Illustration Absmeier foto freepik ki

Mit der zunehmenden Digitalisierung und Automatisierung in der Industrie steigen die Anforderungen an die Cybersicherheit. Waren IT und OT früher getrennte Welten, befinden sich die Systeme heute in zunehmend verbundenen Netzwerken und sind auch an das Internet angebunden. Dadurch entstehen neue Angriffsflächen, die die Sicherheit beider Bereiche gefährden. Ein Zero-Trust-Ansatz wird auch für die OT essenziell.

Traditionell waren OT-Systeme durch ein Air-gap-Modell isoliert von externen Netzwerken und damit relativ sicher vor Cyberangriffen. Produktionsanlagen, Energieversorgungsnetze und kritische Infrastrukturen waren physisch vom Internet getrennt, doch diese Isolation ist längst nicht mehr die Realität. Durch die Integration von IoT-Geräten, der Notwendigkeit für Fernzugriffe u.a. für Support durch den Hersteller und die Nutzung von aktuellen Prognosedaten aus dem Internet sind auch OT-Umgebungen mehr und mehr vernetzt. So entstehen neue Angriffsflächen, die traditionelle OT-Sicherheitsansätze nicht mehr ausreichend abdecken können. Unternehmen stehen daher vor der Herausforderung, Sicherheitsstrategien zu entwickeln, die den spezifischen Anforderungen beider Welten gerecht werden. Dabei wird deutlich: Was in der IT längst Standard ist, kann auch für die OT-Welt eine entscheidende Rolle spielen.

IT-Sicherheitsansätze als Lösung für OT-Sicherheit

Bewährte IT-Sicherheitsstrategien im Umgang mit dem Internet und sich auflösenden Netzwerk-Perimetern bieten sich auch für die OT an: Privileged Remote Access, Zero-Trust-Architekturen und Cloud-basierte Plattformen können auch in der OT zur nötigen Sicherheit und Effizienz führen – sofern sie die für die OT-Welt charakteristischen, hohen Verfügbarkeits-Standards unterstützen.

In der IT hat sich der Fokus auf die User-Identität etabliert, um den grundlegenden Zugriff auf kritische Systeme und sensible Daten auf autorisierte Nutzer zu beschränken und so die Systeme effektiv gegen eine Vielzahl von Angriffstechniken zu schützen. Die zentrale und transparente Verwaltung von Zugriffs-Policies in einer einheitlichen Plattform und Ablösung diverser Spezial-Lösungen tragen zu einer effizienten Abwehr von Angriffen bei.

OT-Clients

Klassische OT-Client-Umgebungen sind speziell gehärtet und haben aus Sicherheitsgründen in der Regel keinerlei Zugriff auf das Internet, sondern werden mit Priviledge Access Workstations/PAWs betrieben. Dies führt zu Ineffizienzen, z.B. der Nutzung von mehreren Clients parallel und oft auch zu Ausnahmeregelungen, wenn der Zugriff auf das Internet aus einer OT-Umgebung unumgänglich ist. In diesem Fall bieten sich Techniken an, die Gefahren aus dem Internet sicher von der OT-Umgebung abschirmen, etwa »Browser Isolation«. Dabei wird der Browser in der Cloud emuliert und nur der Bildinhalt auf dem OT-Client angezeigt. Auf diese Weise werden alle Internet-Verbindungen in einer isolierten Umgebung verarbeitet, sodass potenzielle Bedrohungen außen vorgehalten werden. OT-Mitarbeitende oder externe Dienstleister können sicher auf Umgebungen zugreifen, ohne das Risiko einer Infektion durch Malware einzugehen.

Cloud-basierte Plattformen bieten zusätzliche Vorteile durch eine einfache Verwaltungsoberfläche und schnelle Erkennung potenziell bedrohlicher Zugriffe. Neben der Erhöhung der Sicherheit führen solche Lösungen zu signifikanten Zeit- und Kosteneinsparungen, da viele manuelle Prozesse entfallen, wie z.B. die temporäre Freigabe von Firewall-Ports für Herstellerzugriff. Die vollständige Nachvollziehbarkeit und Auditierbarkeit von Zugriffen auf bzw. aus dem OT-Netz wird durch automatisches Session Recording zudem jederzeit gewährleistet.

Zero Trust für OT-Umgebungen

Besonders relevant ist ein Cloud-basierter Sicherheitsansatz in Zeiten, in denen viele Mitarbeitende remote arbeiten oder punktuell unterstützen sowie Fernzugriffe für die Durchführung von Wartungsarbeiten erforderlich sind. Solche Zugänge müssen streng überwacht und gesichert werden, um sicherzustellen, dass ausschließlich autorisierte Personen Zugriff erhalten. Privileged Remote Access auf Basis von Zero Trust ist ein zentraler Baustein, um den Fernzugriff von Drittparteien auf OT-Umgebungen sicher zu gestalten. Die traditionelle Nutzung von VPN-Verbindungen für den Fernzugriff birgt erhebliche Sicherheitsrisiken, da sie per se umfassenden Netzwerkzugriff bieten, der nur mit viel manuellem Aufwand granular eingeschränkt werden kann.

Durch die Nutzung von Zero Trust-Architekturen kann der Zugriff von außen permanent gestattet werden, ohne dass externe Angriffsoberflächen in Form von öffentlichen IP-Adressen entstehen. Die reine »Inside-Out«-Verbindung der Zscaler-Konnektoren erlaubt es, ohne VPN-Konzentratoren oder häufig verwundbare Gateway-Firewalls zu arbeiten, so dass die OT-Umgebung von außen nicht mehr sichtbar und damit nicht mehr angreifbar ist.

Maximale Verfügbarkeit der OT

Obwohl IT-Sicherheitsstrategien hier vielversprechende Ansätze bieten, gibt es in der OT-Welt besondere Herausforderungen: OT-Systeme sind auf maximale Verfügbarkeit ausgelegt, da ein Ausfall nicht nur den Produktionsfluss unterbricht, sondern oft auch mit finanziellen oder gar volkswirtschaftlichen Schäden einhergeht. Hinzu kommen sehr lange Lebenszyklen der Geräte und somit oft veraltete Technologien, die nur begrenzt mit modernen Sicherheitslösungen kompatibel sind. Gerade sehr spezielle oder seit langem nicht mehr unterstützte Betriebssysteme finden sich schätzungsweise in über 50 % der weltweiten OT-Umgebungen.

Zscaler bietet durch die Übernahme der Firma Airgap Networks einen Lösungsansatz zur automatischen Mikrosegmentierung auch älterer Geräte über die Zero Trust Exchange-Plattform. Durch »Fingerprinting« können zudem besondere Geräteklassen automatisch identifiziert und mit vorgegebenen Regeln gesteuert werden (z.B. Überwachungskameras).

Die nachträgliche Segmentierung des Ost-West-Datenverkehrs von OT-Umgebungen wird durch solche Lösungsansätze ohne Downtime der Produktionsanlagen möglich. Durch den agentenlosen Segmentierungsansatz auf Basis einer einfachen DHCP-Proxy-Architektur kann jedes Gerät netztechnisch isoliert werden – auch bei fest vergebenen IP-Adressen. Der Zugriff auf die OT-Systeme wird dann dynamisch über Identität und Kontext hergestellt – ganz im Sinne einer Zero-Trust-Architektur. Mit Hilfe dieses Ansatzes lassen sich einzelne IoT-/OT-Geräte segmentieren und der Zugriff einschränken, ohne den laufenden Betrieb zu beeinträchtigen.

Einheitliche Plattformen – getrennte Daten

Neben den vielen Vorteilen, die einheitliche IT/OT Sicherheits-Plattformen für Unternehmen bieten, sollte nicht vergessen werden, dass die jeweiligen Policies oder Identitäten durchaus getrennt verwaltet werden müssen. Auch wenn z.B. dasselbe Identity-Management-System auf beiden Seiten genutzt wird, sollten die logischen »Töpfe« für IT- und OT-Identitäten streng getrennt verwaltet werden. Meist sind die Sicherheitsanforderungen in der OT höher und dürfen unter Umständen mit etwas höherem Arbeitsaufwand und Kosten einhergehen, die beispielsweise mit der Nutzung von Hardware-Keys für die Identität zusammenhängen.

Integration von OT und IT in Unternehmen

Die Integration von OT und IT stellt auch eine organisatorische und kulturelle Herausforderung dar: Häufig arbeiten IT- und OT-Teams isoliert voneinander, was die Koordination erschwert und zu Verzögerungen bei der Umsetzung von Sicherheitsmaßnahmen führt. Zudem stehen OT-Teams, die traditionell ihre eigenen Sicherheits-Verfahren nutzen, der Integration moderner IT-Sicherheitslösungen oft skeptisch gegenüber.

Daher ist entscheidend, dass die Führungsebene den kulturellen Wandel vorantreibt, den Integrationsprozess aktiv steuert und Skepsis in beiden Teams abbaut. Denn nur durch eine enge Zusammenarbeit von IT und OT können die Vorteile der Digitalisierung und des Plattform-Gedankens voll ausgeschöpft werden. Die Einführung neuer Technologien sollte nicht als Bedrohung für bestehende Arbeitsstrukturen gesehen werden, sondern als Chance zur Verbesserung der Sicherheit und Effizienz. Durch gezielte Workshops und schrittweises Vorgehen können Widerstände abgebaut und sowohl die Akzeptanz als auch das Vertrauen in neue Sicherheitslösungen erhöht werden.

Die Skepsis kann reduziert werden, wenn sich die Sicherheitslösungen bzw. Architekturen in der IT bewährt haben, um dann schrittweise auch Einzug in OT-Bereiche zu halten. Kollegen aus dem OT-Umfeld, die anhand ihrer Office-PCs bereits mit solchen Technologien in positiven Kontakt gekommen sind, stehen diesen Lösungen oft aufgeschlossener gegenüber.

Eine stärkere Konvergenz von OT und IT ist durchaus sinnvoll, denn die Vorfälle der vergangenen Jahre (u.a. Colonial Pipeline) zeigen, dass das scheinbare Vertrauen in die physische Isolation von OT-Netzen längst nicht mehr berechtigt ist. Die IT hat viele dieser Herausforderungen schon gemeistert. Nun ist es Zeit, die besten Ansätze aus beiden Welten zu kombinieren. Unternehmen sollten jetzt handeln, um den wachsenden Sicherheitsanforderungen gerecht zu werden und wettbewerbsfähig zu bleiben.

Christoph Schuhwerk, CISO in Residence bei Zscaler

15200 Artikel zu „OT und IT“

News | Trends Security | Trends Infrastruktur | Industrie 4.0 | IT-Security

Zwei Drittel der Schwachstellen von OT-Geräten werden von Ransomware-Gruppen ausgenutzt

10. Februar 2025

Neuer Report zeigt Bedrohungen durch Ransomware und unsichere Verbindungen in Produktion, Transport und Logistik sowie natürliche Ressourcen. Mehr als jedes zehnte OT-Gerät in den Bereichen Produktion, Transport und Logistik sowie natürliche Ressourcen verfügt über bekannte ausgenutzte Schwachstellen (Known Exploited Vulnerability, KEV). Zu diesem Ergebnis kommt der neue Report »State of CPS Security 2025« von…