Industrial Security – oder warum Sie nur mit einem Dolmetscher gewinnen können!

[Blogtitel] Industrial Security - oder warum Sie nur mit einem Dolmetscher gewinnen können! [Beschreibung]Industrie-Unternehmen möchten Industrial Security erfolgreich umsetzen. Dafür ist die Kommunikation zwischen IT und OT entscheidend. [Bildquelle] iStock 913017342 [Bildbeschreibung] Das Bild zeigt ein Schloss mit einem digitalem Hintergrundd
[Bildquelle] iStock 913017342

Der nachfolgende Gastartikel wurde von Max Weidele von der Plattform Sichere Industrie bereitgestellt.

Industrie-Unternehmen möchten Industrial Security nachhaltig und erfolgreich umsetzen. Dafür ist die Kommunikation zwischen Information Technology (IT) und Operational Technology (OT) von zentraler Bedeutung.

Spannungsfeld Industrial Security

Doch nicht immer verstehen sich die Beteiligten auch gleich. Hier erfahren Sie, wie die Kommunikation erfolgreich etabliert werden kann. Nach einem frischen Start in die ersten Maßnahmen zur Industrial Security folgt oftmals die erste Ernüchterung der Beteiligten. Aus scheinbar unerklärlichen Gründen geht es bei der Zusammenarbeit der Fachabteilungen nicht richtig voran.

Mit der Zeit wird festgestellt, dass die Abteilungen, obwohl es vorerst so aussieht, keinen direkten Draht zueinander finden. Konkret geht es um die Kommunikation zwischen den IT-Abteilungen und den OT-Abteilungen (Technik, Fertigung, Produktion). Diese müssen für die Absicherung von Produktions- und Fertigungsanlagen zusammenarbeiten und Industrial Security gemeinsam umsetzen.

Damit dies gelingt, muss die IT-Abteilung verstehen, wo die Prioritäten der OT liegen (Verfügbarkeit und Safety) und andersherum muss die OT verstehen, warum die IT so auf Security drängt. Jedoch existiert hierfür meist kein einheitliches Verständnis. Um diese Kommunikationshürde zu lösen ist es erforderlich, die Gründe und deren Herkunft vollumfänglich zu verstehen.

IT und OT – Zwei Welten prallen aufeinander

Über die letzten Jahrzehnte blieben die OT-Abteilungen weitestgehend von umfangreichen IT-Modernisierungsprojekten verschont. Dahingehend haben die IT-Abteilungen schier endlose IT-Modernisierungsprojekte bereits erfolgreich realisiert. Im Produktions- und Fertigungsbereich war das bislang auch nicht in diesem Maße notwendig. Mit hoher Lebensdauer und zumeist abgeschotteten Maschinen und Systemen, ist der Bereich auf hohe Beständigkeit ausgelegt. Beide Abteilungen verfolgen individuelle Prioritäten und Anforderungen. Diese unterscheiden sich vor allem in folgenden Kriterien:

  • Unterschiedliche Schutzziele
    Die IT verwaltet in erster Linie verschiedene Daten, die OT verwaltet reale physische Prozesse und ist verantwortlich für die Betriebssicherheit in der Anlage. Bei der IT-Sicherheit geht es klassischerweise um Vertraulichkeit und Datenschutz, bei der industriellen Sicherheit in erster Linie um Verfügbarkeit und Safety.
  • Unterschiedliche Zeitanforderungen
    Ist im EDV-Netz der Mailserver einmal überlastet ist das sicher ärgerlich, es entsteht in der Regel aber kein sofortiger finanzieller Verlust. Reagiert im Automatisierungsnetz eine SPS nicht, kann der ganze zugehörige Anlagenteil ausfallen und somit einen unmittelbaren finanziellen Schaden zur Folge haben.
  • Unterschiedliche Systeme
    In der IT sind aktuelle Systeme die Norm. Ein Mitarbeiter-PC hat genug Leistung, um neben dem Mailprogramm und Browser auch noch einen Virenscan durchzuführen. Im Automatisierungsnetz befindliche Systeme unterscheiden sich nicht nur massiv durch ihre (Embedded-)Betriebssysteme von Büro-PCs, sondern besitzen meist auch nicht genug Leistung für Funktionen, die sich nicht im direkten Aufgabenspektrum befinden. Hierzu gehören auch Viren-Überprüfungen. Auch die Begriffe der jeweiligen Bereiche unterscheiden sich maßgeblich. In IT-Netzen verwendet man in der Regel keine Busse, sondern sternförmige, paketbasierte Übertragungsarten. Dafür musste sich die OT bislang zum Beispiel wenig mit Domänen befassen.
  • Unterschiedliche Lebensdauer
    Haben Sie schon einmal versucht mit einem 20 Jahre alten PC sicher im heutigen Internet zu surfen? Lieber nicht. Die in Industrieanlagen befindlichen Systeme sind jedoch auf solche Lebenszeiten ausgelegt und werden so auch heute noch betrieben.
  • Unterschiedliche Schadenswirkungen
    Bei einem Angriff auf ein IT Netz können zwar Informationen zerstört oder entwendet werden, die indirekt Auswirkungen auf die Sicherheit von Personen und Umwelt haben können, überträgt man das Szenario aber auf die Industrie, können auch sofortige und direkte physische Schäden an Mensch und Umwelt entstehen.

Diese unterschiedlichen und seit Jahrzehnten gewachsenen Auffassungen der einzelnen Prioritäten führen dazu, dass sich die Kommunikationshürden nicht so einfach abbauen lassen. Einerseits geht es um Verständnis der jeweiligen Prioritäten der jeweils anderen Abteilung, aber ebenfalls um einen Wissensaufbau zu Prozessen, Verfahren und Techniken beider Abteilungen. Hierzu ist notwendig, dass die IT-Abteilung mit den Fachbegriffen, Prozessleitsystem, SPS, OPC/UA und HMI etwas anfangen kann.

Jedoch auch, dass die OT-Abteilungen verstehen, warum eine sichere Netzwerkarchitektur wichtig ist und Fernwartungszugänge mit Vorsicht einzuführen sind. Das Ziel sollte immer sein, dass Industrial Security als fester Bestandteil in den Arbeitsalltag aller Beteiligten einfließt und nicht als optionaler Zusatz angesehen wird.

Eine gute Wahl, diese Kommunikationsherausforderung und Wissensvermittlung in den Griff zu bekommen, ist das Schaffen einer gemeinsamen Kommunikations- und Fachbasis. Dies effizient zu lösen benötigt eine Person, die die Interessen aller Parteien versteht und zwischen diesen vermittelt.

IT und OT – Einsatz eines Dolmetschers

Erfolgreich gelingt dies mit einem Dolmetscher der aufgrund seines Wissens sowohl die IT als auch die OT gut genug kennt und vermitteln kann. Im Idealfall kann dieser auch weitere Abteilungen einbinden, z.B. die Geschäftsführung oder den Einkauf, um so eine noch breitere Basis der Industrial Security herstellen.

Die Rolle eines CISOs oder eines IT-Sicherheitsbeauftragten ist hierfür normalerweise die richtige Position. Oftmals sind diese Positionen aber aus der IT-Welt entstanden, so dass der jeweilige Stelleninhaber meist nur über IT-Wissen verfügt. Für einen ersten Start macht es deshalb Sinn, mit einem externen Berater oder einem Coach zusammen zu arbeiten. Dieser übernimmt dann die folgenden Aufgaben:

  • Awareness schaffen
  • Erarbeitung einer gemeinsamen Kommunikationsbasis
  • Vermitteln in entscheidenden Meetings
  • Wissensaufbau bei den Beteiligten
  • Coaching der internen Sicherheitsbeauftragten bzw. CISOs, damit diese in Zukunft diese Rolle übernehmen können

Mit dem Einsatz eines passenden Dolmetschers kann effizient und nachhaltig eine gemeinsame Kommunikationsbasis im Unternehmen verankert werden. Damit dies erfolgreich gelingt, benötigt die betreffende Person die Unterstützung des Managements. Dies ist vor allem deshalb wichtig, da die IT- und OT-Abteilung nur selten unter dem selben Vorgesetzten angesiedelt sind. Es gibt jedoch bewährte praxisnahe Erstmaßnahmen, die Sie bereits realisieren können und sich damit auf die zukünftige Arbeit mit einem Dolmetscher vorbereiten.

Erfolgreiche 3 – Sofortmaßnahmen für nachhaltige Kommunikation

Wenn Sie möglichst zügig erste positive Ergebnisse erzielen möchten, bieten sich folgende Schritte an:

  • Industrial Security Wörterbuch
    Für eine reibungslose interdisziplinäre Kommunikation ist vor allem die Kenntnis der jeweiligen Fachbegriffe wertvoll. Einige Begriffe haben oftmals mehrere Bezeichnungen, z.B. OT = Technik, Betrieb, Produktion oder Fertigung. Aber auch Begriffe wie Active Directory, SPS oder Fernwartung zu erklären ist hilfreich, da bei Bedarf im Arbeitsalltag immer wieder darauf zurückgegriffen werden kann. Dies gelingt gut, wenn die Dokumentation an zentraler Stelle, z.B. in Form einer Wiki-Seite im Intranet, abgelegt ist.
  • Security-Fachkreis (IT/OT)
    Suchen Sie sich aus den relevanten beteiligten Abteilungen die Förderer heraus und setzen Sie diese an denselben Tisch. Auf diesem Weg leiten Sie einen regelmäßigen Fachkreis in die Wege. Einberufen am besten durch die Geschäftsleitung selbst, ist dessen Funktion, sich interdisziplinär auszutauschen oder auch gemeinsame Projekte zu koordinieren. Idealerweise haben die Förderer in den jeweiligen Abteilungen einen hohen fachlichen und menschlichen Stellenwert.
  • Awareness- und Einstiegsworkshops
    Von einem solchen Fachkreis kann in Kooperation ein Workshop vorbereitet werden, der auf die Thematik der Industrial Security optimal zugeschnitten und für die Mitarbeiter der Fachabteilungen ausgelegt ist. Insbesondere Themen, wie Live-Hackings und Beispiele aus der Praxis sorgen für Aha-Momente und Verständnis. Mit der richtigen Vorbereitung greift ein Workshop die unternehmensinternen Begriffe und eingesetzten Maschinen direkt auf.

Im Rahmen von Betriebsveranstaltungen, wie Betriebsfeiern oder Jahresauftaktveranstaltungen kann ebenfalls eine 30 minütige Demonstration gegeben werden, um den Termin aufzulockern. Hiermit schafft man eine breite Sensibilisierung für das Thema und verringert vor allem die Anfälligkeit für Social-Engineering Angriffe, die sich auf das Ausnutzen menschlicher Schwächen spezialisieren.

Mit diesen Schritten gehen Sie einen bewährten Weg, um Industrial Security zuverlässig und nachhaltig im Unternehmen zu verankern. Wenn die Kommunikation zwischen IT und OT auf einer soliden Basis aufsetzt, dann sind zukünftigen sicheren Innovations- und Modernisierungsprojekten keine Grenzen mehr gesetzt und Sie profitieren langfristig von reibungsloseren Abläufen und besserem Betriebsklima.

Praxistipp

Stellen Sie eine Auswahl an den richtigen Förderern zusammen und bilden Sie einen Security-Fachkreis, in dem Sie die unterschiedlichen Interessen der Abteilungen evaluieren und Verantwortungen klären.

Weitere Artikel nach Kategorien:

Meine Daten sollen nicht in Google Analytics erfasst werden.
Summary
Industrial Security - oder warum Sie nur mit einem Dolmetscher gewinnen können!
Titel
Industrial Security - oder warum Sie nur mit einem Dolmetscher gewinnen können!
Beschreibung
Industrie-Unternehmen möchten Industrial Security erfolgreich umsetzen. Dafür ist die Kommunikation zwischen IT und OT entscheidend.
Autor
Veröffentlicht durch
Ingenieurversteher
Logo
Vorheriger ArtikelIndustrial Security fängt im Einkaufsprozess an
Nächster ArtikelDigitalisierung und Bildung in Deutschland – Hannes Schwaderer (D21) im Interview
//Analyst//Blogger//Keynote Speaker// zu den Fokusthemen #Industrie40, #IoT und #Digitalisierung.Herzlich willkommen auf meinem Ingenieurversteher-Blog. Hier schreibt ein echter, aber nicht ein typischer Ingenieur.Nach einer soliden Ausbildung bei Siemens zum Feinmechaniker habe ich das Abitur nachgeholt und Maschinenbau studiert. Der Schwerpunkt Informatik im Hauptstudium war wohl der ausschlaggebende Grund, dass es mich in die Software-Industrie gezogen hat wo ich heute noch immer aktiv unterwegs bin. Für die Funktionen Vertrieb, Marketing und Produktmanagement habe ich mich meine Leidenschaft entdeckt – sicherlich nicht immer typisch für einen Ingenieur.Im Rahmen meiner Diplomarbeit haben mich Themen wie „Computer Integrated Manufacturing (CIM)“ beschäftigt. Viele Aspekte sind davon heute umgesetzt. Mit der Digitalisierung unserer Gesellschaft allgemein sowie dem Einzug des Internets in die Produktion stehen wir vor großen Herausforderungen, die uns langfristig intensiv beschäftigen werden. Der klassische Ingenieur wird nun mit völlig neuen Themengebieten konfrontiert.Das war u.a. die Motivation für diesen Blog, die Themenbereiche Industrie 4.0 und Digitalisierung aufzugreifen und regelmäßig darüber zu schreiben – leicht verständlich und nicht technisch tief. Gerade aus diesem Zusammenhang hat sich die Marke „Ingenieurversteher“ entwickelt. Ingenieure sind in der Regel Künstler mit einem sehr tiefen technischen Verständnis. Oft sind sie allerdings nicht in der Lage, technisch komplexe Zusammenhänge leicht verständlich einer Zielgruppe zu vermitteln, die nicht über dieses tiefe technische Wissen verfügt. Um Ideen und Innovationen zu vermarkten, müssen diese in eine leicht verständliche Sprache übersetzt werden. Mit einer Vorliebe für analytisches und strukturiertes Recherchieren , der Leidenschaft für das Schreiben und der Freude am Präsentieren ist die Idee vom „Ingenieurversteher“ entstanden.