axians-uptown-basel-digitalchiefs
06.07.2021 | Mathias Bücherl

Das IT/OT Security Operations Center als ganzheitlicher Ansatz

Während der Vernetzungs- und Digitalisierungsgrad in der Industrie 4.0 steigt, erhöht sich auch das Risiko von Cyber-Angriffen. So lautet die Frage nicht, ob man angegriffen wird, sondern vielmehr wann. Wie können Unternehmen sich effektiv schützen? Was ist ein SOC? Und warum kommt es bei zunehmender IT/OT-Konvergenz auf einen ganzheitlichen Cyber-Security-Ansatz an?

Vernetzung nur unzureichend abgesichert

Zwar macht der 2020 State of Operational Technology and Cybersecurity Report deutlich, dass Operational Technology (OT) Teams für den Unternehmenserfolg eine entscheidende Rolle spielen. Er zeigt aber noch deutlicher auf, dass das Thema OT Security einem internen Tauziehen gleicht:

  • 9 von 10 der Unternehmen haben im vergangenen Jahr mindestens einen Einbruch in ein OT-System erlebt, 19 % mehr als noch 2019.
  • 65 % der OT-Führungskräfte sind für die Einbettung der Sicherheit in die Betriebsabläufe verantwortlich, aber 78 % haben die OT-Sicherheit dem CISO unterstellt oder werden dies im nächsten Jahr tun.
  • 44 % überwachen, verfolgen und melden die Einhaltung von Branchenvorschriften sowie von Sicherheitsstandards nicht.
  • 51 % der IT- und OT-Security-Teams arbeiten isoliert voneinander.

So ist klar: Obwohl Produktionsanlagen und Maschinen zunehmend online und mit IT-Systemen vernetzt sind, wird es Cyberkriminellen allzu oft nicht allzu schwer gemacht. Der schlagzeilenträchtige Hackerangriff auf die größte Ölpipeline der USA hat das schmerzhaft ins öffentliche Bewusstsein gerückt. Dass das Bewusstsein für Gefahren in den Chefetagen dennoch steigt, verdeutlicht eine weitere Umfrage: Nach Aussagen von Gartner ist bis 2025 damit zu rechnen, dass in 40 % der Unternehmen ein Cybersecurity-Management-Team aufgebaut wird.

IT versus OT – wenn zwei Welten aufeinanderprallen

Obwohl die IT und OT zwei der schützenswertesten Assets im Unternehmen sind und immer mehr verschmelzen, besteht sicherheitstechnisch wie auch menschlich noch eine Kluft, die eine der größten Herausforderungen der digitalen Transformation darstellt. Aber zunächst zu den Definitionen:

IT (Informational Technology) bezeichnet das gesamte Spektrum und damit alle Technologien zur Datenverarbeitung ­– inklusive der dazugehörigen Hardware und Kommunikationstechnologie, wobei eingebettete Systeme (Embedded Systems) bewusst ausgeklammert sind. Die Sicherheitspriorität liegt vor allem in der Vertraulichkeit, Integrität und Verfügbarkeit von Daten.

OT (Operational Technology) umfasst die Systeme, die zur Steuerung und Überwachung physischer Geräte wie Maschinen oder industrieller Anlagen nötig sind. Die Priorität liegt auf der Verfügbarkeit der Hardware-nahen und vernetzten Geräte. Auch liefern sie die Daten, die die Basis für optimierte Produktionsabläufe oder neue Geschäftsmodelle bilden.

IT/OT-Konvergenz steht für die Integration beider Systeme – so kommt Informationstechnologie zum Einsatz, um die Datenverarbeitung und -analysen produktiver Prozesse in Echtzeit zu ermöglichen. Diese Konvergenz sorgt für effizientere Systeme und ermöglicht neue Lösungen wie die Steuerung der Prozesse aus der Ferne, direkte Machine-to-Machine-Kommunikation (M2M), Einbindung des Industrial Internet of Things (IIoT), Predictive Maintenance und vieles mehr.

IT/OT-Konvergenz: andere Gefahren, gleicher Schutz?

Die IT/OT-Konvergenz bringt allerdings auch Herausforderungen mit: Maschinen und Anlagen werden durch die Vernetzung und die Abkehr von geschlossenen, proprietären Systemen von außen angreifbar.

Dabei ist das Gefahrenpotential in der OT unterschiedlich strukturiert:

IT/OT Kovergenz birgt Gefahren
Die IT/OT Konvergenz birgt Gefahren – vernetzte Maschinen sind von außen angreifbar. Quelle: Adobe Stock / Blue Planet Studio
  • Allein durch den Ausfall von Maschinen und Anlagen können in Sekundenschnelle erhebliche Schäden entstehen.
  • Im schlimmsten Fall kommen Menschen durch Fehlfunktionen oder Angriffe auf Safety Controller in Gefahr.
  • Hinzu kommt eine starke Fragmentierung: Während IT-Anwendungen fast immer unternehmensweit standardisiert sind (z. B. verwenden viele Unternehmen SAP als ERP-System), sind es OT Systeme selten.
  • Oft wird eine Vielzahl an Anbietern und Versionen ­verwendet – manchmal sogar innerhalb eines einzigen Standorts.
  • OT-Umgebungen sind längst nicht vollständig digitalisiert – sie basieren noch auf Legacy-Systemen, die speziellen Schutz verlangen.
  • Weitere Herausforderungen liegen in langen Lifecycles mit deutlich eingeschränkten Möglichkeiten, einzelne Systeme zu patchen oder zu isolieren.

Zentraler Security-Leitstand – was ist ein SOC?

Bei zunehmender Konvergenz ist eine getrennte Betrachtung beider Welten nicht mehr sinnvoll. Wenn aber weder IT- und OT-Security-Teams allein das Know-how besitzen, gestalten sich nicht nur die Zusammenarbeit, sondern auch die Absicherung schwierig.

Hier kommt das Security Operations Center (SOC) ins Spiel: Die zentrale Leitstelle verantwortet nicht nur alle sicherheitsrelevanten Services der IT, sondern als spezialisiertes IT/OT SOC auch die der Operational Technology. So werden vernetzte Sensoren, Maschinen, Anlagen und Geräte von Unternehmen 24/7 überwacht, Security-Muster sowie -Anomalien analysiert und Schutzmaßnahmen eingeleitet, um potenzielle Angriffe abzuwehren. Dabei arbeiten Security-Experten aus verschiedenen Bereichen mit abgestimmten Prozessen und speziellen Tools zusammen.

People, Tools & Powerplay für IT/OT Security Operations

People: Die Security-Experten sind der wichtigste Bestandteil eines SOCs. Es handelt sich um hochspezialisierte Fachkräfte, die jeweils ein bestimmtes Gebiet verantworten: Manager, Techniker, Industrie-Experten, Analysten, Pentester, digitale Forensiker, ethische Hacker etc.

Prozesse: Im Fokus liegen die Erkennung, Analyse und Reaktion auf noch unbekannte Angriffsmethoden. Prozesse werden auf Basis sogenannter „Security Playbooks“ definiert und es wird mit Threat Intelligence Feeds sowie Malware-Information-Security-Plattformen im 7x24h-Service gearbeitet.

Tools: Als technische SOC-Grundlage nutzt ein SIEM (Security Information and Event Management) unterschiedliche Log-Files, um Vorfälle zu identifizieren und frühzeitig Informationen zu möglichen Bedrohungen zu liefern. Weitere Tools sind Threat Intelligence & IoC, das Vulnerability Assessment, die OT-Visiblitiy & Anomaly Detection, User Behavior Analytics, Incident handling & Response etc.

Durch die gebündelten Kompetenzen sollte ein SOC immer in der Lage sein, auch komplexe und mehrstufige Attacken zu erkennen und abzuwehren. So ermöglicht es die proaktive und präventive Suche nach Schwachstellen über alle IT- und OT-Ebenen hinweg und gewährleistet gleichzeitig eine durchgängige Reaktionsbereitschaft bei tatsächlichen Attacken.

soc sind die wichtigsten Mitarbeiter vertreten.
In SOCs sind die dort arbeitenden Experten der wichtigste Bestandteil. Quelle: Adobe Stock/Gorodenkoff

Ganzheitliche Cyber Security ist wichtiger denn je

Die zunehmende vertikale Integration und damit IT/OT-Konvergenz erfordert also einen ganzheitlichen Cyber-Security-Ansatz über alle Ebenen. Denn genau sowenig wie die IT die produktionsnahen Herausforderungen meistern kann, vermag es die OT, die Sicherheitsanforderungen allein zu meistern. Mit dem IT/OT SOC schließt sich der Kreis.

Unternehmen halten mit dem Hirn und Herzstück rund um alle sicherheitsrelevanten Themen den Sicherheitsschlüssel für ihre kritischen Systeme in der Hand. Gleichzeitig ermöglicht er es, die langfristigen Vorteile der IT/OT- Konvergenz zu erschließen: Verbesserungen der Leistung und Produktivität, eine größere Transparenz der betrieblichen Abläufe und Senkung der Produktionskosten, um nur einige davon zu nennen.

IT/OT SOC als Managed Service für gebündelte Kompetenz

Klar ist: Wer die Vorteile der IT/OT-Konvergenz sicher nutzen und für die vernetzte Industrie der Zukunft gerüstet sein will, muss die Cyber Security ganzheitlich betrachten. Klar ist aber auch, dass es dafür interne Ressourcen und spezielle Skills braucht, die in Zeiten des Fachkräftemangels oft nicht vorhanden sind.

Hier kann ein Managed Security Service Provider (MSSP) wertvolle Dienste leisten, indem er den SOC Betrieb mit erfahrenen Spezialisten rund um die Uhr übernimmt. Und wenn die sich mit den Besonderheiten der IT/OT Integration auskennen, können sich profitieren Unternehmen von einer zentralen Cyber-Security-Leitstelle, die sich um alle sicherheitsrelevanten Vorfälle aus beiden Welten kümmert. Mit individuell festgelegten Leistungen, fest eingebunden in interne Workflows und im günstigsten Fall sogar mit einer erhöhten Kosteneffizienz.

In einem Security Operations Center werden in spezialisierten Teams aus Cybersecurity-Analysten, Pentestern, digitalen Forensikern und ethischen Hackern die Systeme der Kunden rund um die Uhr überwacht und gegen Angriffe geschützt. Quelle: VINCI Energies

Quelle Titelbild: VINCI Energies.

Diesen Beitrag teilen:

Weitere Beiträge

S/4HANA Integration und der Greenfield-Ansatz – nur ein Wunschdenken?

Wer zu SAP S/4HANA umziehen will, hat die Wahl zwischen den Methoden Brownfield und Greenfield. Wir zeigen ... »

26.07.2021 | Redaktion Digital Chiefs

Warum das Business zunehmend auf seine Entwickler hört

Gerade bei der Entscheidung für neue Business-Applikationen verlassen sich Unternehmen immer stärker ... »

21.07.2021 | Silvia Hänig