Mit <kes>+ lesen

In einem anderen Land : Sensibilisierung für Security in der Operational Technology (OT)

In Produktionsumgebungen bekommt es die IT-Sicherheit eines Unternehmens nicht nur mit höchst speziellen Protokollen, Netzarchitekturen und Rechnern zu tun. Auch der Umgang der Mitarbeiter untereinander und die Prioritäten sowie Perspektiven beim Einsatz von computergestützter Technik unterscheiden sich zuweilen massiv von der Arbeitskultur im Officebereich. Awarenessmaßnahmen lassen sich deshalb genauso wenig 1:1 aus dem Officesektor in die Werkshallen übertragen wie Sicherheitstechnik aus dem „klassischen“ IT-Umfeld in die Produktionsnetze.

Lesezeit 11 Min.

In der Diskussion sind die Digitalisierung von Produktionsumgebungen und der Brückenschlag zum Bürobereich mit seinen Warenwirtschafts-, Analyse-, Planungs- und Kommunikationssystemen schon seit den 1980ern. Vehement voran geht es mit der übergreifenden Vernetzung und damit auch mit der Kopplung der Operational-Technology-(OT)-Landschaften ans Internet aber erst seit etwa fünf Jahren – und zwar in Unternehmen aller Größenordnungen. Sicherheitsteams müssen nun Schritt halten und genau das gelingt derzeit eher schlecht als recht: Konzepte und Praxis für OT- oder ICS-Security (Industrial Control Systems) müssen in den meisten produzierenden Unternehmen erst noch erprobt werden [1].

Immerhin: Wo die technischen Herausforderungen liegen und welche Mindestanforderungen gelten, ist mittlerweile einigermaßen klar. Hersteller, die auf Produktionsanlagen zugeschnittene präventive Sicherheitssysteme und Technik zur akuten Bedrohungsabwehr bereitstellen, sind im Markt bereits präsent. Darüber hinaus existieren geeignete Ansätze zum Aufbau von Sicherheitsleitständen (Security-Operations-Centers, SOCs), die IT- und OT-Umgebungen zugleich im Blick behalten können – sie vermögen auch Angriffe zu erkennen, die sich über beide Sektoren erstrecken [2]

Je deutlicher vor diesem Hintergrund das Bild zukünftiger technischer Security-Standards in der Produktion wird, desto mehr rücken in der Folge auch die menschlichen Faktoren ins Blickfeld, ohne deren Berücksichtigung eine umfassende Absicherung nicht funktioniert. Auf der Anwenderebene zeigen sich ähnliche Inkompatibilitäten zwischen IT und OT wie in der Technik: Für die meisten Büromitarbeiter ist heute der PC das eigentliche Arbeitswerkzeug und der Internetzugriff gehört permanent dazu. Die Rechner in den Maschinenleitständen sind dagegen aus Sicht der dort tätigen Mitarbeiter zunächst einmal modernisierte Äquivalente zu Hebeln und Schaltern, die dazu dienen, die eigentlich im Zentrum stehende und ihrerseits hoch komplexe Produktionsmaschinerie zu beherrschen. Dass die Steuerungen ein Eigenleben haben und Informationen speichern, verarbeiten und über Netze austauschen, tritt im Arbeitsalltag zwangsläufig in den Hintergrund.

Hinzu kommt, dass Produktionsanlagen und ihre Steuerungssysteme häufig stark angepasste oder sogar individuelle Konstrukte mit einer Betriebshistorie von mehreren Jahrzehnten sind, die ebenso individuelle Bedienungs- und Steuerungspraktiken erfordern. Zur Sensibilisierung für Sicherheitsbelange einfach die heute üblichen Online-Schulungen und Standard-Maßnahmen in die Werkshallen zu übertragen, kommt somit nicht infrage – und mit einfachen Anpassungen oder Aufstockungen von Standard-Awareness-Inhalten „aus dem Regal“ ist es ebenfalls nicht getan.

Kulturcheck am Anfang

Für Awarenessmaßnahmen in OT-Umgebungen gilt, dass sie ihre Zielgruppe aktiv in die Konzeption und in die Ausgestaltung sicherheitsgerechten Verhaltens einbinden müssen. Sicherheitsmaßnahmen sollte man gut erklären und sorgfältig rechtfertigen, damit sie nicht als willkürliche Einschränkungen und Bevormundung verstanden werden. Awareness-Teams müssen außerdem auf die individuelle Arbeitskultur Rücksicht nehmen, die in den Werkshallen des jeweiligen Unternehmens herrscht – die kann durchaus ganz anders aussehen als in den Verwaltungsbüros derselben Organisation. Ohne eine vorgeschaltete sensible Erkundung der Praxis, der Arbeitsanforderungen und der Kommunikationsformen, die an den Produktionsanlagen herrschen, lassen sich effektive Awarenessmaßnahmen somit nicht durchführen.

Ein paar Parameter gibt es allerdings, die in den Werkshallen nahezu aller produzierenden Unternehmen von Bedeutung sind und Awareness-Spezialisten beschäftigen (sollten):

  • Kulturstabilität aus Tradition: An Produktionsanlagen herrscht traditionell eine deutlich geringere Fluktuation als in anderen Businessbereichen, sodass sich Arbeitspraktiken und Umgangsformen stärker verfestigen als im Office. Härtere, von Echtzeitabläufen geprägte Arbeit, bei der sich einer auf den anderen verlassen können muss, schweißt überdies stärker zusammen. Die Maschinen, an denen die Mitarbeiter tätig sind, laufen 30 oder gar 40 Jahre lang, sodass sich im Umgang mit diesen Systemen Verfahrensweisen einschleifen, die kaum noch zu verändern sind. Hier „mal eben“ per Verordnung oder einfacher Onlineschulung etwas zu modifizieren, „nur“ weil eine im Hintergrund stattfindende Vernetzung Risiken aufwirft, welche die Praktiker kaum nachvollziehen können, ist fast unmöglich. Notwendige Verhaltensänderungen müssen deshalb gut vorbereitet werden. Ihre Akzeptanz erfordert, wie erwähnt, eine echte Rechtfertigung.
  • Vertrauen aus langjähriger Zusammenarbeit: Die Mitarbeiter an den Anlagen vertrauen einander und sind aufeinander eingespielt. Kontrollmechanismen, die diese vertrauensvolle Zusammenarbeit infrage stellen, lassen sich nicht durchsetzen. Die Teams an den Anlagen sollten deshalb auch als Teams angesprochen werden, die sich in der Gruppe auf neue Verfahrensweisen einigen.
  • Primat der Verfügbarkeit: Maschinen müssen laufen und am Laufen gehalten werden. Alles, was den unmittelbaren, steuernden Zugriff stört, der auch „auf Zuruf“ möglich sein muss, stößt deshalb auf Ablehnung. Kennwörter, Privileged-Access-Management und andere Maßnahmen, die beispielsweise Hindernisse beim Zugriff auf Steuerrechner aufbauen, werden deshalb extrem kritisch gesehen und können tatsächlich Betriebsprobleme aufwerfen.
  • Informationssicherheit als „unbekanntes Wesen“: Dass Steuerprogramme und Steuerparameter schützenswerte und bedrohte Informationen sind, ist den Teams nicht immer bewusst. Dies gilt auch deshalb, weil man auf die entsprechenden Daten über lange Zeit hinweg nur direkt an den Maschinen zugreifen konnte. Die Gefahr aus dem Internet muss aus diesen Gründen professionell erklärt und veranschaulicht werden – auch dann, wenn die Mitarbeiter bereits aus den Medien abstrakt etwas über Sabotageakte und Industriespionage erfahren haben, sehen sie nicht automatisch auch die eigene Arbeitsumgebung in Gefahr.
  • Misstrauen gegenüber der IT: Hier und da haben unsensible IT-Security-Maßnahmen verbrannte Erde hinterlassen und das Vertrauensverhältnis zwischen IT-Security und OT-Praktikern gestört. Häufig genannt werden Zwangs-Patches, die das Echtzeitverhalten von Steuerrechnern durcheinanderbringen, oder das Herunterfahren von Steuercomputern ohne vorherige Rückfrage bei den Teams am Band, was durchaus zu Produktionsausfällen oder unmittelbaren Gefährdungen an den Anlagen führen kann. Kommt nun wieder „die IT“ mit neuen Ansprüchen auf die OT zu, sollte sie alles daransetzen, sich als kooperative Instanz darzustellen, die auf die Bedenken und Bedürfnisse der OT-Kollegen eingeht.
  • In Eigenregie angeeignetes Wissen: OT-Techniker, etwa aus dem Bereich des Maschinenbaus, haben sich hier und da notgedrungen oder aus Interesse in Eigenregie in IT-Themen eingearbeitet – und sei es auch nur, um neue Maschinen mit zugelieferten Hutschienen-Firewalls ausrüsten zu können. Den Teams ist dabei meistens durchaus bewusst, dass sie keine echten IT-Profis sind. Sie fordern deshalb häufig seit Langem, auch IT-Spezialisten einstellen zu dürfen – dieser Wunsch wurde von den Unternehmen bisher aber nur selten erhört. Die Kommunikation zwischen den Selfmade-IT-Kräften in der OT und den IT-Profis aus dem Officesektor gelingt nicht immer konfliktfrei – hier muss im Rahmen der Human-FactorAktivitäten auf eine vertrauensvolle Zusammenarbeit hingearbeitet werden.
  • Ungeregelte Verantwortlichkeit: In vielen Fällen ist noch kein Verantwortlicher für OT-Sicherheit gefunden. Für erste Awarenessmaßnahmen muss sich das dafür zuständige Team deshalb oft selbst geeignete Ansprechpartner suchen.
  • Widerstand des mittleren Managements: Werksleiter oder Leiter einzelner Produktionsumgebungen empfinden sicherheitsbezogene Regelungen von außen zuweilen als Bedrohung. Sie fürchten, Sicherheitsregeln könnten die absolute Verfügbarkeit der Systeme stören, wenn Security einfache Prozesse verkompliziert. Gegen diese Bedenken kann mit Unterstützung durch das oberste Management angegangen werden – besser ist es allerdings, tatsächlich OT-geeignete Lösungen mit geringen Nebenwirkungen zu finden und in enger Abstimmung mit den Werksleitern oder Produktionsprozessverantwortlichen zu implementieren

In dieser Gemengelage müssen erfolgreiche Awarenessmaßnahmen auf kooperative Ansätze bauen, um wirksam zu sein. Dies ist nicht zufällig ähnlich wie im Beispielfall „Klinik“, mit dem sich ein früherer <kes> Beitrag bereits befasst hat [3]: In beiden Fällen müssen sich die Verantwortlichen für ein IT-bezogenes Awarenessprogramm auf eine Zielgruppe einstellen, die in ihrem Arbeitsbereich hochprofessionell arbeitet, IT aber lediglich als Hilfsmittel für ihre Kerntätigkeit betrachtet.

Praxisgerechtes Vorgehen

OT-Security braucht kreative Lösungen, die so wenig wie möglich in die Produktionsprozesse eingreifen. Firmenausweise, die in einer zusammengehörigen Personengruppe algorithmisch gesteuert gleichzeitig in unvorhersehbarer Folge die Farben wechseln [5], sind solch ein Beispiel. Die Badges werden damit erheblich fälschungssicherer als Standard-Firmenausweise und machen es zugleich einfacher, nicht-zugehörige Personen am Band oder in der Werkshalle zu erkennen. Die Teampraxis, im Produktionsumfeld aufeinander zu achten, wird mit einer solchen Lösung nicht durchbrochen, sondern technisch perfektioniert! Ein vergleichbares Maß an Bereitschaft, auf die Belange der Produktionsumgebungen einzugehen, sollten Unternehmen auch von ihren Awareness-Anbietern einfordern.

Erklären und veranschaulichen

Dreh- und Angelpunkt einer erfolgreichen Sensibilisierungsarbeit für OT- oder ICS-Security sind nach den bisherigen Ausführungen stichhaltige Begründungen speziell für Prozesse und Vorkehrungen, die Verhaltensänderungen und womöglich auch einschränkende Prozesse und Maßnahmen mit sich bringen. Darüber hinaus müssen Awareness-Teams viel Energie darauf verwenden, Bedrohungslage und Abwehrmechanismen nachvollziehbar zu machen. Sie sollten nicht mit generischen Informationen arbeiten, sondern mögliche Bedrohungen an konkreten Situationen in der konkreten Organisation festmachen, für die sie tätig sind.

Im Office-Umfeld mag zum Beispiel ein einfacher, von Unternehmen zu Unternehmen fast gleichartig wiederverwertbarer Hinweis auf die Bedeutung von Kundendaten sowie Reputationsverluste und Strafen bei einem Diebstahl dieser Informationen ausreichen, um die Mitarbeiter nachdenklich zu machen.

Im OT-Sektor einfach zu statuieren, dass Angreifer gestohlene Maschinenparameter zu Geld machen könnten, ist bei Weitem nicht so hilfreich: Hier sollte man stattdessen darauf hinweisen, dass sich der allzu gut bekannte Konkurrent X aus Y, der vermutlich die gleichen Produktionsmaschinen einsetzt, aber bisher nicht die gleiche Produktqualität erreicht, sehr für die mühsam erarbeitete Zusammensetzung der Legierung an Produktionsanlage Z interessieren könnte, zu der man sich leider recht leicht Zugang verschaffen kann – durch Tür A oder über den Fernwartungskanal B oder durch einen heimlichen Besuch mit USB-Stick (oder Diskette!) im Leitstandbereich C.

Bei Produktionsanlagen kommen die den Mitarbeitern unmittelbar eingängigen Bedrohungen nicht aus dem Sektor der Informationsrisiken, sondern aus dem Bereich der Störung von Prozessen und damit aus dem der Sabotage – auch deshalb, weil außer Kontrolle geratene Maschinen und Roboter die in ihrer Nähe tätigen Menschen gefährden. Die Teams an den Anlagen achten deshalb ganz automatisch darauf, ob irgendjemand in ihrer Umgebung auftaucht (vgl. Kasten), der nicht dorthin gehört und sich womöglich direkt an der Maschine zu schaffen macht – aber sie wissen durchaus nicht immer, wo sonst noch störende Zugriffe wirksam sein könnten.

Außerdem gilt es, diese Vorsicht auf das Risiko des unsichtbaren, heimlichen Fernzugriffs zu übertragen: So lässt sich beispielsweise gut erklären, warum etwa Fernwartungen nur mit großer Vorsicht freigeschaltet werden dürfen, dass sich im Zuge von Wartungsmaßnahmen an der Steuerungstechnik einer Anlage auch Hard- oder Software zum heimlichen Fernzugriff einschleusen lässt und dass deshalb zum Beispiel der Gebrauch von USB-Sticks im Leitstand oder direkt an der Maschine nur unter Einhaltung bestimmter Regeln erlaubt sein darf.

Leitstand der Lemgoer Modellfabrik – hier sind die Computer nur Fenster zum Produktionsprozess.
Leitstand der Lemgoer Modellfabrik – hier sind die Computer nur Fenster zum Produktionsprozess.

Multiplikatoren finden

Awareness-Teams hilft es, wenn sie Brücken zu ihnen wohlgesonnenen „Multiplikatoren“ in der OTWelt bauen: Sie müssen Menschen ausfindig machen, die Security-Anliegen verstehen und gegenüber ihren eigenen Kollegen befürworten.

Dafür gibt es derzeit viele Gelegenheiten, denn in der Mehrzahl der produzierenden Unternehmen laufen erst jetzt Risiko- und Cyber-Security-Status-Assessments für die Produktionsumgebungen an – und diese gehen zwangsläufig mit Interviews einher (vgl. [4]). Für technische Security-Teams sind Werkshallen nämlich ebenso unbekanntes Terrain wie für Awareness-Spezialisten und so müssen auch die Techniker erst einmal nach kundigen Personen suchen, die ihnen Zugänge ins „unentdeckte Land“ der OT verschaffen. Hier können sich die HumanFactor-Verantwortlichen einklinken.

Im Verlauf der Gespräche fällt es oft leicht, Menschen mit Verständnis für IT-Security-Belange zu identifizieren und sie für das Design passender Human-FactorMaßnahmen ins Boot zu holen. Gemeinsam mit diesen Befürwortern sollte man Workshops anberaumen, die klären, wie sich das Thema IT-Sicherheit am besten in die Werkshallen tragen lässt, welche Sicherheitsmaßnahmen anwendbar sind und welche nicht.

Assessments und Workshops eignen sich außerdem gut dazu, Aspekte der Werkshallenkultur in einem Unternehmen zu erspüren, die – wie erwähnt – von den Umgangspraktiken im Officebereich derselben Organisation erheblich abweichen können. Darüber hinaus muss das Awareness-Team natürlich auch jede Gelegenheit nutzen, um sich die Arbeit an den Anlagen und in den Leitständen selbst anzusehen. Dies gilt sowohl für den Arbeitsalltag als auch für typische kritische Situationen wie einen ad hoc anberaumten Fernwartungszugriff.

Schulung in der Nachtschicht

Was die Methodik betrifft, mit der sich die Mitarbeiter an den Produktionsstraßen am besten an die Belange der IT/OT-Sicherheit heranführen lassen, so sind in vielen Fällen Frontalschulungen das Mittel der Wahl. Es gibt durchaus Unternehmen, die dergleichen bewusst mit einer Sonderration Mettbrötchen und Salatportionen garniert in den Pausen der Nachtschichten veranstalten, weil dem Vortragenden genau dort und unter diesen Voraussetzungen die Aufmerksamkeit der Zuhörer sicher ist. Dies mag als Extremfall erscheinen, aber die Idee des „Abholens“ der Praktiker in ihrer ureigenen Arbeitswelt wird dabei optimal umgesetzt.

Der Referent oder die Referentin muss bei solchen „Settings“ allerdings erst recht eine Person sein, die das Unternehmen und die Praxis am Band bestens kennt und der oder die auf die Mitarbeiter und ihre gewohnten Prozesse nicht nur eingeht, sondern auch dazu passende sicherheitsfördernde Verhaltensmaßgaben präsentiert. Idealerweise sollte die Aktion auch von einem in der Belegschaft akzeptierten Multiplikator unterstützt und begleitet werden. Existiert ein in der Belegschaft geschätztes Werksmedium (z.B. eine Mitarbeiterzeitung), sollte diese parallel über die Aktivitäten berichten und möglichst stützende Statements von geschätzten hochrangigen Managern im Unternehmen einholen. So lässt sich eine zusätzlich bestärkende Wirkung erzeugen: „Da waren wir doch dabei!“

Vermutlich bedarf es keiner Erklärung, warum ein solches Vorgehen nachhaltiger ist als etwa die lieblos verordnete Anweisung, am Internet-Terminal im Werkshallen-Leitstand bis zum Datum X eine Online-Schulung zur Informationssicherheit zu absolvieren (die zudem nur oberflächlich auf die Praxis der Arbeit am jeweiligen Produktionsort zugeschnitten ist). Außerdem fällt es Produktionsmitarbeitern sofort auf, wenn die Inhalte einer Schulung auf typische Büroarbeitsplätze abgestimmt sind – die Zielgruppe fühlt sich dann möglicherweise nicht ernst genommen, was die Akzeptanz eventuell geforderter Verhaltensänderungen massiv verringert.

Bettina Weßelmann (bettina@wesselmann.com) ist Beraterin für Unternehmenskommunikation und Fachautorin mit dem Spezialgebiet Informationssicherheit.

Literatur

[1] Bettina Weßelmann, Johannes Wiele, OT – nicht länger „off topic“, Wege zur IT- und Internet-Sicherheit in Produktionsumgebungen, 2017# 3, S. 6

[2] Bettina Weßelmann, Johannes Wiele, Aspekte der OT-Security, Teil 4: Ein SOC für IT und OT, LANline 11/2018, S. 34

[3] Bettina Weßelmann, Johannes Wiele, Awareness: Von Top-down zum Dialog, Kooperation verdrängt Kampagnenmodell, 2016# 1, S. 6

[4] Bettina Weßelmann, Johannes Wiele, Aspekte der OT-Security, Teil 2: OT-Security-Assessments, LANline 9/2018, S. 36

[5] Bettina Weßelmann, Johannes Wiele, Aspekte der OT-Security, Teil 3: Kollaborative Zugangskontrolle, LANline 10/2018, S. 36

Diesen Beitrag teilen: