Weiterbildung

Grösste Security-Herausforderung in der Branche: IT/OT – Hochzeit mit Hindernissen

18. Mai 2020

Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag. Dieser ist von Anton Jurt.

Energieversorger stehen vor einigen Herausforderungen: Nebst der Öffnung des Strommarktes für KMU und Privatkunden[1], wie auch dem Unbundling[2] – dem Trennen von Netz und Vertrieb – für mehr Transparenz in den Energiemärkten, ist aus Sicht der Security die wohl grösste Challenge das Verbinden der Energieproduktions- und Verteilnetzleitstellen und deren Daten mit der Büroinformatik und deren ERP wie auch weiteren Umsystemen[3].

Hier treffen zwei Welten mit unterschiedlichen Bedürfnissen, Zielen und Lebenszyklen aufeinander. Zum einen die schnelllebige Information Technology (IT), getrieben von immer mehr Features und Möglichkeiten, betriebenen On-Premises und/oder in der Cloud, mit einer doch schon beachtlichen Geschichte der Security mit etablierten, regelmässigen Updates und Patches, die meist auch zeitnah installiert werden.
Zum anderen die Operational Technology (OT), die bis vor kurzem galvanisch getrennt als geschlossenes System mit proprietären Protokollen von der Inbetriebnahme an in den eigenen Rechenzentren unverändert, ohne je ein Sicherheitsupdate benötigt oder einen Patch gesehen zu haben, für zwanzig Jahre betrieben wurde.
Ich möchte festhalten, lieber Leser, liebe Leserin, dass das nicht per se schlecht ist: Immerhin ist in einem derartigen Netzwerk jedes Paket, jede Quelle und jedes Ziel bekannt und der Versandzeitpunkt nahezu vorhersehbar. Trotzdem kommt auch mir ein Satz in den Sinn, den ich in meiner frühen IT-Karriere noch regelmässig gehört hatte: Never change a running system!

In Zeiten der Digitalisierung, Automatisierung und des immer grösser werdenden Wunsches, Daten aus jeder Ecke schnell abrufen, zentral zusammenlegen und dadurch weiterverarbeiten und – am liebsten ohne IT-Know-how – auswerten zu können, ist hier eine Wende nötig und eine Vernetzung zum Austausch dieser Daten unumgänglich.

Es warten viele Hürden
Hier warten Hürden, die mit allen zeitlichen, finanziellen, personellen und kulturellen Konsequenzen genommen werden müssen:

  • Ein Netzwerkzonenkonzept muss definiert, bzw. erweitert werden.
  • Es müssen Zwischenzonen zum Datenaustausch erstellt und Netzwerk- wie auch Firewall-Infrastruktur ausgebaut werden.
  • Der Schutz der OT vor Viren und Cyberattacken muss implementiert werden, dies meist mit bedeutend höherem Aufwand, um die Stabilität nicht zu gefährden.
  • Zu den etablierten Produktiv- und Standby-Systemen, werden neu auch Testsysteme zur Implementierung aller obengenannten Neuerungen benötigt.
  • Eine zu alte OT-Implementation muss allenfalls durch neue, IT nähere Systeme ausgetauscht werden. Die Projektdurchführungszeit ist hier nicht unerheblich und für öffentlich-rechtliche Unternehmen kommt die WTO- Ausschreibung mit einer Laufzeit von 6 bis 12 Monaten vor dem Projekt noch dazu.
  • Fachkräftemangel: Spezialisten mit OT- und IT-Wissen sind rar – solche mit ergänzendem Security-Wissen noch rarer.
  • Nach Jahren im separierten Netz muss nun ein komplett neues Mindset mit einer Security Awareness und einer Update-Kultur in der OT-Welt aufgebaut werden. Nicht nur beim Betreiber, sondern auch bei den Integratoren und Herstellern.
  • In vielen Fällen müssen bis dato unabhängige Teams mit wenig Schnittstellen zu reger Zusammenarbeit und Informationsaustausch hingeführt oder gar zu einem Team fusioniert werden, das Synergien nutzt.

Um insbesondere im Thema der Security eine gemeinsame Haltung zu erlangen und uns über die Grenze der eigenen Firma hinaus in OT und IT austauschen zu können, sind wir seit dem Start des branchenspezifischen Certs von Swisspower zusammen mit der Stiftung Switch[4] im inneren Kreis dabei. Nach einer Aufbauphase und der Etablierung der offenen Kommunikation und des Vertrauens machen wir sehr gute Erfahrungen und können eine Zusammenarbeit in dieser Form nur weiterempfehlen.

Fazit
Über die Gesamtfirma gesehen ist diese Vernetzung nicht nur eine Herausforderung, mit der sie sich zum Schluss einen Mehrwert erhofft, sondern auch ein Wagnis, denn wenn sich OT und IT immer mehr vernetzen, bedeutet dies – mindestens in der Theorie – dass der innerste, heilige Kern nun mit Internet, Cloud und Co. verbunden ist. Hier sieht der Chief Digital Officer Chancen und der CISO beginnt mit einer intensiven Risikoanalyse.
In jedem Fall muss auch das Managementboard dem Thema seine ganze Aufmerksamkeit schenken, sonst werden es diejenigen tun, die wir lieber nicht bei uns begrüssen möchten.

Autor: Anton P. Jurt, Leiter IT-Betrieb

Quellen:
[1] https://www.uvek.admin.ch/uvek/de/home/uvek/medien/medienmitteilungen.msg-id-78665.html
[2] https://de.wikipedia.org/wiki/Entflechtung_(Unternehmen)
[3] https://www.sicherheitsforum.ch/verschmelzung-von-it-und-ot-bringt-neue-security-herausforderungen/
[4] https://swisspower.ch/angebote/stadtwerke-kooperation/cybersecurity

Links https://www.uvek.admin.ch/uvek/de/home/uvek/medien/medienmitteilungen.msg-id-78665.html
https://de.wikipedia.org/wiki/Entflechtung_(Unternehmen)
http
s://www.sicherheitsforum.ch/verschmelzung-von-it-und-ot-bringt-neue-security-herausforderungen/
https://swisspower.ch/angebote/stadtwerke-kooperation/cybersecurity


CAS Cybersecurity und Information Risk Management

Beim nächsten CAS Cybersecurity und Information Risk Management dabei sein?

Persönliche Beratung

Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:

Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)

Cybersecurity und Hacking für Schweizer KMU

Cybersecurity: Chancen & Gefahren der künstlichen Intelligenz

Schlagworte: Cybersecurity, Datenkontrolle, Datenschutz, Homeoffice

zurück zu allen Beiträgen
×