Industrial Security: Warum Update Management essenziell für die Cyber-Security in der OT ist

Der Markt an Cyber-Security-Lösungen für die Operative Technik (OT) erweist sich gegenwärtig als äußerst unübersichtlich und zugleich vielseitig. Unterschiedlichste Unternehmen mit diversen Ansätzen und Lösungen drängen auf diesen Markt, um die dort immer größer werdende Nachfrage zu bedienen. Für europäische Unternehmen, in denen OT zum Einsatz kommt, entsteht der Handlungsdruck gleich auf zweierlei Weise: einerseits durch die sich weiter verschärfende Sicherheitslage und das damit verbundene Risiko Opfer einer Cyber-Attacke zu werden. Andererseits verschärfen sich auch die gesetzlichen Regularien, z. B. mit NIS 2 oder der neuen EU-Maschinenverordnung.

Andreas Klare, Senior Account Manager und OT-Spezialist bei Baramundi. ©...
Andreas Klare, Senior Account Manager und OT-Spezialist bei Baramundi. © Baramundi/Petra Rödl PR-Design

Doch gerade kleine und mittelständische Unternehmen (KMUs) verfügen oft weder über das nötige Know-how noch über die Manpower, um diesen Herausforderungen effektiv zu begegnen. Die Software-Schmiede Baramundi aus Augsburg hat dieses Problem erkannt und an der Wurzel angepackt. Im Interview mit GIT SICHERHEIT erklärt uns Andreas Klare, Senior Account Manager und OT-Spezialist bei Baramundi, warum man nur das schützen kann, was man auch wirklich kennt.


GIT SICHERHEIT: Herr Klare, Baramundi wurde im Jahr 2000 gegründet und ist seit 2017 ein Tochterunternehmen der Wittenstein SE. Von Anfang an bestand das Kerngeschäft in Endpoint Management-Lösungen, jedoch damals für den IT-Bereich. Heute bietet Ihr Unternehmen auch entsprechende Lösungen für den OT-Bereich an. Wie ist es dazu gekommen? Wo liegen die Schnittmengen von IT und OT? Und was waren dabei die größten Hürden?

Andreas Klare:
Dr. Manfred Wittenstein, der damalige Vorstand von Wittenstein, war in der Vergangenheit Präsident des VDMA und hat den Begriff „Industrie 4.0“ mitgeprägt. Baramundi hatte als florierender UEM-Software-Hersteller im Bereich Windows einige Lösungen an Bord, die gut in eine Produktions-IT passten. Dieses Potential hat er für Wittenstein und folglich für andere Unternehmen bei uns erkannt. Auch wenn in der OT oft nur von Steuerungen, HMI Panels und speziellen Protokollen gesprochen wird, so ist Windows in der OT ebenso weit verbreitet. Da haben wir die erste Schnittstelle gefunden.

Windows in der Produktion muss anders behandelt werden als in einer Office Umgebung. Das beginnt schon mit der Lebensdauer der Betriebssysteme. Windows NT, 95 und XP sind z. B. heute noch im Einsatz. Dazu ist das Patching anders. In der Produktion können teils nur bestimmte Updates und das auch noch zu bestimmten Zeiten erfolgen – dann aber möglichst sofort. Die granularen Einstellmöglichkeiten der Baramundi Management Suite (bMS) haben hier die Flexibilität einfach schon mitgebracht.

Die größte Hürde OT und IT zu verbinden, liegt darin, dass gerade bei kleineren Unternehmen OT oft noch keine Rolle spielt bzw. keine Verantwortlichkeiten definiert sind. Die Netze sind zwar häufig getrennt, aber das hilft nur bedingt. Die Verfügbarkeit der Anlagen steht weit mehr im Fokus als die Cybersicherheit dieser Maschinen. Die größte Herausforderung ist, die handelnden Personen aus der IT mit den Verantwortlichen der Produktion an einen Tisch zu setzen und auf Augenhöhe das Thema zu diskutieren.


Mal ganz konkret gefragt: Was kann die Lösung von Baramundi? Was bieten Sie Ihren Kunden? Und wie lässt sich dadurch die Sicherheit in der OT erhöhen?

Andreas Klare:
Neben den schon genannten Vorteilen können wir im Bereich von Windows helfen, Zertifizierungen wie Tisax oder ISO 27001 zu erreichen, indem wir Hard- und Software inventarisieren, Schwachstellen aufzeigen und ein umfassendes Reporting ermöglichen. Dazu haben wir die Möglichkeit, über verschiedene Protokolle das Netzwerk bzw. die Netzwerke zu scannen und hier Netzwerkgeräte aller Art zu entdecken und diese in einer Oberfläche darzustellen. Dazu gehören u. a. Switche, Drucker, Router, Steuerungen und Linux-Geräte. Auch für die Simatic S7 von Siemens können wir genaue Details zum Gerät und dessen Schwachstellen liefern. In diesem Fall ist das Entdecken dieser Geräte gleichzeitig der erste Schritt zu mehr Sicherheit. Denn nur die Geräte, die ich kenne, kann ich eben schützen.

Die Scanergebnisse können dann mit eigenen Daten angereichert werden. Über unsere bi-direktionale Schnittstelle bConnect kann die bMS mit anderen Herstellern aus z. B. den Bereichen Networkmonitoring, NAC oder Notfallmanagement Daten austauschen. Sogar die klassische Excelliste des Inventars in der Produktion kann hier eingelesen werden. Dazu gibt es immer mehr Handscanner auf Android-Basis. Diese lassen sich vollumfänglich und User-unabhängig verwalten und absichern.


So viel zur Theorie und den ­tecnischen Details! Doch wie sieht es denn konkret bei den Kunden, ­insbesondere bei den KMUs aus? Mit welchen Situationen werden sie dort konfrontiert? Und was sind für Sie persönlich die größten ­Hürden als Lösungsanbieter?

Andreas Klare:
Gerade die KMUs haben den meisten Nachholbedarf. Hier gibt es die wildesten Szenarien. Das Produktionsnetz vom Officenetz zu trennen, ist oft schon das höchste der Gefühle, was die Sicherheit angeht. Manchmal ist noch bekannt, wie viele Windows-Clients sich in der Produktion befinden. Aber dann ist auch schon Schluss. Anzahl, Art, Hersteller und Firmware von Steuerungen sind meist unbekannt. Ein Ansprechpartner aus der Produktion? Fehlanzeige! Fernwartungsszenarien, die das separate Netz wieder aufweichen, sind unbekannt usw. Dabei ist das kein Vorwurf an die IT-Abteilungen. Gerade die KMUs haben hier oft wenig Personal und die steigende Vernetzung einer Produktion ist nicht das klassische Betätigungsfeld eines IT-Admins.

Davon abgesehen ist das Thema OT kein reines Industriethema. Geräte wie die in der Produktion finde ich im Bereich der Gebäudeautomation (z. B. Brandmeldeanlage, Heizungssteuerung usw.), in Krankenhäusern oder Einrichtungen der Kommunen wie Wasserwerke oder Kläranlagen. Eine besondere Situation habe ich in einer Kommune vorgefunden: Jeder Mitarbeiter der Gemeinde hatte lokale Adminrechte. Es gab keine separaten Netze und die Steuerungen der Wasserversorgung waren im gleichen Netz. Das fand ich schon sehr riskant.

Dieses Extrembeispiel zeigt, dass beim Thema OT die größte Hürde noch immer darin besteht, Bewusstsein für das Thema zu erzeugen. Dazu suchen viele Firmen/Einrichtungen die eine, umfassende OT-Lösung. Die gibt es bei diesen heterogenen Systemen und Use Cases aber nicht. Wichtig ist vor allem, solche Lösungen miteinander zu kombinieren, die mir den größtmöglichen Schutz liefern können. Dafür sollten nur Anwendungen in Betracht kommen, die sich über Schnittstellen mit anderen Lösungen ergänzen.


Das Thema Cyber-Security in der OT ist gegenwärtig in aller Munde. Doch worauf kommt es Ihres Erachtens an, wenn es bisher kaum Kontaktpunkte in einem Unternehmen zu diesem Themenfeld gegeben hat?

Andreas Klare:
Die Unternehmen müssen zuerst eine OT-Organisation im Unternehmen zusammenstellen. Hier sollten CIO, CISO, Administration und Produktion zusammen gezielte Pläne entwickeln. Nicht zu vergessen, dass unabhängig von einer Softwarelösung, auch die Aufklärung der Mitarbeitenden im Fokus stehen sollte. Die „Firewall Mensch“ wird oft nicht beachtet.

Den Unternehmen wird nichts anderes mehr übrigbleiben, als diesen Schritt zu gehen. Die Umsetzung des NIS 2 Gesetzes steht vor der Tür und die Produktion ist davon nicht ausgenommen. Dazu mehren sich die Nachrichten über Produktionsausfälle durch Cyberangriffe. Jedes Unternehmen sollte berechnen, was sie nur eine Stunde Ausfall der Produktion kostet. Im Schnitt sind es über 30.000 Euro. Dafür bekomme ich einiges an Sicherheitslösungen. Die IT-Sicherheit sollte also nicht als Kostenfaktor, sondern als Umsatzbringer gesehen werden.

Als konkrete Maßnahme nach diesen organisatorischen Schritten steht zuerst die vollumfängliche Inventarisierung aller im Unternehmen bzw. der Produktion vorhandenen Geräte. Das ist die Grundlage jeglicher Sicherheit. Danach erfolgen alle weiteren Schritte wie Segmentierung, Regelungen zum Patchen usw.


Jetzt wollen wir noch einen Blick in die Zukunft werfen. Was denken Sie, wohin der Zug im Bereich OT-Cyber-Security fährt? Und was plant Baramundi für die Zukunft? Wie werden Sie Ihre Lösung weiterentwickeln?

Andreas Klare:
Die Zukunft wird spannend. Zum einen wird der Gesetzgeber immer mehr Maßnahmen und Regelungen einführen. Die Maschinen werden immer vernetzter. Das bringt Vorteile in der Effizienz, ist aber auch risikoreich durch die immer stärkere Hinwendung in Richtung Cloud. Egal ob das Unternehmen Cloud will oder nicht, die Vernetzung zu anderen Unternehmen wird größer. Lieferanten bzw. Kunden sind so in den Bestellprozess integriert, dass hier Kontakte nach außen unvermeidbar werden. 5G und Steuerungen, die über WLAN gemanagt werden, sind schon fast Standard. Und nicht zuletzt wird meiner Einschätzung nach das Thema KI disruptiv für die Produktion werden. Hier entstehen massive Potentiale, aber natürlich auch Risiken.

Baramundi sehe ich gut aufgestellt, denn wir werden unsere Fähigkeiten im Bereich „Discovery“ – also dem Auffinden von Geräten – weiter ergänzen. Wir verfolgen zudem eine Cloudstrategie, mit dem wir die Bandbreite von reinem On-Prem bis Software as a Service abdecken. Dazu kommen starke Partner, die mit ihrer Technologie unser Angebot ergänzen. Wir erhalten von unseren über 5.000 Kunden (davon ca. 1.200 mit einer Produktion) viel Feedback und reagieren entsprechend auf diese Entwicklungen.

 

Baramundi_OT-Vulnerability

 

Baramundi_Network

Business Partner

Baramundi Software GmbH

Forschungsallee 3
86159 Augsburg
Deutschland

Kontakt zum Business Partner







Meist gelesen

Photo
22.04.2024 • TopstorySecurity

Wie man KRITIS-Gelände absichert

GIT SICHERHEIT gibt einen nochmals aktualisierten Überblick über aktuelle Herausforderungen und Lösungen beim Schutz Kritischer Infrastrukturen und zeigt auch, was Sicherheitsanbieter für den Bereich KRITIS beachten müssen.