungen immer vorzuziehen. Das Umsetzen der Maßnahmen bleibt ein fortlaufender Prozess. Da sich neben den Schutztechnologien auch die Angriffsmöglichkeiten immer weiterentwickeln und ständig neue Schwachstellen gefunden werden, sind Recovery-Strategien genauso wichtig wie die Aktualisierbarkeit von Systemen und das Ersetzen abgekündigter Softwarebibliotheken. Durch die Entwicklung von Quantencomputern spielen hier auch Kryptoagilität und quantenresistente Schutzmaßnahmen eine Rolle.

Wie können Unternehmen Ihre OT-Umgebung absichern und inwieweit können bestehende IT-Security-Maßnahmen dazu genutzt werden?

Zugriffsschutz und Authentifikation sind hier die zentralen Punkte. Je strikter Zugänge (physisch und digital) beschränkt sind, desto schwieriger ist es für Angreifer die Maschinen anzugreifen. Eine gute PKI als Grundlage für die kryptographische Umsetzung der Authentifikation und Autorisierung ist hilfreich. Protokollierung/Logging ist für das Nachvollziehen möglicher Angriffe von großer Bedeutung. Im größeren Kontext der Informationssicherheit sind hier auch Awareness und organisatorische Maßnahmen sehr wichtig, denn oft ist der menschliche Faktor die große Schwachstelle.

Wie hängen Datenschutz und Security zusammen? Kann man „beide Fliegen mit einer Klappe“ fangen?

Generell fokussiert Datenschutz den Nutzer, während Security das System betrachtet, mit dem der Nutzer interagiert, oder das Daten des Nutzers speichert und verarbeitet. Dadurch sind viele Security-Probleme auch Datenschutz-Relevant und umgekehrt.

Der Datenschutz bring per Gesetz Sicherheitsziele und Anforderungen an die Security-Architektur mit ein, die Mechanismen der IT-Sicherheit erfordern. Dem entsprechend sind auch bei Zertifizierungen zum Thema Informationssicherheit (ISO 27001, BSI Grundschutz) auch immer Datenschutzthemen enthalten. Eine konkrete Maßnahme ist die Datensparsamkeit: Daten, die nicht erfasst werden, können auch nicht korrumpiert werden.
Neben technischen Maßnahmen müssen auch Nutzer und Administratoren eines Systems für das Thema Datenschutz sowie den sicheren Umgang mit diesen Daten sensibilisiert werden, da sich der verantwortungsvolle Umgang mit Daten (auch Zugangsdaten) durch Personen nicht immer technisch erzwingen lässt.

Welche Möglichkeiten bietet die SPS Unternehmen, die sich zum Thema OT/IT-Security informieren möchten?

Wibu-Systems präsentiert auf der SPS verschiedene Schutztechnologien, unter Anderem den AxProtector Python zum Schutz von KI-Anwendungen und Modellen, Lösungen zur sicheren Lizenzierung für Docker-Container sowie und unsere CodeMeter Ready-Lösung zum sicheren Speichern von Lizenzen auf Speicherkarten.

Wibu-Systems auf der SPS 2023: Halle 6, Stand 428