.jpg)
OT-Security kommt nicht einfach per Feenstaub ins Unternehmen, sagt Kay Ernst, Regional Sales Director DACH von Otorio. Wenn man es allerdings schafft die Risiken zu erkennen und zu beheben, ist man schon einen riesigen Schritt weiter. Wie das gelingen kann, erzählt er im Gespräch.
IoT4industry&business: Gibt es Ihrer Meinung nach die vielzitierte Trennung zwischen OT und IT noch?
Kay Ernst: Das ist nach wie vor eine total relevante Frage. In den meisten Unternehmen gibt es diese Trennung. Und zwar nicht nur zwischen der Office-IT und der Produktionsseite, sondern auch innerhalb der OT. Denn in jeder Produktion gibt es unterschiedliche Bestandteile, wie die eigentlichen Automatisierungskomponenten, aber auch Netzwerk-, Security- und IoT- oder IIoT-Komponenten. Die Leute in der OT machen ihre Jobs seit 20 Jahren sehr tief, sehr detailliert und vor allem gut. Aber sie haben wenig Verständnis für die Security. Auf der anderen Seite stehen die IT-Leute, die Verständnis für die Security, dafür aber oft keines für die Bedürfnisse der OT-Seite haben. Es gibt aber Hoffnung auf Besserung. Denn es gibt einen Trend hin zu einer Gesamtverantwortung für den CISO oder den Chief Risk Officer. Und diese zentrale Verantwortung ist ein Schlüssel für erfolgreiche OT-Cybersecurity-Projekte. Das heißt aber auch: Der CISO hat künftig nicht nur eine technische, sondern er hat auch eine kulturelle Aufgabe zu erfüllen – nämlich die Teams zueinander zu führen.
IoT: Wo liegen aktuell die größten Treiber in der OT-Security?
Kay Ernst: Wir haben letztes Jahr für unseren Cybersecurity Survey Report eine Gruppe von 200 Unternehmen befragt. Der Haupttreiber für die Maßnahmen ist tatsächlich als allererstes Compliance. Wer hätte das gedacht? Staatliche Vorgaben führen tatsächlich zu einer Verbesserung der Situation. Zweitens Wachstum. Den Unternehmen ist klar, dass sie nicht wachsen können, ohne Security intrinsisch miteinzubauen. Und erst an dritter Stelle kommt tatsächlich die Furcht vor Angriffen. Allerdings liegen diese drei Plätze sehr, sehr nahe beieinander. Bei der Furcht vor Angriffen ist eine Fokussierung auf die Supply Chain zu beobachten. Den Unternehmen ist bewusst, dass sie nicht nur auf die erste Schicht, sondern durchgängig auf die komplette Lieferkette schauen müssen. Das Bewusstsein wächst auf jeden Fall. Angriffe auf die OT-Infrastruktur waren bisher typischerweise Nation-State-Angriffe, sprich ein Land will die Infrastruktur von einem anderen Land schwächen. Dadurch, dass die Werkzeuge vereinfacht wurden bzw. jedem zur Verfügung stehen, kann jeder Angriffe auf die OT eines Unternehmens starten.
IoT: Otorio sagt, dass es nicht mehr darum geht einfach nur zu reagieren, sondern proaktiv zu sein. Wie macht man das?
Kay Ernst: Unternehmen haben viel Geld und Know-how in Security-Maßnahmen investiert. Diese führen aber nicht immer zu einem wirklich kongruenten Endergebnis, das vom Betrachten einzelner Vorfälle, hin zu einem einheitlichen Risikomanagement geht. Denn das ist es, wohin Unternehmen im Grunde wollen. Sie wollen hin zu einem großen Bild. Und das fehlt noch. Das zu wissen, ist eine ganz, ganz entscheidende Erkenntnis. Security-Mechanismen erzeugen irrsinnig viel Rauschen. Selbst wenn ich ganz tolle Alarme durch Virenscanner, Detection Systeme oder Firewalls habe, sobald es in der Produktion kein SOC (Security Operations Center) gibt, verhallen diese Alarme. Ein weiteres Problem der heutigen Verfahren ist: Sie helfen bei der Schadensminimierung post mortem. Sie helfen aber nicht bei beim Risikomanagement vorher. Ein Angriff erfolgt anhand einer Cyber Kill Chain. Egal ob auf die IT oder die OT. Otorio hilft dabei, dass man genaue Informationen über Schwachstellen innerhalb der gesamten Kette bekommt. Also weg vom Sehen der Einzelteile, hin zu einer kontextualisierten Betrachtung.
IoT: Wie bekommt man diesen Überblick?
Kay Ernst: Auf der Produktionsseite gibt es jeden Tag tausende Alarme, Logeinträge, Events oder IDS-Meldungen. Das kann ein Mensch kaum bewerkstelligen. Und genau das ist es, was unsere Technologie RAM2 korreliert und kontextualisiert. Sie zeigt jene Bereiche, die tatsächlich relevant sind und ein praktisch ausnutzbares Risiko darstellen. Ein grundsätzliches Problem bei der OT ist ja: Sie ist irrsinnig zerfasert. Es gibt allein für Automatisierungstechnik über 600 Hersteller. Es ist aber nötig, alles was es in der Produktion gibt, mit in die Security-Betrachtung aufzunehmen. Denn alles spielt eine Rolle. Daher es gehört zu unserem täglichen Geschäft, die vielen Anbieter zu integrieren. Ein großer Teil unserer Kollegen sind Forscher. Die machen nichts anderes, als sich den ganzen Tag Zugang zu Industrie-Komponenten zu verschaffen – entweder beim Proof of Concept beim Kunden oder durch Automatisierungstechnik-Anbieter, die uns bitten ihre Komponenten hinsichtlich Security zu prüfen. Daher hat Otorio einen sehr großen Wissensschatz. Und dieses Wissen fließt in unsere Technik ein.
IoT: Wie arbeitet ihre Technologie konkret?
Kay Ernst: Jeder Anbieter von Automatisierungstechnik hat heute seinen eigenen digitalen Zwilling, der aber nicht quer über die gesamte Infrastruktur arbeitet. Wir erstellen genau diesen digitalen Zwilling, der ein Eins-zu-Eins Abbild der kompletten Produktion zeigt. Und dann wird er einer Angriffssimulation ausgesetzt. Wenn man schon mal einen Pen-Test in einer lebendigen Produktionsumgebung mitverfolgt hat, dann weiß man: Das ist super anstrengend. Denn der Pen-Tester ist limitiert, um die Produktion nicht lahmzulegen. Anders unser digitaler Zwilling. Den kann man testen, bis man wirklich alle Angriffsvektoren gefunden hat. Das ist ein kontinuierlicher Prozess. Und er ist automatisiert. Außerdem funktioniert unsere Technik autark, ohne Internetverbindung und ohne Verbindung in unser eigenes Netzwerk. Wenn ein neues Gerät oder eine neue Softwareversion hinzukommt und sich dadurch eine neue Risikosituation ergibt, wird auch das automatisch erkannt. Als logische Folge gibt es auch gleich Rat in Form von Playbooks. Und dieser Rat – und das ist ein großer Unterschied zur IT– lautet nicht: Spiele die folgenden Security-Patches ein. Wir haben einen anderen Zugang. Wenn eine ausnutzbare Schwachstelle in der Produktionsanlage entdeckt wird – etwa die Firewall lässt eine Ausnutzung zu, bei einem Remote Desktop Service musste bislang kein Passwort eingegeben werden – muss die mögliche Angriffskette eben dort vorne unterbrochen werden.
Ein angenehmer Bestandteil und damit weiterer Vorteil unserer Technologie kommt beim Thema Compliance zum Tragen. Es gibt professionelle Organisationen, die die Audits in den Unternehmen übernehmen. Allerdings gibt es dabei ein Problem: Wenn man ein halbes Jahr später wieder ein Audit machen lässt, dann kommt unter Umständen ein anderer Auditor, bei dem möglicherweise ein anderes Ergebnis herauskommt. Das heißt: Es ist einfach klug, sich beim Audit die technischen Informationen automatisiert zu holen. Das vereinfacht den Prozess irrsinnig und macht ihn schneller, objektiver und günstiger.
IoT: Auf Ihrer Website gibt es ein Erklärvideo zu RAM2. Es wirkt so, als wenn alles wahnsinnig einfach funktioniert.
Kay Ernst: Aufgrund der Komplexität der Dinge funktioniert OT-Cybersecurity nicht einfach per magischem Feenstaub. Ja, in der Theorie ginge es, wenn alle Anlagen von einem Hersteller sind und der Kunde eine Struktur hat. In der Praxis hat man immer heterogene Landschaften, auch noch aus unterschiedlichen Generationen. Und deswegen müssen solche Projekte gut vorbereitet angegangen werden. Es ist wichtig mit dem Kunden vorher über seine Infrastruktur zu sprechen und wie die Informationsgewinnung geschehen soll. Sobald unser System funktioniert, dann tatsächlich mit minimalem Wartungsaufwand. Aber es ist wie mit allen großen Sachen: Sie erfordern am Anfang einen gewissen Investitionsaufwand, um dann später großen Wert zu generieren und ganz wenig Pflegebedarf zu haben.
IoT: Was erwarten Sie vom heurigen Jahr hinsichtlich OT-Security?
Kay Ernst: Es wird alles immer noch verbundener und es gibt immer noch mehr Helferlein, noch mehr Systeme, die aus Bequemlichkeitsgründen irgendwo schnell ohne spezielles Security-Bewusstsein ausgerollt werden. Das bedeutet, dass die Dimension von Gerätschaften, die Teil einer Risikobetrachtung sein müssen, weiter exponentiell steigen wird. Die Angriffe werden nicht weniger, Systeme werden komplexer und deswegen muss auch die Supply Chain immer intensiver betrachtet werden. Außerdem erwarten wir, dass die Regulierungen, die auf europäischer Ebene fixiert sind und noch auf nationaler Ebene umgesetzt werden müssen, einen großen Einfluss auf das Bewusstsein bei Unternehmen haben und das Thema OT-Security auf die Geschäftsführungstische heben werden. Auf der Habenseite – und das gibt mir Hoffnung – sehen wir den schon angesprochenen Trend, dass in der Produktion nicht mehr jeder siloartig für seinen eigenen Bereich verantwortlich ist, sondern dass es eine Person gibt, die für die Cybersecurity zuständig ist und die unterschiedlichen Abteilungen und Funktionen ansteuert. Das macht Cybersecurity-Projekte in der OT letztendlich erfolgreich.
