OT geht auch den CISO an!
Foto: Gorodenkoff - shutterstock.com
Einige Sicherheitsentscheider sind davon überzeugt, Risiken im Bereich Operational Technology (OT) nicht bewerten oder standardisieren zu müssen, weil sie sie nicht betreiben. Ich wage zu behaupten, dass das häufig zu blinden Flecken führt - und nicht mehr zeitgemäß ist.
Sie verlassen sich in der Regel bereits auf OT-Technologie, wenn Ihr Unternehmen ein Office betreibt. Zum Beispiel in Form von Building-Management-Systemen. Diese umfassen eine ganze Reihe von Hard- und Software, beispielsweise für Aufzüge, Heizungen, Belüftungs- und Klimaanlagen oder auch Zugangskontrollsysteme.
3 OT-Risikobeispiele
Angesichts der zunehmenden Verschmelzung von IT und OT sowie der wachsenden Verbreitung von Smart Buildings ist das Cyberrisiko in diesem Bereich größer denn je: OT, die zuvor nicht gefährdet war, ist nun dank intelligenter Sensoren oder Remote-Zugriff zu Predictive-Analytics-Zwecken zunehmend angreifbar. Um das zu untermauern, im Folgenden einige Beispiele aus der jüngeren Vergangenheit:
Kriminelle HackerHacker konnten 2018 ein intelligentes Thermometer im Aquarium eines US-Casinos kompromittieren und so auf das Netzwerk und die Datenbank des Unternehmens zugreifen. Alles zu Hacker auf CIO.de
Heizungs-, Lüftungs- und Klima- (HVAC-)Systeme können mit Tools wie HVACKer angegriffen werden, wie zwei Security-Forscher bereits im Jahr 2013 eindrücklich demonstrierten. Sie konnten das HVAC-System von Google Australien kapern und sich so ins Unternehmen hacken.
Im Jahr 2022 wurde bekannt, dass die Produkte für unterbrechungsfreie Stromversorgung (USV) eines renommierten Industrieausrüsters von kritischen Schwachstellen betroffen waren, über die die Systeme aus der Ferne gehackt und beschädigt werden konnten.
OT im "bigger picture" betrachten
Daraus ergeben sich für Sicherheitsentscheider und CISOs mehrere Fragen:
In welchem Maß können sie sich auf den OT-Schutz fokussieren, der eigentlich nicht zu ihrem "Kerngeschäft" gehört?
Unternehmen messen der Absicherung von Aufzügen und Klimaanlagen oft keine große Bedeutung bei. Folgt aus einer geringeren Angriffswahrscheinlichkeit mit Blick auf "periphere" OT oder IIoT, dass weniger Ressourcen für deren Schutz bereitgestellt werden sollten?
Wie können Sicherheitsverantwortliche ein gutes Gleichgewicht finden zwischen "sich nicht in Details verzetteln" und "dem Risiko angemessen begegnen"?
Um zu ermitteln, welche Bedeutung diese Risiken für das Unternehmen haben, sind zwei Dinge nötig: Adäquates Threat Modelling und Risk Assessment. Das Ausmaß, indem OT zu managen ist, die nicht zum Kerngeschäft gehört, ist nicht geringer als das, das bei der digitalen Supply Chain, in Test- und Entwicklungsumgebungen sowie beim Thema Schatten-ITSchatten-IT angelegt werden sollte. Ein Gleichgewicht ist dann erreicht, wenn Risk-Governance-Prozesse eingezogen sind und Risiken optimal bearbeitet werden können. Alles zu Schatten-IT auf CIO.de
Dazu ist es zunächst nötig, alle "peripheren" OT- und IIoT-Ressourcen zu identifizieren. Anschließend ist es das Mindeste, den Business Impact einzuordnen. Das heißt, sowohl die in Betracht kommenden Bedrohungsvektoren als auch die möglichen Auswirkungen auf Prozesse, Sicherheit, Reputation, Finanzen und ComplianceCompliance gründlich zu untersuchen. Letztlich geht es bei OT-Sicherheit nicht nur darum, das Unternehmen selbst, sondern auch sein Ökosystem zu schützen - Stichwort Botnetze. Alles zu Compliance auf CIO.de
Wenn Sie also das nächste Mal einen CISO-Kollegen treffen, der uberzeugt ist, sein Unternehmen betreibe keine OT-Geräte - fragen Sie ihn einfach mal, ob sein Rechenzentrum mit einer Klimaanlage ausgestattet ist oder ob es im Bürogebäude einen Aufzug gibt. Wer OT-Sicherheit mit Blick auf die Gesamtsicherheit eines Unternehmens für unbedeutend hält, sollte noch einmal in sich gehen.
- Gernot Zauner, CISO KEB Automation
Gernot Zauner ist seit 2023 als CISO für die Informationssicherheit bei KEB Automation zuständig. Bereits zuvor war er in verschieden Positionen im IT-Security-Bereich tätig. - Daniel Feinler, CISO, Häfele
Daniel Feinler ist bereits seit mehr als elf Jahren bei Häfele für den IT-Bereich zuständig. Im Mai 2023 hat er die Rolle des CISO übernommen. - Thomas Franke, CISO, Kuka
Nach seiner Tätigkeit in verschiedenen Sicherheitsbehörden des öffentlichen Dienstes hat Thomas Franke bei ZF im Bereich der Unternehmenssicherheit und anschließend in der Informationssicherheit verschiedene globale Projekte verantwortlich durchgeführt. 2017 hat er die Position des CISO und DPO in der Kuka Group übernommen. - Bodo Dobronski und Heike Tschabrun, CISOs, Versicherungskammer
Bodo Dobronski und Heike Tschabrun sind seit 2017 die CISOs des Konzerns Versicherungskammer. Bodo Dobronski hat einen Universitätsabschluss der TU Dresden als Informatiker, Heike Tschabrun einen Abschluss als Sozialwirtin der Fachhochschule Ravensburg. - Stefan Braun, CISO, Henkel
Stefan Braun ist bereits seit 2008 bei Henkel. Als CISO ist er seit 2021 für die IT-Sicherheit zuständig. Zuvor war er im IT Audit, der IT und im Konzerncontrolling tätig. Seine Berufslaufbahn begann er bei Accenture und Procter & Gamble nach einem Studium der Informatik an der RWTH Aachen und dem INSA Lyon. - Christopher Ruppricht, CISO, Schufa
Seit Ende 2022 ist Christopher Ruppricht als CISO für die IT-Sicherheit bei der Schufa verantwortlich. Zuvor war er als als CISO für paydirekt zuständig. - Max Imbiel, Global CISO bei Bitpanda
Max Imbiel ist seit April 2024 als Global CISO bei Bitpanda im Einsatz. Zuvor war er als Deputy Group CISO bei N26 tätig. - Holger Bajohr-May, CISO, Technische Werke Ludwigshafen am Rhein
Holger Bajohr-May begann seine Karriere bei den Technische Werke Ludwigshafen am Rhein bereits vor 25 Jahren mit der Ausbildung zum Industriekaufmann. Vom PC-Techniker über den SAP-Anwendungsbetreuer arbeitete er sich hoch und ist seit diesem Jahr CISO. - Iskro Mollov, Group CISO, GEA Group
Iskro Mollov ist seit 2020 der Group CISO und Vice President Security, Business Continuity and Crisis Management bei GEA Group. In seiner Funktion berichtet er an den Vorstand sowie an den Prüfungsausschuss der Aufsichtsrates und verantwortet ganzheitlich die Sicherheitsbereiche: Informationssicherheits-Governance, IT-Sicherheit, OT-Sicherheit, Produkt-Sicherheit, Physische Sicherheit, HR Sicherheit, Sicherheit in der Lieferkette, Sicherheit digitaler Medien sowie übergreifend Business Continuity Management (BCM) und Krisenmanagement. - Florian Jörgens, CISO, Vorwerk Gruppe
Seit Juli 2021 ist Florian Jörgens CISO der Vorwerk Gruppe. Neben dieser Tätigkeit ist er seit seinem Master-Abschluss 2015 unter anderem an diversen Hochschulen als Dozent, Autor und wissenschaftlicher Mitarbeiter tätig. Weiterhin hält er Fachvorträge rund um die Themen Informationssicherheit, Awareness und Cyber-Security. Florian Jörgens wurde im September 2020 vom CIO-Magazin mit dem Digital Leader Award in der Kategorie „Cyber-Security“ ausgezeichnet. - Hendrik Janssen, CISO, Bauer Global Technology
Hendrik Janssen zeichnet seit Juli 2016 als CISO und Global Technology Director Security bei Bauer Global Technology verantwortlich. Er war 12 Jahre lang Soldat auf Zeit bei der Bundeswehr im Bereich Cybersicherheit. - Ralf Kleinfeld, CISO, Otto (GmbH & Co KG)
Begonnen hat Ralf Kleinfeld bei Otto vor über elf Jahren als Teamlead Network and Security. Seit neun Jahren ist er nun als Department Manager Information Governance für die Informationssicherheit verantwortlich. Kleinfeld hat Abschlüsse vo der Quadriga University of Applied Sciences in Berlin und der Technische Universität Kaiserslautern. - Fabian Topp, CISO, Allianz Technology
Fabian Topp ist CISO bei Allianz Technology. Er ist ISO 27001 Lead Implementer, Lead Auditor und CISM zertifiziert. Er besitzt Universtätsabschlüsse in Politologie wie auch Rechtswissenschaften.
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.