Konvergenz von IT und OT rückt Cybersicherheit in den Fokus

Endpunktsicherheit steht an oberster Stelle

Bei diesem strategischen Paradigmenwechsel rücken genau diese beiden „Komponenten“ in den Fokus: die Nutzer und die Endpunkte. Wenn sie vor Angriffen von außen geschützt sind, ist es immer noch, aber nicht mehr so erfolgskritisch, dass Netzwerke und Schnittstellen sicher sind. Das ist natürlich kein Plädoyer, deren Schutz zu vernachlässigen, denn es gibt auch dort genug schützenswerte Komponente wie Speicher oder Kommunikationsmodule. Aber auch hier hilft es, sie als schützenswerte Endpunkte zu sehen.

Ich plädiere dafür, für Schutz dort zu sorgen, wo geschäftskritische Komponenten wirken – eben an den Endpunkten. Das bezieht sich sowohl auf Maschinen und industrielle Anlagen, die bisher nicht auf die Einbindung in Netzwerke vorbereitet sind. Es bezieht sich aber auch auf die Menschen, die sie bedienen und mit ihnen arbeiten. Jeder IT-Sicherheitsbeauftragte weiß, dass die Menschen das schwächste Glied in der Sicherheitskette sind, weil sie unwissentlich und fahrlässig oder gar bewusst Fehler begehen. Es geht nicht darum, sie deswegen zu kritisieren, sondern darum, sie vor Fehlern zu schützen, etwa über Zero-Trust-Konzepte oder rollenbasierte Zugriffsrechte („Role Based Access Control“) mit Policies.

Wenn Menschen und Endpunkte im Fokus stehen, lassen sich wichtige Sicherheitsprobleme lösen. So greift zum Beispiel das Netzwerk oder immer häufiger die Cloud nicht mehr ständig und ungefragt auf Endpunkte zu und kann so im Falle eines Netzwerk-Hacks auch nicht als Angreifer agieren. Umgekehrt nutzen geschützte Endpunkte Netzwerk und Cloud dann, wenn sie sie brauchen – mit individuellen Rollen und Rechten. Diese Architektur kennen wir aus dem Bereich mobiler Geräte wie Smartphones, auch wenn viele Apps dieses Prinzip zu ihren Gunsten auszuhöhlen versuchen. Wenn wir diesen Umgang auf vernetzte Geräte und Anlagen anwenden, haben wir ein gutes Stück mehr Sicherheit geschaffen.

Wir statten Geräte am Rande von Netzwerken, sogenannte Edge-Geräte, mit immer mehr Intelligenz aus, damit sie ihre Aufgaben unabhängig großer Netzwerke erledigen, zu denen sie nur dann eine Verbindung aufbauen, wenn das notwendig ist. Es wäre sinnvoll und ist Teil eines ganzheitlichen Ansatzes, auch die OT-Sicherheit, soweit möglich, an den Edge zu verschieben.

Sicherheit ist Angelegenheit des CEOs

Eine erfolgreiche Sicherheitsstrategie ist nicht schon dann erfüllt, wenn ein CISO an den CIO berichtet. Einen echten Paradigmenwechsel erreichen Unternehmen erst, wenn die Geschäftsleitung beim Thema Sicherheit umfassend informiert wird und eine aktive Rolle übernimmt, anstatt die Verantwortung an die IT-Abteilung oder gar eine einzelne Person weiterzugeben. Security ist heutzutage komplexer denn je und verträgt kein Denken in Silos. Angefangen beim CEO muss stattdessen das ganze Unternehmen mit einbezogen werden, damit ein Sicherheitskonzept vollumfänglich wirken und die Verbindung von IT und OT gelingen kann.