Zur Absicherung eines Unternehmensnetzwerkes, mit Teilnetzen im Bereich Office, kaufmännischer Systeme/ERP und im technischen Bereich mit Komponenten der Automatisation, CAD, PLM und M2M-Kommunikation sollte eine netzübergreifende Sicherheitslösung gefunden werden. Hierzu war es notwendig, einen IT-Security Architekten zu finden, der bei einem Mittelstands-Unternehmen im Bereich Automobil-Zulieferung (Tier 1) das operative Produktionsnetz OT (Operational Technology) im Industrie 4.0-Umfeld und die klassischen IT-Netze miteinander nahtlos verzahnt und optimale IT-Security Lösungen ganzheitlich auswählt sowie die Installations- und Rollout-Projekte in mehreren Ländern leitet.
Sein Schwerpunkt war, nach einer Risiko-Analyse eine moderne Technologie zu suchen, die eine direkte Überwachung und Kontrolle aller physikalischen Geräte, technische, kaufmännischen und betrieblichen Prozesse und Ereignisse im Unternehmen überwacht und die Verfügbarkeit, Störungen, Eindringversuche und die Datensicherheit nahezu in Echtzeit erfasst, meldet und teilweise automatisiert behebt. Hierzu war eine enge Zusammenarbeit zwischen OT und IT zwingend notwendig, da beide Bereiche bis dahin für ihre eigenen Netze, Systeme und Verfahren verantwortlich waren. Hierzu wurde im Auftrag der Geschäftsleitung eine sehr erfahrene Persönlichkeit in der Funktion eines Senior Projektmanagers und IT Security Architekten mit langjähriger Erfahrung gesucht. Er konnte aus früheren IT Security Projekten zudem verschiedene best-practice Lösungen mitbringen. Außerdem sollte er von beiden Bereichen (IT und OT) als neutrale Instanz gesehen werden, der nur dem Projekt verpflichtet war.
Auslöser für dieses Projekt war ein massiver Hackerangriffe auf das OT-Netze in der größten ausländischen Niederlassung, wo die Produktion und Fertigung nach Einführung von Systemen und Verfahren der neusten Generation von Industrie 4.0 und IoT nur mit den jeweiligen Hersteller Schutz-Komponenten abgesichert waren. Da es nahezu keine fertigen, übergreifenden Sicherheitslösung gab, musste eine Kombination von verschiedenen Sicherheits-Verfahren gefunden, eine Strategie entwickelt und ein Projekt zur Einführung und Implementierung in operative Verfahren entwickelt werden, die dann in alle Landesniederlassung ausgerollt werden konnten. Im Anschluss an dieses Projekt wurde ein aktives Sicherheitsmanagement für alle System-Welten im Unternehmen eingeführt.
Lösung: Basierend auf den industriellen Sicherheitsstandards ISA-99 und IEC 62443 wurde eine unternehmensweite Security-Strategie entwickelt, die netzübergreifend auch alle Komponenten zur Kommunikation beinhaltet. Weiterhin wurde im Rahmen von Sicherheitsstufen die Kommunikation und der Datenverkehr in die externen und internen Netzen definiert und überwacht. Hierzu wurden alle Assets aufgenommen und digital überwacht sowie die Konfigurationen digital hinterlegt, um eine schnelle Wiederherstellung der Systeme zu ermöglichen. Zudem wurden im Rahmen einer Risiko-Analyse ein SIEM Online-Monitoring (Security Information Management) definiert, entwickelt und installiert. Hierdurch können typische Aktionen von Malware i.d.R. schnell und effizient erkannt und behandelt werden. Hierdurch wird eine schnelle Reaktion auf Sicherheitsvorfälle möglich. Endpoint Lösungen im OT-Netz haben diese Lösungen abgerundet, wie sie im IT-Netzen und Office-Systemen schon lange eingesetzt werden.
Nach Meinung unseres Kunden hat sich die Einstellung eines externen Projektmanagers als sehr effizient und wirkungsvoll erwiesen, da das notwendige Know-how und die benötigte Kapazität in den beiden Bereichen IT und OT nicht ausreichend vorhanden war. Es wurde darüber hinaus festgelegt, dass jährlich ein Audit über Schwachstellen und Neuerungen durchgeführt wird und diese in das Security Konzept übernommen werden, da sich ständige neue Bedrohungen aus dem Internet entwickeln.
Interessant ist hierzu auch eine Studie von McKinsey, dass bis 2020 ca. 50 Milliarden Geräte mit dem Internet im Rahmen von IoT (Internet der Dinge) verbunden sein werden, die dann immer mehr in unser Leben direkt eingreifen (Home-, Fahrzeug-, Navigations- und Smart Meter-Lösungen, usw.)
