(Bild: alphaspirit – stock.adobe.com)
- Die produktionsnahe OT-Infrastruktur wächst immer stärker mit dem klassischen IT-Management zusammen.
- Damit dies gelingt, braucht es eine verstärkte Zusammenarbeit, etwa von Betriebsingenieuren und Unternehmens-IT.
- Agile Teams sowie die richtigen IT-Werkzeuge können bei diesem Prozess helfen.
Die oberste Maxime der Agilität ist nach dem sogenannten Agilen Manifest die „frühe und kontinuierliche Auslieferung“. Dies stellt alle Teilnehmer und Systeme vor neue Herausforderungen. Sie müssen eine höhere Bereitschaft zur Flexibilität zeigen, den Fokus auf regelmäßige, kurze Anpassungszeiträume legen sowie neue Prozesse vorantreiben.
OT rückt immer mehr ins Bewusstsein
Obwohl die Dichte an IT-Komponenten pro Fläche je nach Automatisierungsgrad gegebenenfalls sogar noch höher als in einem typischen Büro ist, blieben diese in OT-Infrastrukturen meist unscheinbar und unbeachtet. IT erfüllte hier bereits seit mehreren Jahrzehnten nur den Zweck, den mechanischen Teil, welcher zum Beispiel an der Abfüllung eines Produkts beteiligt ist, zu steuern.
Mit Themen und Marketingbegriffen wie Industrie 4.0, IoT oder Big Data entsteht vor allem in den letzten zehn Jahren ein spürbares Bewusstsein für diese OT-Geräte, und damit findet ein Umdenken statt. Zunehmende Vernetzung schafft neue Chancen, aber bringt gerade im Bereich der IT-Sicherheit auch einige Risiken mit sich. Im Leitsystembereich sind Protokollwechsel
z. B. zwischen Leitsystem- und Betriebsebene eine relativ einfach formulierte Anforderung, welche schlecht umgesetzt allerdings im täglichen Betrieb Arbeitsabläufe verkompliziert oder praktisch nicht mehr nutzbar machen kann.
IT-Sicherheit muss von Anfang an berücksichtigt werden
Bei Greenfield-Projekten müssen hier künftig bereits bei der Planung neuer Produktionsstätten, Hallen und Anlagen erfahrene Ingenieure mit ins Boot geholt werden, die sowohl den technischen Hintergrund der IT mitbringen, die Bedrohungen und Anforderungen der IT-Sicherheit kennen und Risiken abschätzen und bewerten können, aber auch den Bedarf der Instandhaltung für den Betrieb der nächsten zehn bis zwanzig Jahre mit berücksichtigen. Einen Prozess technisch sicher zu implementieren, heißt nicht zwangsläufig, dass dieser im täglichen Arbeitsablauf auch ohne Weiteres eingehalten werden kann. Ist der Prozess nicht fest vorgegeben und einfach zu nutzen, werden immer wieder Schlupflöcher und Workarounds gesucht um die geforderten Tätigkeiten so schnell und einfach als möglich umzusetzen.
Ein Leitsystem mit Betriebssystem- oder Softwareupdates zu versorgen, heißt nicht nur, die Patches über mehrere Protokollwechsel bis auf die Betriebsebene zu bringen und bereitzustellen, sondern auch den reibungslosen Betrieb nicht zu stören. Geplante oder ungeplante Wartungsfenster müssen spontan in Anspruch genommen werden können – im Idealfall durch einen Maschinenbediener oder Mitarbeiter des Leitstandes. All die sicherheitsrelevanten Abläufe im Hintergrund müssen vorkonfiguriert und ohne Hintergrundwissen des Bedienpersonals genutzt werden können, sodass beim Patchen unter anderem auch gleich eine Sicherung des Systems für möglicherweise notwendige Rollbacks erstellt wird, nur vom Hersteller freigegebene Updates berücksichtigt werden und Projekte automatisch, z. B. über eine Simco gesteuert, sicher beendet werden.
Solche Prozesse lassen sich zwar mit viel Aufwand ebenfalls skripten und teilautomatisieren, allerdings führt dies zu einem Inselwissen einzelner Personen und schwer nachvollziehbaren Abläufen. Des Weiteren stellt sich bei einem solchen Vorgehen ebenfalls die Frage der Sicherheit von notwendigen Zugangsdaten. Diese werden zum Teil im Klartext in solchen Skripten hinterlegt und sind somit für potenzielle Angreifer im Ernstfall eine Möglichkeit, sich weiter in der Infrastruktur auszubreiten. Mit einer Standardlösung wie Ondeso SR hingegen lassen sich solche Prozesse von Betriebsingenieuren und/oder der IT planen und sicher umsetzen, sodass diese jederzeit gut dokumentiert, nachvollziehbar und wartbar sind und vom Betriebspersonal ohne großes Vorwissen bedarfsgerecht eingesetzt werden können.
Große Herausforderungen im Brownfield
Ingenieure sollten sowohl den technischen Hintergrund der IT als auch Kenntnisse über den Betrieb und die Instandhaltung der Anlage mitbringen. Bild: Ondeso
Eine noch größere Herausforderung als das Greenfield werden in den nächsten Jahren allerdings die Brownfield-Anlagen darstellen. Viele der Prozesse, die in den Reinräumen der IT seit über 30 Jahren entwickelt, implementiert und verbessert wurden, sind schlicht deshalb nicht oder nur teilweise umsetzbar, weil man sie bei der Planung der Anlage noch nicht berücksichtigt hat. Die Endpunkte in Form von Industrie-PCs, HMIs, SPSen, Sensoren und Aktoren wollen genauso gewartet und gepflegt werden wie die mechanischen Teile, denen sie zuarbeiten. Erst wenn man einmal einen vollständigen Überblick über alle vorhandenen Komponenten und deren aktuellen Zustand hat, kann man damit beginnen, tatsächliche Bedrohungen zu identifizieren, Risiken zu bewerten und Schutzmaßnahmen daraus abzuleiten. Ein solcher Maßnahmenkatalog ist die Grundlage, um die Beteiligten bei der Umsetzung an die Hand zu nehmen und die OT in ihrem gesamten Lebenszyklus zu managen.
Ein Maßnahmenbeispiel hierfür sind die häufig geforderten Protokollwechsel zwischen den einzelnen Ebenen, welche aktuell notgedrungen unter Nutzung von unsicheren Datenübertragungsprotokollen wie http oder ftp umgesetzt werden, da Altgeräte eine Verschlüsselung mit aktuell gängigen Standards – wie zum Beispiel TLS 1.2 – gar nicht mehr unterstützen würden. Mit Ondeso SR lassen sich die Daten prozessunabhängig in den einzelnen Teilbereichen bereitstellen, indem wahlweise einzelne, neuere Geräte die Datenverteilung übernehmen. Dadurch ist der Wechsel auf aktuelle Protokolle wie sftp, https oder ssh möglich, wodurch eine verschlüsselte Datenübertragung an den Zonengrenzen für zusätzliche Sicherheit sorgt. Dabei ist immer darauf zu achten, „Security through Obscurity“ zu vermeiden und frei nach dem Kerckhoff’schen Prinzip die Geheimhaltung des Schlüssels, statt der des Verschlüsselungsalgorithmus zu forcieren.
Agilität entsteht nur im Team
Das Agile Manifest besagt, dass „die besten Architekturen, Anforderungen und Entwürfe durch selbstorganisierte Teams entstehen“. Damit sich so ein Team jedoch selbst organisieren kann, müssen die Aufgaben und Verantwortlichkeiten klar definiert sein. Ein Instandhalter kann nicht für den funktionierenden Betrieb einer Anlage verantwortlich sein, wenn ihm ein essenzieller Teil vorenthalten und durch andere Organisationsteile gesteuert wird. Wie soll er den Betrieb sicherstellen, wenn er nicht weiß, wann die OT-Komponenten Updates erhalten oder andere „Wartungsarbeiten“ anstehen?
Die Kernkompetenzen funktionierender IT-Prozesse und deren Definition liegt dagegen in den IT-Abteilungen der Unternehmen. Für diese ist es selbstverständlich, dass Patches getestet werden, regelmäßig Backups für ein Desaster Recovery zu erstellen sind, Daten redundant abgelegt werden müssen und so weiter. Wann die Anlagen für solche Maßnahmen bereit sind, lässt sich in produzierender Umgebung nicht pauschal an festen Wartungsfenstern ausmachen. Hier müssen die Verantwortlichen stattdessen spontane Ausfälle für anstehende Tätigkeiten nutzen oder kurzfristige Produktionsanpassungen berücksichtigen.
Die richtigen Werkzeuge finden
Neben dem reinen Wissen benötigen die Betreiber hier die richtigen Werkzeuge, um auf diese Anforderungen auch sehr zeitnah reagieren zu können. Das Agile Manifest besagt hierzu: „Errichte Projekte rund um motivierte Individuen. Gib ihnen das Umfeld und die Unterstützung, die sie benötigen und vertraue darauf, dass sie die Aufgabe erledigen.“ Wer wie oben beschrieben weiß, welche Assets er hat, welche Schutzziele er wie erreichen möchte und wie die Aufgaben und Rollen verteilt sind und verantwortet werden, kann sich im Anschluss auf die Suche nach den, für diesen konkreten Einsatzzweck, „richtigen“ Werkzeugen zur optimalen Umsetzungsunterstützung machen.
Da die Firewall nicht vor Viren schützt, der Virenscanner nicht zur Stabilität und Performance des Systems beiträgt und eine Systemhärtung keine Lösung für ein instabiles Netzwerk ist, braucht auch der Instandhalter künftig eine speziell für ihn entwickelte Software. Damit behält er zu jeder Zeit alle Systeme in ihrem aktuellen Betriebszustand im Blick, kann die definierten Vorgaben der zentralen IT und IT-Sicherheit umsetzen und im Notfall selbständig zeitnah reagieren, um einen größeren Schaden zu vermeiden.
