Pressemitteilungen Rhebo

News

Warum sich für OT-Sicherheit vor allem die IT-Abteilung ändern muss

In dieser Folge des Rhebo-Podcast OT Security Made Simple sprechen Gastgeber Klaus und der OT-Cybersecurity-Experte Max Weidele von Sichere Industrie über die Notwendigkeit eines organisatorischen Wandels, um OT-Sicherheit zu erreichen. Was mit dem Asset Management als Grundlage beginnt, führt schnell zu der klaren Vision, dass die IT das Herzstück der OT-Sicherheitsorganisation sein wird.

 

 

 

Hören Sie uns auf:

  

 

Transkript

Klaus Mochalski

Hallo und herzlich willkommen zu einer neuen Episode des OT Security Made Simple Podcast. Ich bin Klaus Mochalski, Gründer von Rhebo. Mein Gast heute ist Max Weidele. Max und ich kennen uns schon etliche Jahre. Max ist vielen sicher bekannt als Betreiber der Plattform Sichere Industrie. Aber stell dich doch am besten einmal selbst kurz vor.

 

Max Weidele

Ja, sehr gerne, Klaus. Mein Name ist Max Weidele. Ich bin Gründer und Geschäftsführer von der [Webplattform] www.sichere-industrie.de. Wir sind auf der einen Seite ein Ingenieurbüro für Security und auf der anderen Seite betreiben wir auch die Wissensplattform Sichere Industrie mit. Ich glaube mittlerweile mit etwas über 100 Fachartikeln, wo wir einfach Fachcontent aus den Projekten teilen. Wo wir auch ein bisschen den Community-Gedanken fördern und unseren kleinen Wissensbeitrag leisten, um das Know-how draußen ein bisschen mehr bekannt zu machen.

 

Klaus Mochalski

Ich glaube, das wissen alle sehr zu schätzen, was ihr dort über die Jahre an, ich sag mal, Wissensvermittlung getan habt für die Community. OT Security war ja lange Zeit ein eher obskures Thema und ihr habt relativ früh angefangen, dort in diese Vermittlung von Informationen zu investieren. Das war, glaube ich, für viele das draußen sehr hilfreich. Mich interessiert, was sich für dich in den letzten Jahren, wo du diesen Markt beobachtet hast – auch so aus einer bisschen höheren Flughöhe und auch verschiedene Aspekte – gesehen hast. Was sind so die Kernentwicklungen, die du die vielleicht zwei, drei letzten Jahre wahrgenommen hast.

 

Max Weidele

Es ist vor allem ganz spannend, weil, als wir damals angefangen haben, gab es und gibt es nach wie vor schlichtweg bestimmte Suchbegriffe nicht. Also man kann gar nicht seine Website mit Content nach bestimmten Begrifflichkeiten optimieren. Natürlich gibt es die sehr bekannten Begriffe wie jetzt KRITIS, IT-Sicherheitsgesetz und so. Aber darüber hinaus wird es sehr, sehr dünn. Das ist auch mal ganz spannend, weil wir uns natürlich auch den Content angucken, der besonders gut läuft. Oder auch aus unseren Projekten darüber ins Gespräch gehen und Themen, die natürlich, sage ich mal, angezogen haben, gerade in den letzten ein, zwei Jahren. Ich meine ganz klassisch NIS2, auch das IT-Sicherheitsgesetz, KRITIS, Maschinenverordnung und all sowas. Alles was so aus dieser Compliance-Ecke letztendlich gedrückt wird.

Wenn man dann aber mehr in die technischen Maßnahmen reinguckt, dann ist ganz stark Asset Management auf dem Vormarsch, wo man eigentlich nur sagen kann: Oh danke endlich! Seit 20 Jahren sprechen alle darüber: Wir können nur das schützen, was wir kennen. Und die Lösung dafür ist ein Asset Inventory, ein Asset Management, und die wenigsten haben es implementiert. Auch in der IT nicht.

Und ich würde sagen, das Thema, was danach kommt, das ist etwas, was mir auch persönlich sehr am Herzen liegt, was aber von vielen gar nicht so stark benannt wird, sondern eher, wenn man in Gesprächen drinsteckt. Und das ist das ganze Thema Organisation. Und da geht es eigentlich darum, dass wir in der OT einfach durch diese gewachsenen Strukturen eine Schattenorganisation haben. Ein klassisches Beispiel: Der Instandhalter, der eigentlich Instandhaltung macht, macht mittlerweile auch Netzwerktechnik in der Produktion. Das hat man ihm aber nie aktiv gesagt. Es steht auch nicht in seinem Jobprofil, und es ist auch nicht in seiner Jahresplanung berücksichtigt, dass er dafür überhaupt Zeit hat.

 

Klaus Mochalski

Das ist ja sehr spannend. Also dass du das Thema OT-Organisation ansprichst, das ist auch in unserem Podcast hier öfter Thema gewesen. Das erkenne ich tatsächlich auch schon als Muster, dass der ganze Markt reifer wird, dass es weniger um technische Lösungen geht. Dass die sicher eine Rolle spielen, die werden immer eine Rolle spielen. Aber dass das Thema Organisation, also wie webe ich das in meine komplette Betriebsorganisation ein, immer wichtiger wird. Insbesondere wenn die Abläufe bei den Unternehmen reifer werden und auch OT Security mehr in reguläre Abläufe integriert wird.

Lass uns da gleich noch mal weiter reinschauen. Aber bevor wir das machen, möchte ich noch mal auf eine Sache eingehen, die du genannt hast. Auf die bin ich schon ganz, ganz oft gestoßen. Da habe ich aber in letzter Zeit auch eine interessante Diskussion verfolgt. Man kann nur schützen, was man kennt. Klingt erstmal so, als ob das eine Binsenweisheit ist. Es gab von Dale Peterson (Anm.: OT-Sicherheitsexperte aus den USA und Veranstalter der S4-Event-Reihe) mal einen Artikel, da hat er geschrieben, dass das ja eigentlich doch nicht richtig sein kann, wenn man mal sich Banken anschaut und Bankschließfächer. Die schützen sehr wohl Dinge, die man nicht kennt und wenn man das mal überträgt auf die IT. Eine Firewall schützt natürlich auch Dinge, die sie nicht kennt. Die schützt den Perimeter, kontrolliert, wer rein und raus kann. Aber die Assets auf der Innenseite sind ja eigentlich erstmal egal. Stimmt das denn so? Müssen wir wissen, was wir in der OT-Infrastruktur haben, um es schützen zu können?

 

Max Weidele

Ich glaube, es gibt zwei klassische Herangehensweisen. Die eine ist dieser Ansatz, von draußen nach drinnen zu gucken. Sich vom Perimeter nach drinnen hangeln. Und der andere Ansatz ist das böse Wort Zero-Trust-Ansatz, wo wir von innen nach außen gehen. Wo ich genau bei der möglichst hohen Qualität an Schutzmaßnahmen meines einzelnen Assets anfange. Und ich glaube, es kommt da immer so ein bisschen darauf an. Der Zero-Trust-Ansatz wäre der absolut wünschenswerte, wenn man dafür die Zeit hat, die Möglichkeiten so vorzugehen.

 

Klaus Mochalski

Aber da muss man die Assets natürlich kennen, weil sich da am Ende jeder authentifizieren muss und genau das ist eigentlich, finde ich, auch ein spannender Ansatz. Und wir haben auch vor einigen Folgen über Zero Trust in der OT gesprochen. Das heißt, auch hier ist dieser Ansatz durchaus im Vormarsch.

 

Max Weidele

Ja, absolut. Und ich glaube, wenn man mal bei dem Vergleich des Bankschließfaches bleibt, ist die Frage, die man sich stellen muss: Wie wird da kommuniziert? Die  Kommunikation des Bankschließfaches ist letztendlich die Person, die da hingeht und was rein und raus nimmt. Und in der in der Technologie sind das halt einfach automatisierte Kommunikationsströme, die wir dauerhaft haben. Das heißt, das spricht eigentlich die ganze Zeit. Und dann kann man natürlich sagen: Vielleicht muss ich gar nicht genau wissen, was das Asset manchmal ist, aber ich muss sehr wohl wissen, wie die Kommunikation aussieht und was dort gerade funktional, prozessual getan werden kann.

Jedes Asset hinter eine Firewall zu stellen, kann man sicherlich machen, geht auch schnell, man muss sich auch nicht um das Asset kümmern. Problematisch wird es, wenn das Asset mit einem anderen Asset sprechen muss, und das ist, glaube ich, so ein bisschen die Challenge. Das heißt, bevor ich das detaillierte Asset kennen muss, sollte ich wissen, welche Kommunikation ich habe und was diese Kommunikation miteinander bewirken muss. Und letztendlich ist das, glaube ich, das, was ich eigentlich tue. Ich versuche, die Kommunikationsströme, die ich brauche, für meine funktionalen Prozesse letztendlich auch möglichst secure abzubilden. Ja.

 

Klaus Mochalski

Das heißt, ganz ohne Wissen geht es tatsächlich nicht. Und das ist, glaube ich, auch eine Beobachtung, die alle Marktteilnehmer seit vielen Jahren beobachten können. Dass Asset Management an Bedeutung zunimmt und tatsächlich auch implementiert wird. Und dass nicht nur darüber gesprochen wird, dass es ja schön wäre, das zu haben. Insofern ist es, glaube ich, ein ganz wichtiger Aspekt.

 

Max Weidele

Auch als Einstieg in die Verantwortung letztendlich. Also wem gehört das Asset?

 

Klaus Mochalski

Asset Management ist ja nur in zweiter Linie eine technische Lösung. Es geht ja hier vor allem um Organisation, Verantwortlichkeiten, Struktur, Hierarchien. Und da kommen wir zurück zu dem, was du eigentlich als Beobachtung über die letzten Jahre hervorheben wolltest. Nämlich, dass es hier ganz klare Entwicklungen in der Organisation gibt. Ihr macht auch Beratung, hattest du gesagt. Wenn du jetzt mal ein konkretes Projekt denkst, was sind denn so Dinge, die du da wirklich beobachten konntest, was dort gerade passiert?

 

Max Weidele

Ich glaube, was allen auch bekannt vorkommt, ist dieses Thema, dass IT und OT miteinander sprechen müssen. Es muss gedolmetscht werden. Und man stellt sehr schnell fest, dass es keine Ansprechpartner gibt. Oder bestimmte Personen haben noch nie miteinander gesprochen. Es gibt aber sehr wohl Personen in den Unternehmen, die bestimmte Tätigkeiten machen. Das betiteln wir letztendlich auch unter diesem Oberbegriff OT-Organisation.

Und was wir dort eigentlich sehen, ist halt, dass nicht klar ist, wem gehören bestimmte Assets, wer ist verantwortlich? Man kann sich das ein bisschen so vorstellen… Das Purdue-Reference-Modell kennen sicherlich einige. Das heißt, wir haben unser Schichtenmodell, und wir haben ganz oben eine Enterprise Zone und ähnliches, die ganz klar einer IT zugeordnet werden kann. Oder wenn wir von der anderen Seite starten, von unten starten, wissen wir, das sind Assets, das sind Steuerungen, das sind vielleicht Sensorik, die liegen in der E-Technik im Werk oder so. Spannend ist eigentlich genau das, was zwischen diesen beiden Schichten liegt.

Man kann die obere Schicht und die ganz unten meistens sehr einfach von den Verantwortlichkeiten bestimmen. Und jetzt kann man sich die Frage stellen: Wem gehört die Produktions-Firewall? Ist das ein IT-Asset oder ist das ein OT-Asset bzw. ist es ein Asset des Werkes? Und man man findet darauf gar nicht so eine einfache Antwort. Dennl vermutlich stellt die IT das Asset bereit, betreibt es vielleicht sogar. Aber die richtigen Firewallregeln und ähnliches können die gar nicht eintragen, weil sie gar nicht wissen, wie der Prozess ist. Das heißt, da muss vielleicht das Engineering genau diese Informationen liefern. Und auf einmal habe ich dieses Treffen dieser beiden Welten. Und genau um das geht es eigentlich.

Die Unternehmen stehen da gerade und versuchen rauszukriegen, wer ist dafür zuständig? Ist das eine Tätigkeit, die in der Instandhaltung liegt? Macht es vielleicht auch Sinn… Ich sag mal, ich habe sechs Werke. Ich habe in jedem dieser Werke eine Person in der Instandhaltung, eine Person in der E-Technik usw. in unterschiedlichsten zugehörigen Abteilungen. Die machen aber alle die OT-Netze vor Ort. Macht es vielleicht Sinn, ihnen formell den Titel OT-Admin zu geben und sie auch in ein werksübergreifendes Team zusammenzupacken, damit sie voneinander profitieren?

Das sind Fragen, die sich die Unternehmen jetzt gerade stellen, um einfach, ich sage immer, den IT-Betrieb oder den Betrieb der IT-lastigen Systeme in der Produktion zu organisieren. Und das wächst Stück für Stück zusammen. Gutes Beispiel ist da: Wir haben bereits jetzt eine IT-Abteilung, die stellt eine BDE, eine Betriebsdatenerfassung, bereit. Betrieben wird es aber letztendlich von der OT bzw. von dem Werk. Und das ist eigentlich dieser Spannungsbogen, wo die [Unternehmen] unterwegs sind, und deshalb trennen wir auch ganz oft zwischen der IT, der OT und dem Werk. Für uns ist es nicht nur OT. Für uns ist es wirklich diese Zwischenschicht, Diese ungeregelte Zwischenschicht ist für uns letztendlich die OT. Und da sind [die Unternehmen] gerade dran. Zu versuchen, einen Servicekatalog zu etablieren. Welche Leistungen haben wir überhaupt? Kann vielleicht eine IT auch den VMware-Administrator stellen? Kann die IT uns die Server bereitstellen? Wie kommen die richtigen [industriellen] Anwendungen auf diese Server? Man versucht im Prinzip, diesen Betrieb zu professionalisieren, genauso wie wir den IT-Betrieb der letzten Jahre professionalisiert haben.

 

Klaus Mochalski

Wenn man mal darüber nachdenkt, wo das Thema OT Security hingehört und da mal so zwei Schritte vom Tagesgeschäft zurücktritt, ist es dann nicht offensichtlich…

Also ich denke jetzt an zwei Dinge. Zum einen habe ich auch in einem vorigen Podcast mit jemandem darüber gesprochen, dass das OT-Security-Risiko betrachtet werden muss wie jedes andere Risiko für den Betrieb meines Unternehmens.

 

Max Weidele

Ja.

 

Klaus Mochalski

Und das ordnet sich in diese Liste von Risiken ein. Diese Risikobetrachtung hat es schon immer gegeben, und das muss dort einfach mit rein. Diese Risikobetrachtung ist letzten Endes Managementaufgabe. Vom Management geht das dann die Hierarchie nach unten. Dort brauche ich dann die entsprechenden Fachexperten. Aber es ist ein gesamtunternehmerisches oder ein gesamtorganisatorisches Thema, das nicht auf einzelne Säulen verteilt werden darf. Also es darf dort keine Silos geben.

Auf der anderen Seite denke ich an eine Diskussion, die ich mit Kunden oft hatte. Die immer wieder fragen: Warum soll ich die Security-Lösung zum Beispiel von Rhebo einsetzen und mich nicht auf die Security-Lösung meines Herstellers XY verlassen [der mir auch die Steuerungstechnik liefert]? Nennen wir sie Siemens oder Honeywell. Wer auch immer die sind. Und ich finde, es ist immer sehr leicht gegen [diese Perspektive] zu argumentieren. Sicherheit, Security, IT, OT-Security, egal in welchem Bereich, ist ein Querschnittsthema. Das ist herstellerunabhängig. Das betrifft sozusagen meine Infrastruktur, egal wo die Komponenten herkommen, wer die Komponenten geliefert hat, von welchem Hersteller sie sind. Und wenn ich mich auf jeden einzelnen Hersteller verlasse, kriege ich da einen Flickenteppich, der gesamtorganisatorisch überhaupt nicht zusammenpasst.

Und so, wie ich überzeugt bin, dass das [in der IT] wahr ist – und deswegen gibt es auch in der IT-Security-Industrie viele reine IT-Security-Anbieter, die herstellerunabhängig agieren – braucht es auch in der OT-Security-Organisation immer diesen Gesamtansatz, der also vom Management der Organisation durch die gesamten Hierarchien nach unten getragen wird und dort in den einzelnen Fachabteilungen aufgehängt wird. Natürlich immer mit dem Feedback zurück, um eben Risiko zu bewerten und dann von oben nach unten entsprechende Entscheidungen propagieren zu können.

 

Max Weidele

Was man vielleicht einfach noch mal auch trennen muss an der Stelle, sind die Themen OT-Security-Verantwortlichkeit und OT-Organisation. Genauso wie man eine IT-Security-Verantwortlichkeit und eine IT-Organisation trennt. Denn es geht eigentlich genau darum. Eine IT-Security-Verantwortlichkeit wie den CISO habe ich idealerweise nicht als Teammitglied in meiner IT, sondern ich habe ihn als auditierende Stelle, die dann die Vorgaben macht, die die IT einfach aus einer Security-Perspektive erfüllen muss.

Und genau darum geht es eigentlich. Das auch für unsere OT zu schaffen. Das ist genau das, worum es mir bei der Organisation geht. Die OT und Werkswelt. Die Unternehmen müssen sich jetzt im Prinzip eine IT in der OT aufbauen. Genauso wie sie eine IT-Orga gebaut haben, müssen sie jetzt eine OT-Organisation bauen. Und dann geben sie zum Beispiel einem CISO zusätzlich die Anforderungen mit, OT-Security mitzuverantworten. Der CISO gibt dann seine IT-Security-Anforderungen in die IT-Abteilung und seine OT-Security-Anforderungen in die OT-Fachbereiche mit rein.

Der CISO hat gerade ganz oft niemanden, mit dem er sprechen kann. Der hat niemanden, dem er sagen kann: “Betreib bitte deine Siemens-Welt jetzt so, so, so und so”. Da ist nämlich niemand. Genau diese Ansprechpartner, diese Schattenorganisation, die braucht jetzt ein Gesicht. Und das ist, was eigentlich erarbeitet werden muss. Und das ist, was die Unternehmen mit Servicekatalogen machen. Oder sie erschaffen einen Product Owner für OT-Netzwerke und geben dem letztendlich ein Gesicht. Dann hat man nämlich Personen operativ, die überhaupt auch Anforderungen mitnehmen können. Aber sie schreiben die halt nicht selbst. Das macht der CISO.

 

Klaus Mochalski

Verstehe ich das richtig, dass trotz der Fachexpertise, die in den OT-Bereichen vorhanden ist, zum Teil die zentrale Funktion der OT Security, aus deiner Perspektive, in der IT-Abteilung als neuer Fachbereich unter der Federführung des CISO angesiedelt werden sollte?

 

Max Weidele

Also, ich glaube, ein Unternehmen braucht einen Hauptverantwortlichen, der in letzter Instanz IT und OT-Security zusammen ganzheitlich betrachtet. Denn mittlerweile geht das so ineinander über, da darf es nur einen geben, der das nachher in die Organisation gibt. Das, was auf der IT- Abteilungs- und OT-Abteilungsebene passiert ist, dass sich die Unternehmen jetzt gerade die Frage stellen: “Passt ein Instandhalter, der den ganzen Tag OT-Netze verwaltet, überhaupt noch in der Instandhaltung? Oder ist das eigentlich ein OT-Netzwerkadmin und sollte vielleicht in das Netzwerkteam der Global IT mitgehen?”

Das heißt nicht, dass eine Global IT genauso bleiben kann, wie sie jetzt gerade ist. Die müssen sich ganz gewaltig verändern, um auch den Anforderungen gerecht zu werden. Aber das sind Fragen, die sich gerade gestellt werden. Jemand, der den ganzen Tag, ich sage, mal Server in der Produktion bereitstellt, aber eigentlich E-Techniker ist, sollte er den Job machen, abgeben oder mit diesem Funktionspaket dann in eine andere Organisationsform wechseln? Denn ganz oft ist das diese Schatten-OT. Keiner von denen hat das in seinem Jobprofil. Keiner hat sich mal die Aufwände angeguckt, die dahinter stecken. Manchmal weiß man gar nicht, dass das alles schon…

Anders: Jedes Unternehmen hat [längst] eine OT-Organisation. Wenn sie die nicht hätte, würde niemand gerade irgendwelche Server dort deployen. Niemand würde HMIs in Betrieb nehmen. Niemand würde welche Tätigkeiten auch immer dort in der Produktion gerade machen. Das heißt, die Unternehmen haben ja etwas. Es ist nur ganz oft nicht organisiert. Und dadurch fallen die ganzen Synergieeffekte weg. Warum muss ich zum Beispiel selber einen VMware Spezialisten bei mir im Betriebs-Engineering haben, wenn ich in der IT eine gewachsene VMware-Spezialisten-Gruppe habe, der ich eigentlich nur sagen muss: “Hey, wenn ihr mir einen Virtualisierungsserver für Siemens bereitstellt, dann achtet bitte auf 1, 2, 3 und 4.” Und dann sagen die: “Gar kein Problem! Hier!”

Und das ist eigentlich das, was gerade immer mehr erkannt wird und immer mehr passiert. Denn so unterschiedlich ist es halt auch an manchen Ecken nicht. Ich denke wir reden bei vielen Themen um die letzten 20 % Feinschliff, und da muss ich halt der IT sagen, worauf sie bitte achten soll. Und danach ist das vorerst regulärer IT-Betrieb. Gerade wenn man so im Engineering-Umfeld und so unterwegs ist.

 

Klaus Mochalski

Und die letzten 20 %, wenn ich dich richtig verstehe, siehst du vor allem als organisatorische Herausforderung, weil die meisten Funktionen irgendwie schon in den meisten Unternehmen existieren. Diese Funktion, diese ausführenden Organe, sind aber häufig falsch aufgehängt. Siehe dieser Elektrotechniker, der eben Server in der Produktion installiert und nicht nur vielleicht unsinnigerweise Ressourcen verbraucht, die woanders effizienter zu bekommen sind, sprich in der IT-Abteilung. Und auf der anderen Seite vielleicht auch nicht. Die IT-Abteilung hat vielleicht über Jahre hinweg Standards definiert, wie bestimmte Installationen auszusehen haben, auch was die Sicherheitskonfiguration angeht. Aber diese Standards erstrecken sich heute eben nicht auf diese IT-Systeme, die in der OT installiert werden. Und das ist natürlich ein Schwachpunkt. Das heißt, hier muss man organisatorisch diese Einheiten verschmelzen.

 

Max Weidele

Absolut. Wie oft ich schon auch in Projekten einfach Bestandsunterlagen genommen habe von einer IT-Organisation und diesen Unterlagen und Prozessen ein bis zwei smarte Kapitel dazu geschrieben habe und in diesen Gesamtprozess eingefügt habe, um auch der OT Security gerecht zu werden. Man schreibt das ganz oft nicht komplett neu. Also es gibt schon so viele Themen.

Ich sage mal, das ist eigentlich dieses Thema der IT/OT-Konvergenz in Reinform. Ich bringe die Aufgabengebiete der OT mit denen, die die IT vielleicht auf der anderen Seite schon macht, zusammen, lerne von beiden Seiten. Die OT-Welt ist da letztendlich der Kunde und der Lieferant im Zweifel dann eine IT. Und die muss sich seinem Kunden halt anpassen und Skillsets aufbauen. Das heißt nicht – und das ist ganz wichtig – dass eine IT so bleiben kann, wie sie ist. Sie werden OT-Experten in ihrem Team haben. Ein ehemaliger Instandhalter ist vielleicht irgendwann mal Mitglied der IT, und es ist einfach eine Global IT/OT. Nichts anderes kann eigentlich in vielen Unternehmen Sinn machen.

Wenn ich mir angucke, wie beispielsweise mittlerweile ein SAP quer durch das Unternehmen kommuniziert, wie mein BDE-MES kommuniziert. Das vermischt sich so stark, dass wir auch jetzt schon in eine Ecke kommen, wo man sich manchmal die Frage stellen muss: Kann jemand OT Security machen, ohne IT Security zu verstehen? Oder kann jemand nur IT Security machen, ohne OT Security nicht auch zu verstehen? Für bestimmte Themen, weil die Systeme so über alle Modelle, also Ebenen drüber gehen, dass man da schon, ich sage mal, eine Menge Synergieeffekte heben kann, wenn das einfach enger zusammen geht.

 

Klaus Mochalski

Ja, ich denke auch. Ich habe auch seit Jahren mit Kunden immer wieder darüber gesprochen, dass es schwierig sein wird, die Experten, die OT Security komplett verstehen, zu finden, weil die eben ganz verschiedene Aspekte des Problems – einmal die OT-Probleme, aber dann auch die IT-Security-Probleme – verstehen müssen. Und das finde ich häufig nicht im gleichen Kopf oder in der gleichen Person. Und deswegen ist der Schlüssel hier Zusammenarbeit.

Und deswegen passt es auch, glaube ich, dass du sagst, die OT Security muss als Funktion in die IT-Abteilung wandern, die IT-Abteilung muss sich verändern, wird größer werden. Zum einen, was den Kompetenzumfang angeht, aber auch, was sozusagen das Hineinreichen in die unterschiedlichen Bereiche in einem Unternehmen angeht. Und dieser Veränderung müssen sich dann diese Organisation und am Ende auch der CISO als Kopf der Organisation stellen.

 

Max Weidele

Genau. Und in letzter Instanz natürlich auch eine Geschäftsführung, wo, sage ich mal, ein kaufmännischer Geschäftsführer und ein technischer Geschäftsführer sagen: Ja, wir geben halt vier Instandhalter von drei Werken ab in die IT, beispielsweise. Und wo die IT sehr wohl auch ihre Lieferantenpflicht in die Werke stärker ausbaut. Auch das Thema SLAs (Anm.: Service Level Agreements bzw. Serviceverträge) und ähnliches. Ein Werk möchte natürlich weiterhin seinen Service in angemessener Qualität bekommen, idealerweise besser. Ja, letztendlich, ist es das, worum es geht.

 

Klaus Mochalski

Ja, ich glaube, da haben wir doch eine ganz klare Empfehlung und eine Prognose, wie sich die Organisationsstrukturen entwickelt werden.

Jetzt noch die als letzte Frage. Aus deiner konkreten Beobachtung, wenn ich mich als Unternehmen mit OT-Infrastruktur auf diese Reise begebe – ich habe diese Spezialisten und Spezialistinnen, die du beschreibst, die OT-Techniker und OT-Technikerinnen, die irgendwie auch Security-Verantwortung übernommen haben, weil sie dort hineingewachsen sind. Ich habe meine IT-Abteilung, die dort drüben arbeitet und manchmal sogar mitregiert, aber das ist noch nicht so richtig strukturiert – Und jetzt möchte ich mich als Unternehmen auf diese Reise begeben und möchte dort eine saubere Struktur, wie wir die eben beschrieben haben, aufsetzen. Über wie viel Zeit und Investment spreche ich da?

 

Max Weidele

Ja, ich sage meistens, diese Reise dauert 2 bis 4 Jahre mit unterschiedlichen Graden der Erkenntnis. Einzelnen Personen ist es jetzt schon klar, dass das manchmal das Ziel sein wird. Andere brauchen einen Zwischenschritt, da passiert eine ganze Menge.

Ich glaube, wichtig ist, dass man einfach anfängt. Und das kann man relativ einfach. Die wenigsten Unternehmen setzen sich hin und sagen: Was ist denn eigentlich OT bei uns? Was ist ein OT-Asset? Und [wenn dann jemand] sagt: Ja, haben wir hier definiert, das sind die Produktionsthemen und so, kann man die nächste Frage stellen: Was ist mit der Logistik? Was ist mit der Building Automation usw.? Die wenigsten Unternehmen haben OT für sich mal definiert. Das sollte jedes Unternehmen, das OT nun mal hat und da auch was schützen möchte, einmal für sich tun.

Der zweite Schritt ist dann, dass man sagt, man geht in die Ecke eines sogenannten OT-Servicekatalogs. Man schreibt einfach mal mit den Personen – auch aus der OT und IT – auf, welche Tätigkeiten, welche Prozesse, welche Systeme, welche Services haben wir denn eigentlich, die wir in der Produktion erbringen? Dazu gehört die Pflege des Asset Managements. Dazu gehört der Austausch von HMIs. Dazu gehört das Umsetzen von Cybersecurity-Anforderungen der Corporate IT. Dazu gehört die Bereitstellung der Betriebsdatenerfassung oder eines SCADA-Systems usw. Also alles, was diese IT-lastigen Services in der Produktion sind.

Dann hat man eine Liste und guckt sich an, wer macht denn das gerade? Und bei manchen Themen steht schnell die IT dran. Und die IT sagt auch: Ja, alles genauso richtig, läuft wie gewünscht. Bei anderen Themen kommt [es darauf an, welches] Netzwerk das ist. Mittlerweile ist das nicht mehr so oft der Fall, aber Netzwerk waren die letzten zwei Jahre so ein Thema, wo der Betrieb des OT-Netzes aufkam und die IT sagte: Netzwerk machen wir! Dann sagte die Technik: Ja, also, SLA 24/7. [Worauf die IT reagiert mit:] Nee, das machen wir nicht. Haben wir gar nicht. Dann kommt man genau an diese Layer dazwischen, wo man nämlich trennen und fragen muss: Naja, wie handhaben wir das dann? Und man muss auch nachdefinieren und sagen: Wenn wir von einem OT sprechen, reden wir nicht von den Haupt-Switchen in der Produktion. Wir reden von den Switchen, an denen die Steuerungen angeschlossen sind. Das hat eine IT initial gar nicht auf dem Schirm.

 

Klaus Mochalski

Ja.

 

Max Weidele

Und über diesen Servicekatalog komme ich in die Verantwortungsdiskussion, kann einen Soll-Ist ermitteln und fange dann an, meine Servicekarte nachzuziehen und zu gucken "Wen habe ich denn schon? Wer macht das schon?". Und dann taucht auch wieder der Herr Meier auf, der nämlich der Instandhalter ist, der in Werk 5 eigentlich der Netzwerkadmin ist. Weiß aber sonst niemand.

 

Klaus Mochalski

Das heißt, zusammenfassend kann man sagen, dass diese Reise, dass so ein Projekt schon einen gewissen Umfang hat und durchaus aufwändig ist, mit Herausforderungen im Detail. Und deswegen auch diese Abschätzung, dass man da zwei bis vier Jahre einrechnen muss. Aber auf der anderen Seite hat man sicher auch mit den ersten Schritten schon schnell Zugewinne. Man hat auch schon Fortschritte in den ersten Monaten, die sich daraus ergeben. Das heißt, es lohnt sich, damit so bald wie möglich zu starten, weil man dann sukzessive Verbesserungen sieht.

 

Max Weidele

Der  Haupthebel, egal ob OT Security oder tolles neues Zeug der Zukunft – Industrie 4.0, Digitalisierung usw. – liegt genau darin. Ich brauche eine Organisation, die in der Lage ist, meine technologisch neuen tollen Sachen auf die Straße zu bringen und auch meinen Security-Anforderungen gerecht zu werden.

Wir reden in letzter Instanz über eine organisatorische Veränderung. Das heißt, Personen wandern vielleicht in einen anderen Fachbereich. Kann vielleicht sein, dass ein Betriebsrat informiert werden muss. Da kann es sein, dass sich Tarifverträge ändern und und und. Wir verändern eine Organisation und das geht halt nicht einfach auf Klick und auch nicht einfach mal mit einer Unterschrift des Geschäftsführers, sondern das ist einfach ein Change-Prozess, den man über eine bestimmte Laufzeit [managen], wo man die Personen mitnehmen muss, um keinen zu verlieren. Und meistens sind das diese 2 bis 4 Jahre, je nach Organisation.

 

Klaus Mochalski

Sehr gutes Schlusswort. Also nichts, wovor man Angst haben muss, aber durchaus eine Herausforderung. Aber das Wichtigste ist, damit zu starten, um dann sofort Verbesserungen in der Gesamt-Security in der IT und in der OT zu haben. Max, vielen Dank für die spannende Diskussion. Das hat wieder sehr viel Spaß gemacht, und das können wir bei Gelegenheit gerne wiederholen. Vielen Dank, dass du da warst.

 

Max Weidele

Sehr gerne. Danke, dass ich hier sein konnte.

 

Klaus Mochalski

Tschüss.

 

Max Weidele

Ciao.