Im Interview erklärt Martin Lutz, Leader Cyber Squad & Deputy CISO – Central and Eastern Europe bei Axians die spezifischen Sicherheitsanforderungen von IT und OT und die Notwendigkeit der engen Zusammenarbeit und abgestimmten Sicherheitsstrategien dieser so unterschiedlichen Welten.

Wo liegen die Stärken von Axians?

Als ICT-Dienstleister und Managed Services Provider bietet Axians ein breites Portfolio. Von Carrier Solutions über Enterprise Networks und Managed Services bis hin zu Cyber Security unterstützen wir unsere Kunden individuell und ganzheitlich.

Im Bereich Cyber Security unterscheide ich immer zwischen IT Security und Cyber Security. IT Security hat mit der klassischen Firewall angefangen. Unter Cyber Security verstehen wir heute eher Governance, Risk und Compliance Management. Letztere sind die Bereiche, mit denen wir uns bei Axians hauptsächlich beschäftigen. Geografisch sind wir in der DACH & CEE-Region derzeit in 13 Ländern vertreten – von Deutschland, Österreich, Schweiz bis hin zu Zentral- und Osteuropa, einschließlich Länder des Balkans wie Kosovo, Albanien und Kroatien.

Martin Lutz,
Senior Security Experte
bei Axians

Wie die Hacker haben auch wir uns ständig weiterentwickelt und mit unseren in Europa gesamt 500 Security Expertinnen und Experten ein umfassendes Cyber-Security-Portfolio ausgearbeitet. Wir betreiben für unsere Kunden die Firewalls und beraten sie, wie sie das Netzwerk rund um
die Firewall herum absichern können. Hinzu kommen IT/OT Security Operations Center (SOC) und Incident Response. Beide Services sind heute unverzichtbar.

In den letzten Jahren haben wir uns bei Axians verstärkt mit der Konvergenz von IT und OT (Operational Technology) beschäftigt, da hier ein großer Bedarf besteht. Dass beide Welten – IT und OT – immer weiter zusammenwachsen, bringt erhebliche Herausforderungen mit sich. OT-Systeme sind oft veraltet, schwer abzusichern und nicht für moderne Cyberbedrohungen ausgelegt. Diese Unterschiede zwischen den beiden Welten machen OT besonders anfällig, da Sicherheitsmaßnahmen in der IT die Verfügbarkeit von OT-Systemen beeinträchtigen können. Hier setzt Axians an: Wir bieten maßgeschneiderte Sicherheitslösungen, die auf die spezifischen Anforderungen von IT und OT abgestimmt sind. Unser IT/OT SOC bietet nicht nur Transparenz und Überwachung, sondern unterstützt Unternehmen auch proaktiv bei der Risikoanalyse, der Optimierung der Sicherheitsarchitektur und der Implementierung von Schutzmaßnahmen. So schaffen wir nicht nur Sicherheit, sondern auch Vertrauen und Stabilität in beiden Welten.

Stimmt es, dass manche Unternehmen immer noch glauben, dass eine Firewall ausreicht?

Vor fünf Jahren dachten viele Unternehmen noch so. Aber mit dem Aufkommen von Ransomware hat sich der Markt weiterentwickelt und das Bewusstsein für gute Cyber Security geschärft. Unternehmen wissen, dass sie zum Schutz ihrer IT-Infrastruktur über Firewalls und Antivirensysteme hinausdenken müssen. Vor allem, wenn auch die Gesellschaft von den Angriffen betroffen ist, wächst das Verständnis für Cybersicherheit in den Unternehmen. Nehmen wir zum Beispiel ein Krankenhaus. Hier werden immer mehr Cyberangriffe wahrgenommen und oft sind Hunderte von Patienten von den Ausfällen betroffen. Da kann man nicht untätig bleiben.

Welche Herausforderungen bestehen zwischen IT und OT? Ein IT-Leiter und ein Produktionsleiter sprechen ja unterschiedliche Sprachen.

Das stimmt, es sind immer noch zwei verschiedene Welten. Aus IT-Sicht haben wir drei Hauptziele: Vertraulichkeit, Integrität und Verfügbarkeit. In der OT-Welt hingegen steht Safety an erster Stelle und nicht Security. Die Anlage muss laufen, verfügbar sein und niemand darf durch eine defekte Produktionsanlage zu Schaden kommen.

Auch die Lebenszyklen unterscheiden sich. Während ein Laptop in der IT nach drei Jahren ausgetauscht wird, muss eine Produktionsanlage in der OT oft 20, 30 oder sogar 40 Jahre ohne Unterbrechung funktionieren. Diese unterschiedlichen Zeiträume machen die Integration von IT und OT zu einer Herausforderung.

Unternehmen streben dennoch nach Effizienzgewinnen und einer besseren Sichtbarkeit ihrer Produktionsprozesse, was eine stärkere Vernetzung von IT und OT erfordert. Wenn ich wissen möchte, wie effektiv meine Stanzmaschine arbeitet, benötige ich die entsprechenden Daten. Hier wachsen IT und OT immer stärker zusammen. Die große Herausforderung bleibt die Cyber Security in der OT. Sie ist noch lange nicht so gut wie in der IT. Eine enge Zusammenarbeit und abgestimmte Sicherheitsstrategien sind daher unerlässlich.

Warum ist OT so verwundbar?

OT-Systeme sind besonders anfällig, da sie oft auf veralteten, spezialisierten oder herstellerspezifischen Betriebssystemen laufen, die nicht für die heutigen Cyberbedrohungen ausgelegt sind. Diese Systeme wurden ursprünglich nicht mit Blick auf Sicherheitsaspekte, sondern vor allem auf Verfügbarkeit und Langlebigkeit entwickelt. Sie sind daher wesentlich schwieriger abzusichern als vergleichsweise standardisierte IT-Systeme. Ein erfolgreicher Angriff auf OT kann dramatische Folgen haben: Produktionsausfälle, erhebliche wirtschaftliche Verluste und potenziell sogar Gefahren für die Sicherheit von Menschen. Während IT-Angriffe oft Daten betreffen, können OT-Angriffe ganze Produktionsprozesse lahmlegen und damit die gesamte Geschäftstätigkeit eines Unternehmens gefährden. Der Trugschluss, dass OT besser geschützt ist, weil es weniger Angriffe gibt, ist gefährlich – denn die Folgen eines einzigen erfolgreichen Angriffs können verheerend sein.

OT-Angriffe sind also noch überschaubar?

Noch werden mehr Angriffe auf IT-Systeme verzeichnet, aber das wird sich ändern. Sobald der IT-Markt für Hacker gesättigt ist, werden OT-Systeme ins Visier genommen. Diese sind oft unzureichend gesichert und die Angreifer wissen, dass sie in der OT durch Erpressung hohe Lösegelder erzielen können. Die Angriffe auf OT werden zunehmend besser vorbereitet und gezielt durchgeführt, was das Risiko für Unternehmen erheblich erhöht.

Was empfehlen Sie Unternehmen?

Ein IT/OT SOC bringt viel Transparenz in die OT und überwacht ein Netzwerk. Dies ist aber nur möglich, wenn die Unternehmen ihre »Hausaufgaben« gemacht haben: Es ist wichtig zu wissen, was und welche Geräte im Netzwerk sind und geschützt werden müssen.

Was ist denn der erste Schritt, den Unternehmen machen sollten?

Es wäre falsch zu sagen, dass ein IT/OT SOC alle Probleme löst. Wir müssen die Unternehmen dazu bringen, ein IT/OT SOC effektiv zu nutzen. Denn nicht alle Geräte lassen sich mit einem IT/OT SOC gleich gut schützen.

Im ersten Schritt sollten Unternehmen daher eine Bestandsaufnahme (Asset Inventory) durchführen und feststellen, welche Systeme im Unternehmen überhaupt im Einsatz sind. Anschließend müssen die Verbindungen zwischen diesen Geräten, Routern oder Sensoren analysiert werden. Nicht alle Informationen oder Geräte sind dabei gleich schützenswert. Entscheidend ist der direkte Bezug zu den Geschäftsprozessen.

Auf dieser Basis kann eine Risikomatrix erstellt werden. Systeme, die zum Beispiel nicht nach außen exponiert sind oder keine kritischen Geschäftsprozesse beinhalten, werden mit einer niedrigeren Priorität versehen. Erst nach diesem Schritt sprechen wir mit unseren Kunden über ein IT/OT SOC. Dann können wir schützen, was auch wirklich kategorisiert wurde.

Kann man sagen, dass das SOC Daten aus allen Umgebungen wie Netzwerk, Client, Server, Cloud und OT sammelt und integriert?

Ja, aber wir haben noch eine weitere Herausforderung: Ein IT/OT SOC sammelt zwar Daten, ist aber auf Log-Daten angewiesen. Bei klassischen IT-Systemen ist das kein Problem, da diese Logs generieren. Aber in der OT stehen nicht immer die richtigen Logs zur Verfügung. Wir brauchen also Technologien, die die OT verstehen und entsprechend für das IT/OT SOC übersetzen.

In unserer täglichen Arbeit müssen wir immer zwischen OT und IT unterscheiden. Die Welten sind unterschiedlich und für State-of-the-Art-Security benötigt man Spezialistinnen und Spezialisten aus beiden Bereichen. Wir bei Axians kommen aus der IT-Welt und arbeiten dafür mit unserer Schwestermarke Actemium aus der OT-Welt zusammen. So können wir unsere Kunden ganzheitlich beraten.

Adressieren Sie mit Ihren Lösungen eher global agierende Konzerne oder auch den deutschen Mittelstand?

Großkonzerne sind in der Regel bereits gut aufgestellt und verfügen über eigene IT/OT SOCs sowie ausreichende Budgets und Ressourcen für interne Security-Teams. Natürlich unterstützen wir auch diese Unternehmen, aber der deutsche Mittelstand benötigt in diesem Bereich deutlich mehr Support. Betriebe arbeiten hier häufig mit Partnern zusammen, um Kosten zu sparen. Deshalb haben wir unser Angebot speziell auf die mittelständische Zielgruppe zugeschnitten. Ich würde sogar noch einen Schritt weiter gehen, denn die NIS2-Verordnung, die am 17. Oktober in Kraft tritt, betrifft auch kleinere Unternehmen.

Wie könnte ein Drei-Punkte-Programm für Kunden in der DACH-Region aussehen, um die Cyberresilienz zu stärken?

Am Anfang steht das Asset Management, man muss also für Netzwerkvisibilität sorgen. Nur wenn klar ist, welche Komponenten und Verbindungen es im Netzwerk gibt, lässt sich eine umfassende Sicherheitsstrategie entwickeln.

Als nächstes kommt die Netzwerksegmentierung, ebenfalls sehr wichtig. Ein flaches Netzwerk ist eine große Gefahr. Wenn etwas passiert, sollte der Angriff im schlimmsten Fall nur im betroffenen Segment bleiben.

Nicht zuletzt muss die Governance fest verankert sein. Ich denke hier an einen Chief Information Security Officer (CISO). Security muss für IT und OT in einer Hand liegen, denn bei der Governance fängt alles an. Ohne Verantwortliche für das Thema Security können wir nichts verbessern, weil dann jeder ein bisschen was macht. Für mich persönlich ist das der wichtigste der drei Punkte.

Die Verantwortung für die IT- und OT-Sicherheit sollte unbedingt in einer Hand liegen. Die betreffende Person sollte über Entscheidungsbefugnisse verfügen, jedoch nicht die IT leiten. Schließlich wäre es wenig sinnvoll, wenn der CISO seinen eigenen Chef überwachen müsste. Diese Verantwortung sollte letztlich einer anderen Abteilung, bestenfalls sogar dem CEO unterstellt sein.

Letztendlich ist es also Chefsache?

Das ist Chefsache. NIS2 bringt es auf den Punkt: Bei grober Fahrlässigkeit haftet der CEO persönlich. Damit ist klar, dass es zwar die Rolle des CISO gibt, der Cyber Security auch umsetzt, die Gesamtverantwortung aber beim CEO liegt, weil er im Ernstfall die Gelder und Ressourcen bereitstellen muss.

Eine letzte Frage zum Worst Case: Gibt es Notfallpläne in Unternehmen?

Ich schätze, dass es in 20 bis 30 Prozent der Unternehmen Notfallpläne gibt, aber sie kaum genutzt und getestet werden. Ein Notfallplan kann nur so gut sein, wie er auch gelebt wird, und wenn er nicht getestet wird, ist er nutzlos. Nur sehr wenige Unternehmen überprüfen ihre Notfallpläne aktiv und regelmäßig.

Eine weitere Hürde ist oft auch der Zugang. Wenn ein Notfallplan nur digital abrufbar ist und das Netzwerk dann verschlüsselt ist, bringt das nicht viel. Auch die Notfallpläne müssen analog aufbewahrt werden. Das klingt im digitalen Zeitalter verrückt, aber selbst in Hotels gibt es aus gutem Grund noch analoge Fluchtpläne.

Vielen Dank für das interessante Gespräch.

Illustration: © Serghei Starus | Dreamstime.com | AI generated

306 Artikel zu „Cyberresilienz“

News | Cloud Computing | Digitalisierung | Infrastruktur | IT-Security | Services

Jenseits des Labors: Cyberresilienz für die Biowissenschaften

14. Oktober 2024

Der Schutz von SaaS-Daten ist für biowissenschaftliche Unternehmen angesichts ihrer besonderen Herausforderungen und gesetzlichen Anforderungen von entscheidender Bedeutung. Der Weg von Unternehmen im Bereich der Biowissenschaften (bzw. Life Sciences) von der Neugründung bis zur Finanzierung der Serien B und C durch exponentielles Wachstum gekennzeichnet, sowohl bei bahnbrechenden Innovationen als auch bei den Daten, mit…

Martin Lutz, Senior Security Experte bei Axians

306 Artikel zu „Cyberresilienz“

Martin Lutz,
Senior Security Experte
bei Axians