OT Security Services

OT Security bezieht sich auf den Schutz von Betriebstechnologie (Operational Technology) und industriellen Systemen, die zur Überwachung und Steuerung von Prozessen in Infrastrukturen wie Energieversorgung, Transport, Gesundheitswesen, Produktion oder Wasser- und Abwasserinfrastruktur eingesetzt werden. Die Bedrohungen können von der physischen Manipulation von Geräten bis hin zu Cyberangriffen und Datenmanipulationen reichen.

Wenn Sie in einem Bereich tätig sind, in dem kritische Infrastrukturen (KRITIS) betrieben werden, ist es wichtig und sogar verpflichtend, die OT abzusichern. So lassen sich nicht nur Störungen, Unterbrechungen oder Angriffe auf die Infrastruktur vermeiden, sondern im Ernstfall Menschenleben schützen. Und wenn man bedenkt, was ein ungewollter Produktionsstillstand kosten kann, sollten auch industrielle Fertigungsanlagen OT-Sicherheitsmaßnahmen ergreifen.

Die IT/OT-Konvergenz bezieht sich auf den Prozess, bei dem die traditionell getrennten Bereiche der Informationstechnologie (IT) und der Betriebstechnologie (OT) immer stärker zusammengeführt werden. Denn mit der zunehmenden Digitalisierung werden IT- und OT-Systeme häufiger integriert, um die Effizienz zu verbessern und Kosten zu senken. Neben allen Vorteilen wächst damit aber auch die Angriffsfläche, was die Betriebstechnologie verstärkt ins Visier von Cyberkriminellen rückt.

Die Betriebssicherheitsverordnung (BetrSichV) regelt die Anforderungen an die Sicherheit und den Gesundheitsschutz von Beschäftigten bei der Verwendung von Arbeitsmitteln, wozu auch überwachungsbedürftigen Anlagen gehören. Hier hat der Gesetzgeber die Anforderungen an die Cybersecurity mit der Verabschiedung einer neuen Technischen Regel Betriebssicherheit (TRBS 1115-1) konkretisiert: Betreiber müssen mögliche Gefährdungen ihrer Anlagen durch Cyberangriffe ermitteln und wirksame Gegenmaßnahmen entwickeln, die von den zugelassenen Überwachungsstellen (ZÜS) überprüft werden.

Das seit Mai 2021 in Kraft getretene IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) ist das „Zweite Gesetz zur Erhöhug der Sicherheit informationstechnischer Systeme“. Es verpflichtet Betreiber kritischer Infrastrukturen, ihre Cybersicherheit weiter zu erhöhen: Unter anderem müssen KRITIS-Unternehmen im Bereich der IT wie auch OT ab Mai 2023 ein „System zur Angriffserkennung“ (SzA) einsetzen und dies dem BSI (Bundesamt für Informationstechnik) nachweisen.

Ein OT SOC (Operational Technology Security Operations Center) ist ein Kontrollzentrum, das Sicherheitsbedrohungen in der Betriebstechnologie rund um die Uhr überwacht und analysiert. Speziell ausgebildete Fachkräfte nutzen hier fortschrittliche Sicherheitstechnologien und -prozesse, um Bedrohungen zu erkennen, zu verhindern und darauf zu reagieren.

Die Normenreihe IEC 62443 (auch bekannt als ISA/IEC 62443) ist eine internationale Normenreihe, die sich mit der Cybersicherheit von industriellen Automatisierungssystemen (Industrial Automation and Control Systems, IACS) befasst. Sie definiert eine umfassende Sicherheitsarchitektur und -prozesse für IACS und enthält Anforderungen, Leitlinien und Empfehlungen für verschiedene Aspekte der Cybersicherheit von IACS.

Das NIST Cyber Security Framework (CSF) dient der Verbesserung der Cybersicherheit in Unternehmen und Organisationen. Es wurde vom National Institute of Standards and Technology (NIST) der USA entwickelt und im Jahr 2014 veröffentlicht. Der Kern des NIST CSF definiert fünf Hauptfunktionen, die bei der Umsetzung von Cybersicherheit berücksichtigt werden sollten. Diese sind Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung.

Das Vulnerability Management (VM) bezeichnet einen Prozess, der die Schwachstellen (Common Vulnerabilities and Exposures, CVEs) einer Organisation identifiziert, die von Angreifern ausgenutzt werden könnten, um einzelne Assets zu kompromittieren. So verfolgt das Vulnerability Management das Motto: Nur wer seine Schwächen kennt, kann sich effektiv schützen.

Das Risiko-Management dient hingegen dem Verständnis und der Verwaltung potenzieller Risiken. So besteht ein erster Schritt darin, das Risikopotenzial der betroffenen Anlagen und Systeme zu verstehen, um potenzielle Schwachstellen und Bedrohungen zu identifizieren und geeignete Maßnahmen zu implementieren.

Das Purdue Reference Model ist ein Konzeptmodell, das der Klassifizierung von Prozesssteuerungs- und Automatisierungssystemen in der Industrie dient. Es wurde in den 1990er Jahren von der Purdue University entwickelt und gliedert die Prozesssteuerungs- und Automatisierungssysteme in sieben verschiedene Level auf, die jeweils unterschiedliche Funktionen haben. Den Leveln werden die angeschlossenen Geräte und Systeme zugeordnet, während man an den Übergängen zwischen den Bereichen technische Schutzmaßnahmen implementiert.