Praktiker in produzierenden Betrieben wissen: Das Assetmanagement ist von zentraler Bedeutung für die OT-Sicherheitsarchitektur – doch die Einführung, Umsetzung und das Life-Cycle Management eines Assets wird oftmals für alle Beteiligten zu einem sehr langwierigen, frustrierenden Prozess und die Zufriedenheit mit den erzielten Ergebnissen ist nicht selten niedrig. Woran liegt das und wie kann man es besser machen?

Was ist eigentlich ein Asset?

Assets können neben allem, was eine IP-Adresse hat, wie Steuerungssysteme, Sensoren, Server und intelligente Geräte in der Produktionskette auch »Information Assets« sein. Dies bezieht sich auf digitale Daten, Konfigurationen und Prozessstrukturen, die innerhalb des industriellen Netzwerks existieren und für den Geschäftsbetrieb von Relevanz sind, z.B. wenn mit Hilfe dieser Daten die Maschinen angesteuert oder Aufträge- und Lagerbestände von Komponenten für die Produktion verwaltet werden. Führt man ein Assetmanagement ein, ist es daher erstmal wichtig, sich auf die Definition zu einigen, die für das Unternehmen insgesamt am sinnvollsten ist.

Organisatorische Herausforderungen

Eine weitere grundlegende Frage ist, wer im Unternehmen das Assetmanagement insgesamt verantworten und treiben soll. Die Antwort auf diese Frage ist nicht einfach, da ein effektives Assetmanagement auch für die erfolgreiche Implementierung von IT Infrastructure Library (ITIL)-Prozessen wie Incident-Management, Change-Management und Problem-Management wesentlich ist. Daher gibt es im Unternehmen potenziell viele Stakeholder mit unterschiedlichen Interessen, die weit über die Belange der OT-Sicherheit hinausgehen. Damit besteht die Gefahr, dass das Assetmanagement mit Anforderungen überfrachtet wird und es stellt sich die Frage, ob es wirklich sinnvoll ist, das Assetmanagement im Bereich der IT/OT-Sicherheit zu verorten.

Andererseits ist ein gutes Assetmanagement notwendig, um zahlreiche Kernaufgaben der OT-Sicherheit erfüllen zu können. Dazu gehören auch das Patch- Vulnerability- und Risikomanagement. Die Anforderungen der OT-Sicherheit müssen daher bei Planung und Umsetzung unbedingt Berücksichtigung finden. Hierfür braucht man eine klare Managemententscheidung, auf deren genaue Einhaltung und Umsetzung auch geachtet wird. Nur so kann das Assetmanagement zu einem »Single Point of Truth« für alle Beteiligten werden.

Lifecycle-Management

Ein weiterer wunder Punkt ist, wem die Verantwortung für jedes Asset und damit das LifeCycle-Management und Aktualisierungsverpflichtungen einschließlich der Dekommissionierung zugewiesen wird: einzelnen Mitarbeitenden oder Organisationseinheiten? Hier gilt es einen grundsätzlichen Zielkonflikt zu berücksichtigen: Die meisten Mitarbeitenden profitieren nicht unmittelbar davon, dass die Daten in der Assetdatenbank aktuell sind, oder dass Assets sauber dekommissioniert werden. Im Alltagsgeschäft gibt es immer Tätigkeiten, mit einer höheren Priorität. Daher besteht die Gefahr, dass man schnell eine veraltete Datenbasis hat, und neue Assets gar nicht erst erfasst werden. Auch hier ist es absolut notwendig, dass das Management aktiv die Übernahme der Verantwortlichkeiten einfordert und auch kontrolliert.

Automatisierung

Bei oft tausenden von Assets in einem Unternehmen, und täglich oft hunderten Meldungen von potenziellen Verwundbarkeiten wird zumindest eine Teilautomatisierung zu einem Muss. Wie lässt sich diese umsetzen? Man kann nach Assets aktiv scannen oder diese passiv registrieren. Beim aktiven Scannen ist die Wahrscheinlichkeit, dass man alle Assets erfasst, höher, aber dies muss sich unter anderem mit der Netzwerksegmentierung vereinbaren lassen, damit nicht das Scannen selbst zu einem Sicherheitsrisiko wird. Dies erschwert die Umsetzung. Wählt man passiven Methoden, läuft man Gefahr, Assets zu übersehen, die man besser erfasst hätte. Welche Software auf einem Asset läuft, ist eine ebenfalls oft nicht trivial zu beantwortende Frage, aber wichtig, um ableiten zu können, welche potenziellen Verwundbarkeiten ein Asset hat. Dieses Problem versucht man durch Software Bills of Materials (SBOMs) and Infrastructure Bill of Materials (IBOMs) zu adressieren. Für deren Standardisierung gibt es nun erste Ansätze. Zusätzlich gibt es mit maschinenlesbaren Vulnerability Exploitability eXchange (VEX)-Dokumenten die Möglichkeit zu überprüfen, welche der in einem Asset potenziell vorhandenen Verwundbarkeiten tatsächlich ausgenutzt werden können. Idealerweise kann man nach der Umsetzung automatisch prüfen, welche potenziellen Verwundbarkeiten im Unternehmen existieren und welche davon kritisch sind oder werden können.

Priorisierung

Die Kritikalität eines Assets ergibt sich erst daraus, wie es eingesetzt wird, d.h. basierend auf der Rolle des Assets in den Geschäftsprozessen des Unternehmens und der Kritikalität dieser Geschäftsprozesse für das Unternehmen. Auch dies trägt zur Komplexität des Assetmanagements bei: Man muss nicht nur seine Assets kennen, sondern diese noch auf die Geschäftsprozesse mappen. Dafür muss man die Geschäftsprozesse erfassen und Änderungen von diesen tracken – eine Aufgabe, die die Verantwortlichkeiten der OT-Sicherheit übersteigt.

Kiss-Prinzip anwenden und ein gutes Anforderungsmanagement betreiben

Wie kann man diese Komplexität in den Griff bekommen? Aus Sicht der OT-Sicherheit ist eine konsequente Anwendung des Keep-it-simple-stupid (Kiss)-Prinzips erforderlich. Dies beinhaltet:

  • Zuweisung von klaren Verantwortlichkeiten und Prozessen auf Basis von Managemententscheidungen von Anfang an. Maximale Transparenz.
  • Solide Erhebung von Anforderungen aller Zielgruppen. Zuerst Konzentration auf Muss-Anforderungen.
  • Fokussierung auf die »Kronjuwelen« d.h. auf die wirklich kritischen Geschäftsprozesse eines Unternehmens und die Erfassung der Assets, die dort eine Rolle spielen.
  • Fokussierung auf die möglichst vollständige Erfassung der wichtigsten Attribute dieser Assets.
  • Sukzessive Erweiterung der erfassten Geschäftsprozesse, Assets und Attribute erst wenn diese Kernaufgaben erfüllt wurden.
  • Generierung von Zielgruppengerechten »Views« auf das Assetmanagement. Diese kann möglicherweise durch verschiedene Tools generiert werden, solange diese Tools auf derselben, soliden Datengrundlage arbeiten.

Vielleicht fragen Sie sich jetzt: was habe ich von der ganzen Arbeit, wenn es dann doch zu einem IT- oder OT-Sicherheitsvorfall kommt? Auf das Thema IT-Sicherheitsvorfälle und Response werden wir in unserem nächsten Blogbeitrag eingehen. Auf eines können Sie sich aber schon jetzt verlassen – klar im Vorteil ist, wer seine Assets kennt!

Sie möchten mehr über OT-Sicherheit erfahren und sich mit Expertinnen und Experten zu diesem Thema austauschen? Dann treten Sie unserer Linked-In Gruppe bei. Dort werden sie auch über zukünftige Blogbeiträge zu OT-Sicherheitsthemen informiert und bekommen Informationen zu relevanten Veranstaltungen am Fraunhofer IAO, z.B. unserem OT-Security-Day Stuttgart am 12.09.2024.

Leselinks:

Christian Schunck

Autorenprofil - Website - LinkedIn



Kategorien: Digitalisierung, Mensch-Technik-Interaktion
Tags: , , , ,