OT-Security in der Industrie: Schutz der Produktionsumgebungen muss priorisiert werden.
Mit der zunehmenden Vernetzung industrieller Infrastrukturen stehen Unternehmen vor wachsenden Herausforderungen bei der Absicherung ihrer OT-Systeme (OT-Security). Ein Ausfall kann nicht nur die physische Sicherheit gefährden, sondern führt auch zu erheblichen finanziellen Risiken wie Datendiebstahl und Sabotage, die langfristige Folgen für Unternehmen und ihre Wettbewerbsfähigkeit haben können.
Regulatorische Vorgaben wie NIS2 und der Cyber Resilience Act (CRA) verlangen von Unternehmen umfassende Risikomanagementmaßnahmen, die explizit auch OT-Security umfassen. Diese Anforderungen zwingen Unternehmen, ihre Sicherheitsstrategien zu überdenken, in neue Technologien zu investieren und das Sicherheitsbewusstsein in der Organisation zu stärken. Gleichzeitig bieten Regelwerke die Chance, die Resilienz gegenüber Cyberangriffen zu erhöhen und das Vertrauen in digitale Technologien zu festigen.
Maßnahme 1: Transparenz und Asset-Management als Basis für OT-Security
Ein zentrales Element jeder OT-Security-Strategie ist ein effektives Asset-Management. Nur wer vollständige Transparenz über sämtliche Hard- und Software, Netzwerkgeräte und Steuerungssysteme besitzt, kann Schwachstellen gezielt identifizieren und schützen. Gerade OT-Umgebungen mit älteren Geräten hilft die Inventarisierung, nicht mehr unterstützte Komponenten zu erkennen und gezielt zu priorisieren.
Ein anschauliches Beispiel liefert Colgate-Palmolive: Das Unternehmen hat mit der Armis-Plattform eine umfassende Asset-Erkennung und -Verwaltung in über 40 Fertigungsstätten weltweit umgesetzt. Die Lösung ermöglicht eine automatisierte Identifikation und Klassifizierung aller Geräte, die Erstellung und Durchsetzung von Sicherheitsrichtlinien sowie eine flexible Netzwerksegmentierung. Die Integration in bestehende Security-Tools und ein zentrales Dashboard sorgen für eine schnelle Risikobewertung und gezielte Schwachstellenbehebung. Die Mitarbeitenden profitieren von einer modernen, intuitiven Oberfläche, die das Management vereinfacht und die Zusammenarbeit zwischen Security-, Audit- und Engineering-Teams fördert.
Maßnahme 2: IT-/ OT-Konvergenz
Die zunehmende Vernetzung von IT- und OT-Systemen führt dazu, dass vormals isolierte OT-Umgebungen über Netzwerke erreichbar werden und dadurch neue Angriffsvektoren entstehen. Während moderne IT-Systeme in der Regel auf aktuelle Sicherheitsstandards setzen, sind viele OT-Systeme ursprünglich nicht für eine Vernetzung konzipiert und weisen daher andere, oft niedrigere Schutzmechanismen auf. Die Integration unterschiedlicher Systeme mit eigenen Protokollen, Datenformaten und Architekturen erschwert die Umsetzung einheitlicher Sicherheitsmaßnahmen zusätzlich.
Hinzu kommt, dass die hohen Verfügbarkeitsanforderungen in der OT häufig mit klassischen IT-Security-Methoden wie regelmäßigen Updates oder Neustarts kollidieren. In konvergierten Umgebungen fehlen zudem oftmals Transparenz und umfassende Kontrolle über alle vernetzten Geräte, was die frühzeitige Erkennung von Cyberbedrohungen erschwert. Unterschiedliche Sicherheitskulturen und abweichende Prioritäten zwischen IT- und OT-Teams behindern die Zusammenarbeit.
Veraltete OT-Systeme mit langen Lebenszyklen lassen sich meist nicht ohne Weiteres aktualisieren, was sie besonders anfällig für Sicherheitslücken macht. Kommt es in solchen konvergierten Umgebungen zu Sicherheitsvorfällen, können die Auswirkungen gravierend sein und die physische Produktion sowie die Sicherheit gefährden. Deshalb ist ein Ansatz notwendig, der die spezifischen Anforderungen beider Bereiche berücksichtigt und eine enge Kooperation zwischen den Teams sicherstellt.
Ein KRITIS-Unternehmen aus dem Bereich der erneuerbaren Energien stand im Zuge der digitalen Transformation und IT/OT-Konvergenz genau vor diesen Herausforderungen. Die Komplexität der vernetzten Umgebung verlangte nach einer Lösung, die IT- und OT-Systeme nahtlos integriert und verwaltet. Gleichzeitig stieg mit der Vernetzung das Risiko von Cyberangriffen, was eine robuste Sicherheitsarchitektur erforderte. Hinzu kamen Anforderungen an die Unterstützung eines wachsenden Google-Cloud-Footprints. Das Unternehmen suchte daher nach einer skalierbaren und flexiblen Netzwerkinfrastruktur, die Innovationen unterstützt und gleichzeitig umfassende Sichtbarkeit sowie zentrale Kontrolle über alle Systeme bietet.
Mit Fortinet Security Fabric wurde eine Plattform gewählt, die eine ganzheitliche Integration aller Komponenten ermöglicht und die Komplexität der IT/OT-Konvergenz beherrschbar macht. Die Cloud-kompatiblen Lösungen unterstützen die Cloud-Strategie des Unternehmens, während die SD-Branch-Lösung eine flexible und skalierbare Netzwerkarchitektur bereitstellt. Die Plattform bietet zudem umfassende Transparenz, zentrale Kontrolle sowie spezifische OT-Funktionen und Protokollunterstützung. So konnte das Unternehmen eine sichere, skalierbare und integrierte Netzwerkinfrastruktur schaffen, die sowohl IT- als auch OT-Anforderungen erfüllt und die digitale Strategie optimal unterstützt.
Maßnahme 3: Komplexität reduzieren
Die sichere Koexistenz und Integration von Alt- und Neusystemen ist für viele Unternehmen eine große Herausforderung. Altsysteme verfügen oftmals nicht über moderne Security-Funktionen und können nur schwer gepatcht werden. Gleichzeitig erschweren regulatorische und Verfügbarkeitsanforderungen die Umsetzung von Upgrades.
Am Beispiel der Krombacher Brauerei zeigt sich, wie eine komplexe OT-Landschaft mit einer Vielzahl moderner und veralteter Betriebssysteme erfolgreich abgesichert werden kann. Angesichts einer zu komplizierten und nicht mehr intern verwaltbaren Vorgängerlösung suchte das Unternehmen nach einer Plattform, die eine einheitliche Verwaltung aller Systeme ermöglicht und zugleich zukunftssicher ist. Mit TXOne Networks fand sich eine Lösung, die speziell auf die Anforderungen der IT/OT-Konvergenz zugeschnitten ist. Durch virtuelle Segmentierung lassen sich sowohl ältere als auch neue Systeme sicher voneinander trennen und zugleich zentral verwalten, wobei die Sicherheitsmaßnahmen flexibel an die jeweiligen Anforderungen angepasst werden können.
Die OT-nativen Lösungen von TXOne bieten dabei volle Transparenz über sämtliche Netzwerkgeräte und berücksichtigen die besonderen Bedingungen industrieller Umgebungen. Für Systeme, die nicht direkt gepatcht werden können, stellt TXOne virtuelle Patching-Optionen bereit und unterstützt Krombacher zudem bei der Einhaltung regulatorischer Vorgaben. Ein weiterer Vorteil besteht darin, dass alle Sicherheitsvorkehrungen mit minimalen Betriebsunterbrechungen umgesetzt werden können, was einen reibungslosen und sicheren Produktionsbetrieb gewährleistet.
Fazit OT-Security
Die Priorisierung von OT-Security stärkt das Vertrauen und die Wettbewerbsfähigkeit von Unternehmen. Sie fördert bereichsübergreifende Zusammenarbeit und ermöglicht ganzheitliche Lösungen. Eine erfolgreiche Umsetzung erfordert kontinuierliche Schulungen, regelmäßige Audits, Netzwerksegmentierung, den Einsatz moderner Technologien und eine organisationsweite Sensibilisierung. Ein proaktiver Ansatz minimiert Risiken, steigert die Effizienz und fördert Innovation.
