Es ist noch nicht lange her, da war die Welt noch in Ordnung. IT (Information Technology) und OT (Operational Technology) waren zwei völlig getrennte Welten, sowohl was Technologie als auch Organisation betraf. Die vollständige Durchdringung aller Lebenswelten durch das Internet verändert nun diese harmonische Ausgangslage.

Und so hören wir bei unseren Confare CIO Think Tank Meetings immer wieder, wie schwer die Verzahnung dieser beiden wichtigen technischen Bereiche des Unternehmens fällt. „Die Kollegen verstehen nicht, dass schlecht abgesicherte IoT Komponenten ein Einfallstor in unsere IT-Landschaften darstellen. Sie verstehen unsere Sprache nicht und haben ganz andere Prioritäten.“, so lauten die Bedenken der CIOs.

Wer einen Windowsrechner betreibt, Virenbefall erlebt oder mit regelmäßig abstürzenden Applikationen gekämpft hat, der weiß, warum bei vielen OT Verantwortlichen diese Veränderung ebenfalls nicht auf enorm viel Gegenliebe stößt. Siegfried „Ziggy“ Schauer ist Security Evangelist und Advanced Cyber Defense Profi bei T-Systems Austria. Kurz gesagt, er ist Cybersecurity Nerd. Und damit eine wichtige Anlaufstelle um zu klären: Wie gefährlich ist das Zusammenwachsen der Welten denn tatsächlich?

„Zunächst bringt das Verschmelzen von IT und OT Infrastrukturen sehr viele Vorteile mit sich etwa im Bereich Optimierung (gezielte Auslastung von Maschinen) und Monitoring (Maschinenstatus). Ähnlich wie bei „neueren“ Autos, wo man zur Diagnose einen OBD (On Board Diagnostic) Lesegerät ansteckt muss, kann und muss man sich als Verantwortlicher einer Maschine nicht mehr nur aufs Gehör verlassen, sondern bekommt Echtzeit Status in sein Monitoring über den Zustand der Geräte. Es gibt Maschinen wo man die Ersatzteile direkt über das integrierte Terminal bestellen kann.“, meint Ziggy.

„Auf der anderen Seite bringt die Vernetzung aber jede Menge an Risiken und Herausforderungen mit sich. Cyber Kriminelle können Sicherheitslücken ausnützen um die Produktion ernsthaft zu stören oder gar; sie begehen Diebstahl wertvoller Daten und spionieren über schlecht geschützte OT-Infrastrukturkomponenten tief in die Unternehmensorganisation.“ Der Spezialist kann auch Beispiele nennen: „Ein reales Szenario nur wenige Jahre her: die Infrastruktur eines Staats wurde streckenweise lahmgelegt. Strom, Wasser, Ampeln funktionierten nicht mehr. Chaos, enorme finanzielle Schäden bis hin zur Gefährdung von Leib und Leben waren die Folge. Ein anderes Szenario: Die meist nur sehr schlecht abgesicherten Systeme werden Teil eines Botnets und richten so Schaden. Das Mirai Botnet war ein durch simpelste Angriffsmethodik zusammengestelltes „Zombienetz” bestehend aus mehreren Millionen IoT Devices. Videokameras, smarte Türschlösser, Kaffeemaschinen, Produktionsroboter, Photovoltaikanlagen, sie alle wurden zu zwangsweisen Teilnehmern des Mirai Botnetzes.“

Das Zusammenwachsen der Technologien, die laufende weitere Digitalisierung, findet auf der organisatorischen und menschlichen Seite bisher keine Entsprechung. Die Dringlichkeit, dass man sich zusammenrauft wird aber deutlich, wenn man sich die Zuwachsraten bei Angriffen auf IoT Devices ansieht. Experten sprechen von jährlich bis zu 300%. Die IT ist oft gar nicht im Bilde darüber, welche Geräte im eigenen Betrieb über das Internet kommunizieren, geschweige denn, welche Informationen dabei nach außen ausgetauscht werden. Das macht die üblichen Security-Maßnahmen, wie Intrusion Detection, regelmäßiges Patchen etc. unmöglich. „Große Risiken liegen im Bereich Safety. Damit ist die physikalische Sicherheit gemeint, die Menschen und die Umwelt betrifft. Diese Safety zu garantieren ist ohne (Cyber) Security Know-how gar nicht mehr umsetzbar.“, ergänzt der Security Nerd.

„Nur gibt es in diesem Umfeld keine etablierten Standards für Cyber Security. Die Protokolle sind je nach Hersteller unterschiedlich und auch die Devices multifunktional einsetzbar. Es muss nur eine andere Software eingespielt werden und schon ist der Roboter der vorher lackiert hat ein Schrauber.“

Offen treten die unterschiedlichen Herangehensweisen, Strukturen und Wertehaltungen hervor und werden zum Bremsklotz beim digitalen Fortschritt des Unternehmens.

• Offenheit und Fehlertoleranz machen die Vielfältigkeit der Internettechnologie aus. Wenn Software noch nicht ausgereift ist, wird sie durch laufende Updates und Patches verbessert.
• In der Welt von Produktionssteuerung und Maschinen sind Fehler nicht erlaubt, denn sie können nicht nur enorme Kosten verursachen, sondern sogar gefährliche Unfälle auslösen.
• Standardisierung und Integration sind ein wesentlicher Faktor für den CIO und die Enterprise IT. Klassische OT Konzepte wiederum sind oft auf ihre Weise einzigartig und mit hoher Präzession ausgefeilt. Eingriffe können relativ unversehens weitreichende Folgen haben.
• Hackerangriffe und Virenbefall sind plötzlich nicht mehr etwas, das nur Bürorechner betrifft, sondern können das Herz des Produktionsprozesses schaden.

Und so funktioniert die unvermeidliche Konvergenz von IT und OT in den wenigsten Unternehmen reibungslos. Es herrscht tiefes gegenseitiges Unverständnis. Die Zusammenarbeit wird blockiert, Wissen und Verantwortung nicht geteilt. Der eigentlich geplante Nutzen wird kaum erreicht, der echte Digitalisierungsschritt nicht konsequent gegangen.

Es besteht dringender Handlungsbedarf, die organisatorische und menschliche Kluft zu schließen. „Dem ICS Cert zufolge ist ein rasanter jährlicher Anstieg an Vulnerabilities zu sehen.“, betont Siegfried Schauer. „Prominenteste Angriffe waren sicher Stuxnet, Duqu oder Flame.  Zum Einsatz kommen in erster Linie Devices die veraltete Software verwenden, die nicht upgegradet oder getauscht werden kann. Hier funktionieren Exploits für Windows 95 oder XP sehr gut. Bei IOT Devices ist es wie in Produktions-Umgebungen. Es wird ein Stück Hardware mit Integrierter Software ausgeliefert das nur einen Zweck hat: Funktionieren. Software Upgrades werden kaum bis sehr spät zur Verfügung gestellt. All das hilft Kriminellen ihre Angriffe durchzuführen.“

Mit IoT werden die Plattformökonomie und digitale Ecosysteme in den Produktionsprozess Einzug halten. Disruptive Möglichkeiten werden denjenigen, die fähig sind sie zu realisieren, die wahren Wettbewerbsvorteile ermöglichen. Produktion wird sich über kurz oder lang mit neuen Geschäftsmodellen, neuen Wegen der Zusammenarbeit und einem kundennahen Innovationsprozess massiv verändern. Wenn alles anders wird, empfiehlt Siegfried sich zumindest dort, wo es um Security geht auf Bewährtes zu setzen. „Wichtig ist sich an erprobte und definierte Standards wie Zero Outage oder IEC 62443 zu halten. Aber vergessen Sie nicht, insbesondere aus Garantiegründen die Angaben der Hersteller mit in den Kontext einbeziehen.“, lautet der Rat des Security Nerds.

Die Cybersecurity Spezialisten von T-Systems befassen sich intensiv mit dem Thema IT/OT Konvergenz und unterstützen Kunden sowohl beim Aufbau der geeigneten Maßnahmen als auch bei der Reaktion und Abwehr von tatsächlichen Angriffen. Mehr zum Thema finden Sie auf www.t-systems.at, sowie im Confare Cybersecurity Infocenter. Das aktuelle Cybersecurity Factsheet steht dort kostenlos zum Download bereit.

Interessante Videos zu diversen Themen finden Sie auf unserem YouTube-Kanal.