Das Zusammenwachsen der ehemals strikt getrennten Welten der Information Technology (IT) und der Operational Technology (OT) erfordert zunehmend, dass der IT-Sicherheit eine erhöhte Aufmerksamkeit zuteilwird. In diesem Kontext ist auch vorrangig die Frage zu klären, welche Abteilung letztendlich die Verantwortung für eine durchgängige Sicherheit tragen kann (oder sogar muss). Diese Aufgabenstellung hat eine hohe Relevanz – nicht zuletzt da dem Aspekt Rechnung getragen werden muss, dass die Schutzziele der beiden Unternehmensbereiche uneinheitlich sind. Denn, während es bei der Sicherheit der IT in erster Linie um den Schutz der Daten beziehungsweise der digitalen Werte eines Unternehmens geht, steht im Kontext der OT die Erhaltung der Betriebskontinuität, also eine Systemverfügbarkeit 24/7, an vorderster Stelle.

Die Entscheidung über die Zuständigkeiten – und damit einhergehend die Entwicklung eines adäquaten Konzepts – kann nicht mehr auf die lange Bank geschoben werden, denn die Angriffe auf Fertigungsunternehmen nehmen inzwischen beträchtliche Ausmaße an – im letzten Jahr wurde allein durch Ransomware-Angriffe ein Schaden von 22 Milliarden Euro verursacht.

Nachfolgend ein Extrakt des Artikels:
norbert-pohlmann.com/artikel/warum-it-die-ot-managen-muss/

Ausgangslage

In der Praxis lassen sich aufgrund der Digitalisierung die Zuständigkeiten von IT und OT weder genau abgrenzen noch definieren. Dementsprechend ist eine klare Aufteilung der Verantwortungsbereiche zukünftig nicht mehr möglich, wie anhand eines exemplarischen Beispiels gut nachvollziehbar ist: Maschinen und Anlagen sind sowohl zunehmend vernetzt als auch mit Sensoren – also IT – ausgestattet. Zum einen sind diese notwendig, um Produktionsprozesse weiter optimieren zu können – zum anderen liefern diese gleichzeitig auch Anhaltspunkte für neue und lohnende Geschäftsmodelle. Von daher kommt der sicheren Konnektivität zwischen IT und OT eine hohe Bedeutung zu.

Herausforderungen bezüglich IT-Sicherheit bei OT und IT

Die Herausforderungen in puncto IT-/Cyber-Sicherheit sind bei OT und IT extrem unterschiedlich. Die IT wandelt sich in zunehmend kürzeren Zyklen, wodurch es möglich ist, die IT-Sicherheitsmaßnahmen dynamisch anzupassen. Bei der OT ist dies nicht möglich. Hinzu kommt, dass die IT-Sicherheit der Systeme in der Produktion originär bei der Entwicklung nicht im Vordergrund stand.

Problem erkannt: Basis für eine gute Vorgehensweise

Es ist notwendig, die Befugnisse und Aufgaben für die Verantwortlichen im Bereich IT und OT bezüglich der Cyber-Sicherheit festzulegen. Als Grundvoraussetzung dafür muss als wichtigste Maßnahme, die gesamte Angriffsfläche – sowohl physisch als auch virtuell – des Unternehmens eruiert und dabei unter anderem die bestehenden Prozesse sowie die zu deren Schutz eigesetzten Maßnahmen beleuchtet werden.

Fazit

Die Entscheidung bezüglich der Verantwortlichkeiten für die durchgängige IT-/Cyber-Sicherheit muss wohlüberlegt sein. Dabei sind einige Punkte bedenkenswert: Zum Beispiel der Aspekt, ob in IT-Abteilungen ein entsprechendes Know-how bezüglich der Produkte tatsächlich vorhanden sein kann – etwa bezüglich dedizierter Firewalls  zur Absicherung von Produktions-Netzwerken und deren Eignung für den jeweiligen Einsatz des angefragten Anwendungszwecks.