Copa-Data meint, Synergien von OT und IT in der kritischen Infrastruktur sind möglich

In Netzen mit zunehmend dezentralen Stromerzeugern wie Windparks und PV-Anlagen, dynamischem Pricing an Strombörsen und Ähnliches sind Datenschnittstellen zu übergeordneten IT-Systemen mit Rückkanälen für Zugriffe auf die Stromerzeugung und das Verteilungsnetz unerlässlich. (Bild: AdobeStock 120137915)

Manchmal wird gesagt, OT (Operational Technology) wäre IT mit Physik. In der Tat befasst sich die OT mit der Steuerung und Automatisierung von Vorgängen und Verfahren in Produktion, Energieerzeugung und -verteilung, die auf physikalischen oder chemischen Grundlagen beruhen. Zumindest in der kritischen Infrastruktur, wie zum Beispiel die Stromerzeugung oder -verteilungsanlagen eines Landes, ist OT mehr als IT mit Physik.

Die Kombination von OT- und IT-Daten erleichtert die Optimierung von Abläufen. Durch die Integration von OT-Daten in IT-Systeme können Betreiber Ineffizienzen erkennen, Abläufe optimieren und Automatisierungslösungen implementieren.

KRITIS im Fokus

In Netzen mit zunehmend dezentralen Stromerzeugern wie Windparks und PV-Anlagen, dynamischem Pricing an Strombörsen und Ähnliches sind Datenschnittstellen zu übergeordneten IT-Systemen mit Rückkanälen für Zugriffe auf die Stromerzeugung und das Verteilungsnetz unerlässlich. Nur so lassen sich dynamische Prozesse wie automatische Anpassung der Energieerzeugung an den Verbrauch in Echtzeit realisieren. Diese Entwicklung hat jedoch Folgen für OT und IT. OT muss rund um die Uhr verfügbar sein und kann nicht einfach neu gestartet werden, weil gerade Patch-Day ist, also der Tag, an dem ein Update für ein Betriebssystem eingespielt werden muss. Daher ist es verständlich, dass Menschen, die dafür verantwortlich sind, eine kritische Infrastruktur am Laufen zu halten, andere Aspekte als deren Funktionieren außer Acht lassen. Solange solche Anlagen für sich allein und eigenständig arbeiten, sind Themen wie Datenschnittstellen zu Drittsystemen und Schutz vor unerlaubtem Zugriff von niedriger Priorität.

Wendepunkt beim Arbeiten

Anders ausgedrückt hat OT traditionell in Silos gearbeitet und war von der IT-Infrastruktur getrennt. Durch die Integration von OT-Daten in IT-Systeme kommt es aber zu einem Wendepunkt, der viele Vorteile, aber auch Nachteile mit sich bringt. Ein großer Nutzen ist, dass die betriebliche Effizienz, Sicherheit und Entscheidungsfindung verbessert werden. Daher ist einer der Hauptvorteile ein umfassender Einblick in den Betrieb der Anlage. Durch die Nutzung von Daten, die von OT-Systemen erzeugt werden – von Gerätemetriken bis hin zur Power Quality (sehr detailliert aufgezeichnete elektrische Größen) – erhalten Betreiber ein umfassendes Verständnis der Prozesse. Diese integrierte Perspektive ermöglicht fundierte Entscheidungen und erleichtert die Identifizierung von Optimierungspotenzialen und auch Störungen und Problemen.

Die Verwendung von OT-Daten in Verbindung mit fortschrittlichen Analysetechniken ermöglicht es, Strategien zur vorbeugenden Wartung zu implementieren. Durch die Auswertung historischer und Echtzeit-OT-Daten können Anomalien und Muster frühzeitig erkannt werden, die auf potenzielle Ausfälle hinweisen. Dieser proaktive Ansatz minimiert Ausfallzeiten, senkt Wartungskosten und verbessert die Zuverlässigkeit der Anlagen und Systemen.

Abläufe werden optimiert

Die Kombination von OT- und IT-Daten erleichtert die Optimierung von Abläufen. Durch die Integration von OT-Daten in IT-Systeme können Betreiber Ineffizienzen erkennen, Abläufe optimieren und Automatisierungslösungen implementieren. Die Überwachung und Analyse in Echtzeit ermöglicht rechtzeitige Anpassungen der Wartungspläne und der Ressourcenzuweisung und erhöht so die betriebliche Effizienz.

Cybersecurity gewinnt an Relevanz in der OT

Durch die Verbindung von OT und IT entsteht eine Reihe von Angriffsflächen, denen bislang nur die IT ausgesetzt war. Auch Offline-Systeme ohne Netzwerkanbindung (air-gapped) müssen gegen Cyberbedrohungen geschützt und entsprechend überwacht werden. Schließlich kann auch die Verbindung zu Geräten, die der Wartung dienen, darunter Laptops, USB-Sticks oder Programmiergeräte, Schadsoftware übertragen. In diesem Umfeld können IT-Systeme eine entscheidende Rolle bei der Stärkung von Cybersecurity-Maßnahmen spielen. Es ist nicht in der DNA von OT-Systemen potenzielle Sicherheitsverstöße effektiv zu erkennen und darauf zu reagieren, daher müssen OT-Daten zusammen mit IT-Daten überwacht werden.

Schutz geht vor

Robuste Zugangskontrollen, Verschlüsselungsprotokolle und Systeme zur Erkennung von Eindringlingen schützen kritische Infrastrukturen vor Cyberangriffen und gewährleisten betriebliche Kontinuität und Integrität. Eine Möglichkeit zum Schutz bereits vorhandener OT ist der Einsatz von Datendioden, die den Datenfluss nur in einer Richtung erlauben. Mit dieser Methode können zum Beispiel Prozessdaten zum übergeordneten IT-System übertragen werden, ohne dass Schadsoftware in die OT gelangt. Von Nachteil ist das Fehlen eines Rückkanals. Eine neue Parametrierung von Geräten über die IT ist dabei genauso wenig möglich wie die Quittierung einer korrekten Übertragung.

Einen anderen Schutzmechanismus ermöglicht die Rendezvous-Technik. Zu einem verabredeten Zeitpunkt wird nach Autorisierung und Freischaltung der Session eine kurzzeitige Verbindung zwischen IT und einem Gerät der OT aufgebaut und die gewünschten Daten ausgetauscht. In diesem Fall muss das Gerät in der OT „gehärtet“ sein. Darunter versteht man die Funktionalität des jeweiligen Gerätes auf das absolut Notwendige zu beschränken. Nicht erforderliche Funktionen und Schnittstellen sind zu deaktivieren und nicht benötigte Software zu deinstallieren. Das Motto lautet: „Was nicht vorhanden nicht, kann nicht durch Schadsoftware kompromittiert werden.“

Ausfall muss vermieden werden

Trotz aller Schutzmaßnahmen besteht das größte Problem darin, dass OT-Systeme im Gegensatz zu IT-Systemen nie ausfallen dürfen, 24/7 verfügbar und betriebsbereit sein müssen. Sie sollen darüber hinaus nie neu gestartet werden. Es darf zu keinen Ausfallzeiten kommen und Änderungen müssen sehr vorsichtig geplant und getestet werden. Daher ist es konsequent, dass sich Betreiber nach Systemen umsehen, die nicht gepatcht werden müssen. Daraus ergibt sich eine Nachfrage nach Geräten, die nicht unter die Kategorie PC fallen und somit von der Patch-Pflicht ausgenommen sind. Üblicherweise haben solche Geräte kein Windows-Betriebssystem, sondern eine adaptierte Linux-Distribution.

Im Allgemeinen sind es Geräte mit Embedded Linux. Die adaptierte Linux-Distribution besteht aus dem Linux-Kernel und Software, die speziell an die Hardware des jeweiligen Gerätes und erforderliche Funktionen angepasst ist. Der Hauptvorteil ist ein stabiler Betrieb. Durch die Adaptierung wird das Embedded-Linux-System quasi einzigartig und somit die Anfälligkeit für Cyberangriffe gering. Die Verwendung von Linux schützt also nicht automatisch davor, Sicherheitslücken durch Patchen zu schließen. Wie könnte ein OT-System beschaffen sein, das früher oder später ähnlich behandelt werden muss wie ein IT-System, und dennoch rund um die Uhr verfügbar sein soll? Das kann wohl nur über Redundanzen erfolgen, die zwar aufwendig sind, aber mehr Flexibilität während eines Patch-Vorgangs ergeben.

OT und IT vereint in einem System

Wir sehen, beide Bereiche müssen und werden zusammenkommen, da sie voneinander abhängig sind. Mit anderen Worten: Die OT lässt sich ohne IT weder verbessern noch optimieren. Und ohne OT hätte die IT keine Daten, die sie analysieren und zur Mustererkennung nutzen kann. Früher oder später wird ohnehin alles eins sein und wir werden nicht mehr zwischen OT und IT unterscheiden, sondern nur noch über eine Technik sprechen, die uns hoffentlich das Leben einfacher machen wird.