Die Gefahr, Opfer von Cyberkriminellen zu werden, sei in Deutschland so hoch wie noch nie. So steht es im Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik von Oktober 2022. Die Frage lautet heutzutage also nicht mehr, ob man angegriffen wird, sondern vielmehr: wann. Wie können Unternehmen sich effektiv schützen? Und worauf kommt es besonders an?
IT vs. OT Security Architectures
Traditionell wurden die Ökosysteme der Information Technology (IT) und der Operational Technology (OT) in getrennten Silos aufgebaut. Bei der IT steht die Vertraulichkeit an erster Stelle, gefolgt von Integrität und Verfügbarkeit (C-I-A), während bei der OT die Verfügbarkeit, gefolgt von Integrität und Vertraulichkeit (A-I-C) ganz oben steht.
Eine der wichtigsten Säulen der digitalen Transformation ist die IT/OT-Konvergenz. Typischerweise befanden sich die Geschäftsbereiche der IT und OT bisher in getrennten Welten. Der Hauptgrund dafür war die Notwendigkeit, den physischen Betrieb vor externer Manipulation zu schützen, aber auch organisatorische und technologische Einschränkungen spielten eine Rolle. Die IT/OT-Lücke bietet Sicherheit für unternehmenskritische Systeme, schränkt aber auch die Effizienz, Agilität und den Zugang zu Informationen von Unternehmen erheblich ein.
IT/OT-Konvergenz
Industrie-4.0-Technologien wie das Internet der Dinge (IoT), intelligente Sensoren und Edge-Computing haben den Weg für eine Konvergenz bereits geebnet. IT/OT-Konvergenz bringt das digitale Unternehmen voran, indem Digitalisierung und Automatisierung den Menschen mit seiner Arbeitskraft auf allen Ebenen stärken.
Zur Überbrückung der IT/OT-Lücke müssen zunächst die Technologiesilos, die die IT- und OT-Systeme bilden, aufgebrochen werden. Einer der Gründe für die IT/OT-Lücke ist auch das allgemein geringe Niveau an Cross-Skills zwischen IT- und OT-Mitarbeitern. IT- und OT-Teams haben unterschiedliche Methoden und Kulturen – und oft widersprüchliche Prioritäten. Für die Integration des IT-OT-Management-Dreiecks stehen mehrere Optionen zur Verfügung. Die besten Lösungen bieten maßgeschneiderte Ansätze, damit IT, OT und Management als Einheit arbeiten können.
Die Sicherheit und die organisatorische Bereitschaft spielen ebenfalls eine wichtige Rolle. Im Zuge der Konvergenz von IT und OT erweitern offene Architekturen und eine Vielzahl miteinander verbundener Geräte die Risikolandschaft erheblich. Eine weitere Herausforderung ist die Integration komplexer Technologien und Prozesse im gesamten Unternehmen.
Ganzheitlicher Ansatz
Wenn weder IT- noch OT-Security-Teams allein das Know-how für alle diese Prozesse besitzen, gestaltet sich nicht nur die Zusammenarbeit, sondern auch die Absicherung gegen Schäden an den Vermögenswerten des Unternehmens sehr schwierig. Hier kommt das Security Operations Center (SOC) ins Spiel: Yokogawa entwickelte 2019 einen internen Sicherheitsüberwachungsdienst für die IT-Infrastruktur der Yokogawa Group auf der ganzen Welt. Mit diesem Dienst werden PCs, DNS/AD-Server, Intrusion-Detection-Systeme (IDS) und Produktionssysteme 24/7 überwacht, und mithilfe von Cyber Threat Intelligence (CTI) und maschinellen Lernprogrammen (ML) werden bis zu 600 Millionen Ereignisse pro Tag verarbeitet. Jetzt hat Yokogawa seine Lösung für die OT-Sicherheit genutzt und einen innovativen Cloud-basierten IT/OT-SOC-Service entwickelt. Dieser Dienst bietet Anwendern eine integrierte, konsistente und ganzheitliche Lösung für maximale Sicherheit in den IT- und OT-Bereichen.
Die zentrale Leitstelle verantwortet nicht nur alle sicherheitsrelevanten Services der IT, sondern als spezialisiertes IT/OT SOC auch die der Operational Technology. So werden vernetzte Sensoren, Maschinen, Anlagen und Geräte von Unternehmen 24/7 überwacht, Security-Logs sowie -Anomalien analysiert und Schutzmaßnahmen eingeleitet, um potenzielle Angriffe abzuwehren. Dabei arbeiten Security-Experten aus verschiedenen Bereichen mit abgestimmten Prozessen und speziellen Tools zusammen – People, Process, Technology.
People: Die Security-Experten sind der wichtigste Bestandteil eines SOCs. Es handelt sich um hochspezialisierte Fachkräfte, die jeweils ein bestimmtes Gebiet verantworten: Techniker, Analysten, Pentester, digitale Forensiker, ethische Hacker etc.
Prozesse: Im Fokus liegen die Erkennung, Analyse und Reaktion auf noch unbekannte Angriffsmethoden. Prozesse werden auf Basis sogenannter „Security Playbooks“ definiert und es wird mit Threat Intelligence Feeds sowie Malware-Information-Security-Plattformen im 24/7-Service gearbeitet.
Technology: Als technische SOC-Grundlage nutzt ein SIEM (Security Information and Event Management) unterschiedliche Log-Files, um Vorfälle zu identifizieren und frühzeitig Informationen zu möglichen Bedrohungen zu liefern. Weitere Tools sind z. B. Threat Intelligence, das Vulnerability Assessment, die Anomaly Detection und das Incident Handling & Response.
Durch die gebündelten Kompetenzen werden SOCs immer in der Lage sein, auch komplexe und mehrstufige Attacken zu erkennen und abzuwehren. So ermöglicht SOC die proaktive und präventive Suche nach Schwachstellen über alle IT- und OT-Ebenen hinweg und gewährleistet gleichzeitig eine durchgängige Reaktionsbereitschaft bei tatsächlichen Attacken.
Klar ist: Wer die Vorteile der IT/OT-Konvergenz sicher nutzen und für die vernetzte Industrie der Zukunft gerüstet sein will, muss die Cybersecurity ganzheitlich betrachten. Klar ist aber auch, dass es dafür interne Ressourcen und spezielle Skills braucht, die in Zeiten des Fachkräftemangels oft nicht vorhanden sind.
Yokogawa Deutschland GmbH, Düsseldorf
Autor: Fatih Denizdas
Head of Cybersecurity & IT-Manager DACH,
Yokogawa Deutschland
IT/OT SOC: Vorteile im Detail
Ein wichtiger Vorteil eines IT/OT-SOC ist es, Bedrohungen automatisch erkennen zu können. Dies kann dazu beitragen, die Kosten für manuelle Überprüfungen zu reduzieren und die Produktivität der Mitarbeiter zu erhöhen. Ein SOC kann auch helfen, gesetzliche und branchenspezifische Anforderungen an die IT-Sicherheit zu erfüllen und Daten und Systeme vor Angriffen und Datenverlust zu schützen.
Ein weiterer Vorteil eines IT/OT-SOC ist die Qualität der Reaktion. SOC hat erfahrene IT-Sicherheitsexperten, die über die neuesten Bedrohungen und ihre Schutzmaßnahmen Bescheid wissen. Sie können schneller und effektiver reagieren, um Angriffe abzuwehren und Schäden zu minimieren.
IT/OT-SOC ermöglicht eine automatisierte Überwachung und die rechtzeitige Erkennung von Bedrohungen, reduziert Kosten, steigert die Produktivität der Mitarbeiter und erfüllt die Compliance.
