{"id":21418,"date":"2022-07-15T11:59:00","date_gmt":"2022-07-15T09:59:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=21418"},"modified":"2022-06-25T15:06:59","modified_gmt":"2022-06-25T13:06:59","slug":"konvergenz-von-it-und-ot-rueckt-cybersicherheit-in-den-fokus","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=21418","title":{"rendered":"Konvergenz von IT und OT r\u00fcckt Cybersicherheit in den Fokus"},"content":{"rendered":"\n

Autor\/Redakteur: Bernd Gro\u00df, CTO der Software AG und Gr\u00fcnder der marktf\u00fchrenden Plattform Cumulocity IoT<\/a>\/gg<\/p>\n\n\n\n

Das (Industrial) Internet of Things steht f\u00fcr eine rundum vernetzte (Industrie-)Welt, denn es verbindet Maschinen und Anlagen mit dem Internet. Aber es stellt Unternehmen bei der Organisation der Anlagensicherheit auch vor bisher nicht gekannte Herausforderungen, denn es vergr\u00f6\u00dfert die Angriffsfl\u00e4che f\u00fcr Cyberangriffe, wie es in einer Forrester-Studie hei\u00dft. Allein die stark wachsende Zahl vernetzter Endpunkte in der Produktion, der Produktentwicklung und in den Produkten selbst zeigt, wie gro\u00df diese Angriffsfl\u00e4che tats\u00e4chlich ist \u2013 und noch werden wird. Um diese Herausforderungen in den Griff zu bekommen, m\u00fcssen Unternehmen Security neu und ganzheitlich denken.<\/p>\n\n\n\n

\"\"<\/a>
Copyright: Rainer UNKEL , Tel.: 01715457756<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Anders als IT-Systeme hatten Maschinen und Anlagen lange Zeit keine Verbindung in die offene IP-Welt, sondern waren allenfalls intern oder \u00fcber propriet\u00e4re Systeme vernetzt. Eine spezielle Sicherheitsarchitektur oder gar -strategie war daher gar nicht n\u00f6tig. Die Vernetzung \u00fcber das Internet und damit ins weltweite Internet der Dinge \u00fcber Firmennetze und Verbindungspunkte ist deshalb ein gro\u00dfer Umbruch, denn damit werden die Daten der Endpunkte f\u00fcr datenbasierte Gesch\u00e4ftsmodelle und Use Cases nutzbar. Es ist ein Modell, das bleiben wird, denn genau das ist eins der gr\u00f6\u00dften Versprechen, das die Industrie 4.0 den Unternehmen machen kann.<\/p>\n\n\n\n

Wir k\u00f6nnen eine zunehmende Konvergenz zwischen Operational (OT) und Information Technology (IT) beobachten. Diese Ann\u00e4herung f\u00fchrt Unternehmen in eine rundum vernetzte Welt, in der verschiedene Systeme mit auf den ersten Blick inkompatiblen Management-Ans\u00e4tzen zusammenwachsen. Das f\u00fchrt dazu, dass wir Security auf beiden Ebenen neu denken m\u00fcssen \u2013 und letztlich auf der einen, die die bisher voneinander losgel\u00f6sten Systeme miteinander verbindet und integriert.<\/p>\n\n\n\n

User-Experience-Blick statt IT-Perspektive<\/strong><\/p>\n\n\n\n

Am besten funktioniert dieser Strategiewechsel im Kopf \u2013 \u00fcber einen ver\u00e4nderten Blick auf die Dinge. Betrachten wir OT- und IT-Sicherheit n\u00e4mlich nicht wie sonst immer aus einer technokratischen Sicht auf die Systeme, ihre m\u00f6glichen Schw\u00e4chen und potenziellen Angriffspunkte, sondern aus Sicht von Anwendern und den Endpunkten, die es zu sch\u00fctzen gilt, kommen wir zu einem neuen Ansatz, der viel mit dem Managen von User Experience und der Customer Journey gemein hat.<\/p>\n\n\n\n

Dabei zerlegen wir den komplexen Ende-zu-Ende-Prozess einer ganzheitlichen gedachten OT- und IT-Sicherheit in einzelne Schritte: Wer greift wann, wie und warum auf einen Endpunkt oder etwa eine Cloud-Schnittstelle zu? Wie ist dieser Access abgesichert, welche Rechte sind damit verbunden und was kann im schlimmsten Fall passieren?<\/p>\n\n\n\n

Solche Analysen kennen viele von uns aus der Software-Entwicklung und dem Marketing, und sie dienen normalerweise dazu zu verstehen, was Anwender (und ich erweitere das hier um den Terminus \u201evernetzte Ger\u00e4te\u201c) tats\u00e4chlich tun. In den genannten Bereichen dient es der Verbesserung der Bedienung oder dem bestm\u00f6glichen Befriedigen von Kundenw\u00fcnschen. In einem System ganzheitlicher Sicherheit aber dient es ausschlie\u00dflich einer besseren Absicherung von Nutzern und Ger\u00e4ten entlang der gesamten Wertsch\u00f6pfungs- und Prozesskette.<\/p>\n\n\n\n\n\n\n\n

Endpunktsicherheit steht an oberster Stelle<\/strong><\/p>\n\n\n\n

Bei diesem strategischen Paradigmenwechsel r\u00fccken genau diese beiden \u201eKomponenten\u201c in den Fokus: die Nutzer und die Endpunkte. Wenn sie vor Angriffen von au\u00dfen gesch\u00fctzt sind, ist es immer noch, aber nicht mehr so erfolgskritisch, dass Netzwerke und Schnittstellen sicher sind. Das ist nat\u00fcrlich kein Pl\u00e4doyer, deren Schutz zu vernachl\u00e4ssigen, denn es gibt auch dort genug sch\u00fctzenswerte Komponente wie Speicher oder Kommunikationsmodule. Aber auch hier hilft es, sie als sch\u00fctzenswerte Endpunkte zu sehen.<\/p>\n\n\n\n

Ich pl\u00e4diere daf\u00fcr, f\u00fcr Schutz dort zu sorgen, wo gesch\u00e4ftskritische Komponenten wirken \u2013 eben an den Endpunkten. Das bezieht sich sowohl auf Maschinen und industrielle Anlagen, die bisher nicht auf die Einbindung in Netzwerke vorbereitet sind. Es bezieht sich aber auch auf die Menschen, die sie bedienen und mit ihnen arbeiten. Jeder IT-Sicherheitsbeauftragte wei\u00df, dass die Menschen das schw\u00e4chste Glied in der Sicherheitskette sind, weil sie unwissentlich und fahrl\u00e4ssig oder gar bewusst Fehler begehen. Es geht nicht darum, sie deswegen zu kritisieren, sondern darum, sie vor Fehlern zu sch\u00fctzen, etwa \u00fcber Zero-Trust-Konzepte oder rollenbasierte Zugriffsrechte (\u201eRole Based Access Control\u201c) mit Policies.<\/p>\n\n\n\n

Wenn Menschen und Endpunkte im Fokus stehen, lassen sich wichtige Sicherheitsprobleme l\u00f6sen. So greift zum Beispiel das Netzwerk oder immer h\u00e4ufiger die Cloud nicht mehr st\u00e4ndig und ungefragt auf Endpunkte zu und kann so im Falle eines Netzwerk-Hacks auch nicht als Angreifer agieren. Umgekehrt nutzen gesch\u00fctzte Endpunkte Netzwerk und Cloud dann, wenn sie sie brauchen \u2013 mit individuellen Rollen und Rechten. Diese Architektur kennen wir aus dem Bereich mobiler Ger\u00e4te wie Smartphones, auch wenn viele Apps dieses Prinzip zu ihren Gunsten auszuh\u00f6hlen versuchen. Wenn wir diesen Umgang auf vernetzte Ger\u00e4te und Anlagen anwenden, haben wir ein gutes St\u00fcck mehr Sicherheit geschaffen.<\/p>\n\n\n\n

Wir statten Ger\u00e4te am Rande von Netzwerken, sogenannte Edge-Ger\u00e4te, mit immer mehr Intelligenz aus, damit sie ihre Aufgaben unabh\u00e4ngig gro\u00dfer Netzwerke erledigen, zu denen sie nur dann eine Verbindung aufbauen, wenn das notwendig ist. Es w\u00e4re sinnvoll und ist Teil eines ganzheitlichen Ansatzes, auch die OT-Sicherheit, soweit m\u00f6glich, an den Edge zu verschieben.<\/p>\n\n\n\n

Sicherheit ist Angelegenheit des CEOs<\/strong><\/p>\n\n\n\n

Eine erfolgreiche Sicherheitsstrategie ist nicht schon dann erf\u00fcllt, wenn ein CISO an den CIO berichtet. Einen echten Paradigmenwechsel erreichen Unternehmen erst, wenn die Gesch\u00e4ftsleitung beim Thema Sicherheit umfassend informiert wird und eine aktive Rolle \u00fcbernimmt, anstatt die Verantwortung an die IT-Abteilung oder gar eine einzelne Person weiterzugeben. Security ist heutzutage komplexer denn je und vertr\u00e4gt kein Denken in Silos. Angefangen beim CEO muss stattdessen das ganze Unternehmen mit einbezogen werden, damit ein Sicherheitskonzept vollumf\u00e4nglich wirken und die Verbindung von IT und OT gelingen kann.<\/p>\n","protected":false},"excerpt":{"rendered":"

Das (Industrial) Internet of Things steht f\u00fcr eine rundum vernetzte (Industrie-)Welt, denn es verbindet Maschinen und Anlagen mit dem Internet. Aber es stellt Unternehmen bei der Organisation der Anlagensicherheit auch vor bisher nicht gekannte Herausforderungen, denn es vergr\u00f6\u00dfert die Angriffsfl\u00e4che f\u00fcr Cyberangriffe, wie es in einer Forrester-Studie hei\u00dft. Allein die stark wachsende Zahl vernetzter Endpunkte in der Produktion, der Produktentwicklung und in den Produkten selbst zeigt, wie gro\u00df diese Angriffsfl\u00e4che tats\u00e4chlich ist \u2013 und noch werden wird. Um diese Herausforderungen in den Griff zu bekommen, m\u00fcssen Unternehmen Security neu und ganzheitlich denken.<\/p>\n","protected":false},"author":81,"featured_media":21420,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[6257,16572,8728,9825,5492],"class_list":["post-21418","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-cloud","tag-cumulocity-iot","tag-iiot","tag-ot","tag-software-ag"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/21418","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=21418"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/21418\/revisions"}],"predecessor-version":[{"id":21421,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/21418\/revisions\/21421"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/21420"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=21418"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=21418"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=21418"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}