Konvergenz von IT und OT rückt Cybersicherheit in den Fokus

Autor/Redakteur: Bernd Groß, CTO der Software AG und Gründer der marktführenden Plattform Cumulocity IoT/gg

Das (Industrial) Internet of Things steht für eine rundum vernetzte (Industrie-)Welt, denn es verbindet Maschinen und Anlagen mit dem Internet. Aber es stellt Unternehmen bei der Organisation der Anlagensicherheit auch vor bisher nicht gekannte Herausforderungen, denn es vergrößert die Angriffsfläche für Cyberangriffe, wie es in einer Forrester-Studie heißt. Allein die stark wachsende Zahl vernetzter Endpunkte in der Produktion, der Produktentwicklung und in den Produkten selbst zeigt, wie groß diese Angriffsfläche tatsächlich ist – und noch werden wird. Um diese Herausforderungen in den Griff zu bekommen, müssen Unternehmen Security neu und ganzheitlich denken.

Copyright: Rainer UNKEL , Tel.: 01715457756

Anders als IT-Systeme hatten Maschinen und Anlagen lange Zeit keine Verbindung in die offene IP-Welt, sondern waren allenfalls intern oder über proprietäre Systeme vernetzt. Eine spezielle Sicherheitsarchitektur oder gar -strategie war daher gar nicht nötig. Die Vernetzung über das Internet und damit ins weltweite Internet der Dinge über Firmennetze und Verbindungspunkte ist deshalb ein großer Umbruch, denn damit werden die Daten der Endpunkte für datenbasierte Geschäftsmodelle und Use Cases nutzbar. Es ist ein Modell, das bleiben wird, denn genau das ist eins der größten Versprechen, das die Industrie 4.0 den Unternehmen machen kann.

Wir können eine zunehmende Konvergenz zwischen Operational (OT) und Information Technology (IT) beobachten. Diese Annäherung führt Unternehmen in eine rundum vernetzte Welt, in der verschiedene Systeme mit auf den ersten Blick inkompatiblen Management-Ansätzen zusammenwachsen. Das führt dazu, dass wir Security auf beiden Ebenen neu denken müssen – und letztlich auf der einen, die die bisher voneinander losgelösten Systeme miteinander verbindet und integriert.

User-Experience-Blick statt IT-Perspektive

Am besten funktioniert dieser Strategiewechsel im Kopf – über einen veränderten Blick auf die Dinge. Betrachten wir OT- und IT-Sicherheit nämlich nicht wie sonst immer aus einer technokratischen Sicht auf die Systeme, ihre möglichen Schwächen und potenziellen Angriffspunkte, sondern aus Sicht von Anwendern und den Endpunkten, die es zu schützen gilt, kommen wir zu einem neuen Ansatz, der viel mit dem Managen von User Experience und der Customer Journey gemein hat.

Dabei zerlegen wir den komplexen Ende-zu-Ende-Prozess einer ganzheitlichen gedachten OT- und IT-Sicherheit in einzelne Schritte: Wer greift wann, wie und warum auf einen Endpunkt oder etwa eine Cloud-Schnittstelle zu? Wie ist dieser Access abgesichert, welche Rechte sind damit verbunden und was kann im schlimmsten Fall passieren?

Solche Analysen kennen viele von uns aus der Software-Entwicklung und dem Marketing, und sie dienen normalerweise dazu zu verstehen, was Anwender (und ich erweitere das hier um den Terminus „vernetzte Geräte“) tatsächlich tun. In den genannten Bereichen dient es der Verbesserung der Bedienung oder dem bestmöglichen Befriedigen von Kundenwünschen. In einem System ganzheitlicher Sicherheit aber dient es ausschließlich einer besseren Absicherung von Nutzern und Geräten entlang der gesamten Wertschöpfungs- und Prozesskette.