Suchen

OT vs. IT

Zwei Seiten der Sicherheit in der Industrie 4.0

Seite: 2/2

Firmen zum Thema

Vernetzung in der Industrie führt zu Konflikten

In der IT geht es dagegen um Vertraulichkeit, Integrität, Verfügbarkeit im Sinne eines Datenzugriffs und eben Sicherheit im Sinne von „security“. Wie groß der Unterschied bisher ist, zeigt sich bei einem Blick auf den Umgang mit Patches.

Im Bereich der IT werden Patches schnell zur Verfügung gestellt und oft automatisch eingespielt. Hier geht es auch darum, sich gegen neue Angriffsszenarien schnell zu schützen. Wenn ein Betriebssystem oder eine Anwendung aus der Wartung des Herstellers genommen wird, ist es für die Kunden meist auch der späteste Zeitpunkt, an dem auf neue Releases migriert wird.

Ganz anders in der OT: Hier sind Steuerungssysteme oft mehr als 20 Jahre im Einsatz und alte Hardware als Ersatz wird zu hohen Preisen gehandelt. Hier steht der zuverlässige Betrieb im Vordergrund und ein Patch wird zunächst einmal als mögliches Risiko betrachtet. Deshalb ist bisher, auch durch die historische Trennung solcher Umgebungen in der Netzwerk-Infrastruktur, der Umgang mit Patches ein völlig anderer als in der IT.

Neue Risiken erfordern neue Sicherheitskonzepte

Mit der zunehmenden Vernetzung von OT und IT verändert sich diese Situation aber grundlegend. OT-Systeme werden damit angreifbarer. Damit entsteht auch ein Konflikt zwischen Sicherheit (safety) und Sicherheit (security): Überspitzt formuliert könnte man den Konflikt als „Tod durch Patches vs. Tod durch Angreifer“ bezeichnen.

Sobald Systeme besser erreichbar werden, insbesondere auch die Steuerungs- und nicht nur Reportingfunktionen, sind sie auch angreifbarer. Sie sind neuen Angriffsmethoden ausgesetzt, was neue Konzepte für die Sicherheit erfordert. Gateways und Firewalls sind ein Teil der Lösung, softwaredefinierte Infrastrukturen mit einer Virtualisierung der OT-Netzwerke ebenfalls.

Eine einfache Lösung gibt es nicht, aber das Thema muss eine hohe Priorität bei der Diskussion über vernetzte Produktion haben – es geht um jede Form von Sicherheit. Der erste Schritt ist, dass sich die Sicherheitsexperten aus den OT- und IT-Umgebungen verständigen und beginnen, an gemeinsamen Sicherheitskonzepten zu arbeiten.

Beide Seiten können dabei voneinander lernen, denn die Sicherheitsanforderungen sowohl in der OT als auch der IT haben einen guten Grund. Wichtig ist aber, dass man jetzt beginnt, diese Herausforderung zu lösen und nicht wartet, bis etwas schief gegangen ist. Vernetzte Produktion ist nur dann ein Erfolgsmodell, wenn sie auch sicher ist.

* Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

(ID:43300721)