OT-Sicherheit

Oh wow, meine OT ist ein Alptraum!

Druckfreundlich, PDF & E-Mail

Das Jahr 2020 und alle seine Auswirkungen hatten erhebliche Auswirkungen auf die Art und Weise, wie Unternehmen mit ihrer betrieblichen Technologie (OT) umgehen. Ähnlich wie bei IT-Infrastrukturen hat sich der Fernzugriff als große Herausforderung erwiesen. Die Anbieter im Bereich OT-Sicherheit haben jedoch schnell reagiert. Wenn es schwierig wird, mit Unterbrechungen umzugehen, ist Resilienz wichtiger denn je. Viele OT-Organisationen haben sich damit allerdings noch nicht abgefunden.

Laut dem Gartner-Bericht „Market Guide for Operational Technology Security" vom Januar 2021 deuten Gartner-Umfragen bei Endanwendern darauf hin, dass sich über alle Branchen hinweg, mit Ausnahme der am stärksten regulierten, etwa 60% der Unternehmen noch in der Awareness-Phase befinden, etwa 30% in der Entdeckungs- bis Brandbekämpfungsphase und nur etwa 10% in der Integrations- und Optimierungsphase.1

OT ist das Herzstück einer Organisation. Hier findet die Wertschöpfung statt. Hier verursacht ein Ausfall nicht nur Umsatzeinbußen, sondern kann erhebliche Schäden bewirken – an Maschinen, an Menschen und an der Umwelt. Vorfälle in der OT verursachen im Vergleich zu durchschnittlichen Ausfällen in IT-Umgebungen eine relativ große Schadenssumme.

Daher überrascht es mich nicht, dass die betriebliche Ausfallsicherheit während der Pandemie an Bedeutung gewonnen hat, insbesondere weil die Fehlersuche vor Ort schwierig geworden ist. Glücklicherweise haben die OT-Organisationen die neuen Anforderungen schnell realisiert, während OT-Sicherheitsanbieter die sich daraus ergebene Chance erkannt und mit Fernzugriffslösungen reagiert haben.

In Anbetracht dieser massiven Innovationstreiber im vergangenen Jahr überrascht es mich ein wenig, dass sich ein so geringer Prozentsatz der Organisationen in der Integrations- und Optimierungsphase ihrer OT-Sicherheitsreise befindet. Während in stark regulierten Branchen externe Vorschriften und Compliance-Standards die Treiber sind, wird das Bewusstsein in Organisationen mit weniger externem Druck durch Innovationen und Vorfälle bestimmt. Mit anderen Worten: Oft muss erst etwas passieren, bevor Organisationen erkennen, dass es ein Problem gibt.

Sicherlich war die Pandemie ein Treiber für die Digitalisierung, um den Mangel an Mobilität zu kompensieren. Gleichzeitig wird Ransomware gezielt gegen industrielle Steuerungssysteme eingesetzt. Auch gab es noch nie so viele OT-bezogene CVEs – und das nicht nur, weil mehr Forschung betrieben wird und mehr Sicherheitsanbieter aktiv werden. Sicherheitsanbieter, die den Markt erschließen, sind ein Beweis dafür, dass Cyberkriminelle das Gleiche tun.

Diese Trends und Statistiken belegen klar, dass wir noch ganz am Anfang stehen, wenn es darum geht, Cybersicherheitslösungen in OT und CPS zu integrieren. Vor diesem Hintergrund gehe ich stark davon aus, dass eine ganze Reihe von Unternehmen im Jahr 2021 ihren „Wow“-Moment erleben werden.

Worum geht es bei diesem „Wow“-Moment? Wenn etwas passiert, stellen Unternehmen plötzlich fest, dass es überall nicht verwaltete Geräte gibt, das Netzwerk offen ist, anfällige Geräte und veraltete Software überall zu finden sind und es letztendlich keinerlei Sicherheit gibt. Das ist einfach die Art und Weise, wie OT-Netzwerke in den letzten Jahrzehnten aufgebaut wurden, und es ist weder etwas Besonderes noch leicht zu beheben. Aber ist es besorgniserregend? Ja, auf jeden Fall!

Vorwärts nach Ihrem „Wow“-Moment

Auf diesen Moment der Erleuchtung folgt in der Regel schnell die Überforderung durch all das, was getan werden muss. Wenn Sie sich in dieser Situation befinden, versuchen Sie, einen Schritt-für-Schritt-Plan zu erstellen und die Aktionen zu priorisieren. Es ist nicht möglich, 100-prozentige Sicherheit sofort oder mit nur einem Produkt zu erreichen. Es ist aber wichtig, mit der Arbeit daran zu beginnen. Der erste Schritt besteht darin, die Ausgangssituation zu definieren, insbesondere wenn das Projekt nicht entsprechend geplant wurde. Wenn ein Vorfall der Auslöser für die neue Initiative war, müssten sich die Verantwortlichen zunächst einen Überblick verschaffen.

Um die Lücke zu schließen, ist es notwendig, IT-Sicherheitslösungen mit OT-Sicherheitsanforderungen zu kombinieren. Das ist ein ziemlich neues Feld, weshalb Organisationen Mühe haben, Mitarbeiter zu finden, die beide Seiten verstehen. Technologie-Anbieter haben das gleiche Problem. Die traditionellen Hersteller von Automatisierungstechnik versuchen immer noch, sich mit dem Thema Sicherheit auseinanderzusetzen und verzweifelt einen Weg zu finden, ihre Lösungen zu positionieren. Währenddessen versuchen die meisten Anbieter von IT-Sicherheitslösungen einfach nur, diesen vielversprechenden Markt zu bedienen, ohne sich auf die speziellen Anforderungen einzustellen.

Und genau das ist die Herausforderung. Beide Aspekte können unglaublich komplex sein, wobei der eine nicht angesprochen werden kann, ohne den anderen zu berücksichtigen. OT-Sicherheitslösungen müssen das Beste aus beiden Welten kombinieren. Während Sicherheits- und Fernzugriffstechnologien der nächsten Generation der Schlüssel zur Bekämpfung moderner Bedrohungen und zur Abwehr ausgeklügelter gezielter Angriffe und Ransomware sind, kann eine Sicherheitslösung, welche die OT-spezifischen Anforderungen nicht berücksichtigt, sogar mehr Schaden anrichten als ein Angriff.

Sicherheit ist im IT-Bereich wichtig geworden, wobei es in diesem Sektor bereits viel Erfahrung und ausgereifte Lösungen gibt. Deshalb glaube ich, dass traditionelle IT-Anbieter einen Vorteil gegenüber der Automatisierungstechnik haben. Dennoch sind in der OT viele Dinge anders. Die Verfügbarkeit ist nur ein Punkt. Eine Lösung muss so wenig invasiv wie möglich implementiert werden, weil Änderungen an bestehenden Systemen nicht möglich sind oder das Ergebnis unvorhersehbar ist. Das IT-Team muss verstehen, dass jede kleine Änderung einem sehr strukturierten und dokumentierten Ansatz folgen muss. So etwas wie einfaches Ausprobieren gibt es in der OT nicht. Was IT-Administratoren an einem Freitagnachmittag zu tun pflegen, ist in der OT nicht möglich. Die Kombination von IT und OT ist der Schlüssel zum Erfolg. Die IT-Anbieter, die nur versuchen, ihre Lösungen in einen neuen Markt zu verkaufen, ohne sich auf die Anforderungen einzustellen, werden sich dort keine Freunde machen.

Wir bei Barracuda glauben, dass unsere Geschichte in der IT-Sicherheit ein großer Vorteil ist, weil unsere Lösungen modernste Sicherheitstechnologien enthalten. Seit wir vor ein paar Jahren speziell entwickelte Produktlinien für OT- und industrielle IoT-Anwendungsfälle auf den Markt gebracht haben, haben wir einige Lektionen lernen müssen. Unsere Bereitschaft, den Kunden und Interessenten zuzuhören und die Lösungen an die sehr spezifischen Anforderungen in diesem Bereich anzupassen, hat uns zum Erfolg verholfen.

Wir glauben, dass unsere Bemühungen hinsichtlich der Entwicklung einer hochkarätigen Lösung dazu geführt haben, dass wir im „Market Guide for Operational Technology Security“ von Gartner aus dem Jahr 2021 als „Representative Vendor“ eines spezialisierten Anbieters von OT-Sicherheitslösungen genannt wurden.1 Wir meinen, dass dies ein guter Grund ist, stolz zu sein, aber kein Grund, sich auszuruhen.

Sichere Konnektivität für IoT-Geräte und Industrial Control Systems.

 

1 Gartner, „Market Guide for Operational Technology Security“, Katell Thielemann, Wam Voster, Barika Pace, Ruggero Contu. Veröffentlicht am 13. Januar 2021.

Gartner befürwortet keine in seinen Forschungsergebnissen aufgeführten Anbieter, Produkte oder Dienstleistungen. Ebenso rät Gartner Nutzern von Technologie nicht, sich nur für Anbieter mit den höchsten Bewertungen oder anderen Auszeichnungen zu entscheiden. Forschungsergebnisse von Gartner spiegeln die Meinungen des Forschungsunternehmens von Gartner wieder und sollten nicht als Fakten ausgelegt werden. Gartner lehnt alle ausdrücklichen oder stillschweigenden Garantien in Bezug auf diese Forschungsergebnisse ab, einschließlich aller Garantien für die Marktgängigkeit oder Eignung für einen bestimmten Zweck.

 

Nach oben scrollen
Twittern
Teilen
Teilen