Die bisherige strikte Trennung von IT (Informationstechnik) und OT (Operational Technology) geht zu Ende. Über Linux öffnet sich die OT ihre Wege zu Internet, Cloud und KI. Damit wächst einerseits die Gefahr von Cyberangriffen, andererseits tun sich auch für die Cybersicherheit neue Türen auf. Aber klar ist: Alle Unternehmen müssen nun das Thema adressieren, denn die Gesetzeslage kennt kaum noch Ausnahmen.
Von der Konvergenz von OT und IT ist die Rede, oder gar vom Verschmelzen. In meiner „Analyse zum Mauerfall zwischen OT und IT“ vom 20. Januar 2025 und in dem Artikel „Mauerfall zwischen OT und IT“ vom 27. August 2024 habe ich diese Entwicklung ausführlich erläutert. Noch keine Rolle spielte dabei die Frage, was dies mit dem Thema Cybersicherheit zu tun hat. Eine Menge. Es führt nämlich zu neuen Gefahren und deshalb auch zu neuen Regularien und Gesetzen, und es sorgt dafür, dass sich nun fast jedes Industrieunternehmen damit befassen muss. Aber bereits Verfügbares aus der IT kann nun auch in der OT genutzt werden.
Bislang war Cybersecurity ein Spezialgebiet der IT, und viele – vor allem größere – Unternehmen hatten entsprechende Spezialisten in ihren IT-Mannschaften. Es drehte sich dabei vor allem um die Sicherheit der Server und Rechenzentren im eigenen Haus, um die Sicherheit der Arbeitsplatzcomputer und der IT-Nutzung durch Mitarbeiter und Kunden, also auch um die Standardsoftwaresysteme, die in allen Bereichen der Unternehmen zum Einsatz kommen.
Auch solch eine CNC-Drehbank hatte eine Menge Software. Aber keine, die man mit dem Internet und der Cloud verbinden konnte. (Bild Ulrich Sendler mit Hilfe Microsoft Copilot)
Die „Sicherheit“ der alten OT
Der Bereich der Produktionsentwicklung und Produktion, im Wortsinn der Maschinenraum des Industriebetriebs, blieb in seinen entscheidenden Elementen weitgehend ausgespart. Denn OT war hersteller- oder maschinenspezifische, monolithische Software, an die keiner außer dem Hersteller herankam. Weder um sie zu verändern noch um die von den Maschinen erzeugten Daten zu erfassen, zu analysieren und weiter zu verarbeiten.
Embedded Software, maschinennahe Programmierung hatte – so die landläufige Sichtweise und auch die Sicht der meisten IT-Verantwortlichen – mit IT fast nichts zu tun, und deshalb gab es auch wenig Berührungspunkte mit der Cybersecurity.
Die Cloud, die KI, das Internet und die globale Vernetzung der IT führten zunächst nur zu Maßnahmen, Regeln und Technologien, die sich auf die IT-Sicherheit beschränkten. Niemand sollte ohne Autorisierung in der Lage sein, auf Server, Arbeitsplatzcomputer oder etwa die Daten aus Standardsoftware im Engineering zuzugreifen. Solche Systeme wurden entwickelt und waren wirkungsvoll.
Dass trotzdem in wachsendem Umfang Attacken zu verzeichnen waren, dass immer häufiger auch Industrieunternehmen von Angriffen aus dem Internet betroffen und nicht selten zum Abschalten von Maschinen und Produktionsstraßen gezwungen waren, machte deutlich, dass in vielen Unternehmen die Relevanz der Cybersicherheit nicht einmal ansatzweise verstanden war.
Wer glaubt, dass es sicher ist, statt einer Public Cloud eine Private Cloud zu nutzen, die auf eigenen Servern auf dem Firmengelände läuft, der hat noch nicht verstanden, wie viele Milliarden die Hyperscaler in die Sicherheit ihrer Dienste investiert haben. Und er unterschätzt, wie viel kriminelle Energie für Cyberattacken aufgewandt wird. Unterstützt zunehmend von autoritären Herrschern und politischen Akteuren in Ost wie West.
Dennoch war man bezüglich der OT und der in den Maschinen und Geräten laufenden Software noch relativ sicher vor Angriffen aus externen Netzen und dem Zugriff Unbefugter. Zu speziell war diese Art von Software gestrickt, zu individuell die Implementierung, als dass sie zu massenhaften Attacken hätte führen können. Die Mauer um die OT und deren Abschottung von der IT hat nicht nur manchen technischen Fortschritt, sondern auch viele gefährliche Angreifer ferngehalten. Jetzt aber fällt diese Mauer in rasantem Tempo.
Die Schubkraft des Mauerfalls zwischen OT und IT
Echtzeit-Linux war in den 2010er Jahren der Türöffner in der Mauer zwischen OT und IT. Fast schlagartig haben Entwickler und Verantwortliche in der Fertigungsindustrie und zunehmen auch in der Prozessindustrie diese Tür geöffnet und für sich und ihre Kunden zu nutzen begonnen. Für neue Service-Geschäftsmodelle wie vorausschauende Wartung und für immer neue Möglichkeiten der Datenanalyse und -verwertung aus der Produktion und den Produktionsstraßen. Nun war ja der Weg zu all den Technologien offen, die sich schon seit 10 bis 20 Jahren in der IT etabliert hatten.
Bestes Beispiel für die Innovationskraft, die dadurch in der Industrie freigesetzt wurde, sind die seit einigen Jahren zu einem eigenen Markt heranwachsenden offenen, Linux-basierten Automatisierungsplattformen, wie sie in der Marktübersicht Smart Automation seit April 2024 gelistet sind. Sie ebnen den Weg zur endlichen Realisierung von Industrie 4.0. Derzeit sind es diese 13 Anbieter mit 14 Plattformen:
Bosch Rexroth mit ctrlX AUTOMATION, FLECS Technologies mit FLECS, German Edge Cloud mit ONCITE DPS, Hilscher Gesellschaft für Systemautomation mit netFIELD, KEB Automation KG mit NOA, KEBA AG mit Kemro X, Lenze mit Lenze NUPANO, Phoenix Contact mit PLCnext Technology, SALZ Automation mit SALZ Controller, TTTech Digital Solutions mit Ubique, TTTech Industrial Automation AG mit Nerve, WAGO mit WAGO OS und WAGO ctrlX OS, und Weidmüller mit u-OS und easyConnect.
Auch die Medaille der OT/IT-Konvergenz hat zwei Seiten. So groß der Nutzen und die neuen Möglichkeiten, die sich mit der Öffnung der OT für das Internet ergeben, so groß wird schlagartig auch die Gefahr durch Cyberangriffe, der sich jetzt auch der Shopfloor ausgesetzt sieht.
Die Regierungen und Behörden in Deutschland und in Europa haben darauf bereits mit verschärften Regeln und Gesetzen reagiert. Die wohl wichtigsten Anforderungen, die sich daraus ergeben, sind der Cyber Resilience Act (CRA) und die 2. EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie). Beide sind seit Ende 2024 in Kraft.
Ohne Cybersicherheit keine digitale Fabrik (Bild Ulrich Sendler mit Hilfe von Microsoft Copilot)
Cybersicherheit wird Gesetz
Der CRA verlangt bis spätestens Ende 2027, dass Hersteller wie Anbieter von vernetzten und vernetzbaren Produkten in der Industrie nachweisen können, dass deren Einsatz über den gesamten Lebenszyklus gegen Cyberattacken geschützt ist. Und mit der Umsetzung von NIS-2 in deutsches Recht werden neben den schon jetzt definierten Kritischen Infrastrukturen etliche tausend zusätzliche Unternehmen und Organisationen der Aufsicht durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterliegen.
(Siehe den Artikel „CRA, NIS-2 und der Faktor Cybersicherheit bei den Automatisierungsplattformen“.)
Nun ist Cybersecurity also nicht mehr Ansichtssache und eine Frage der Prioritäten in der IT. Die Unternehmen müssen handeln und ihre Produkte und Produktionsstätten sicher machen. Damit stehen sie vor einer neuen Herausforderung. Denn die IT-Sicherheitsexperten, falls vorhanden, bekommen ein neues Arbeitsfeld, dass ihnen nach Jahrzehnten der Abschottung ziemlich fremd ist. Bisher mussten sie nicht in Latenzzeiten von Mykrosekunden rechnen. Bei Maschinen und Sensoren in der Fertigung oder im Pharma-Prozess ist das aber der Normalfall. Hier ist also neue Expertise gefragt, oder alternativ der Zugriff auf externe Services.
Die Größe und Dringlichkeit der Herausforderung kann man auch daran ablesen, wie viele Unternehmen in den letzten Jahren die Cybersicherheit zu ihrem Geschäftsfeld gemacht haben. Apps zur Absicherung von Produkten und Geräten in der Industrie gibt es inzwischen in Hülle und Fülle. Und Anbieter von Beratung und Dienstleistung rund um dies Thema ebenfalls.
Europa muss auch digital unabhängig werden
Nun kommt hinzu, was sich seit der Machtübernahme durch Trump und Musk abzeichnet: Die USA bieten eine Vielzahl von Marktführern nicht nur für KI und Cloud, sondern auch für die Cybersecurity. Aber wer kann sich denn im alten Europa und in den verbliebenen Ländern der freien Welt noch darauf verlassen, dass diese Unternehmen die Sicherheit der Kunden über die Interessen der USA und ihrer neuen Führung stellen?
Die Aufgabe der Digitalisierung der Industrie ist damit noch größer geworden. Nun müssen Deutschland und Europa nicht nur den Vorsprung der KI- und Cloud-Marktführer aufzuholen versuchen. Sie müssen, ähnlich wie hinsichtlich der militärischen Sicherheit, auch eine eigene Cybersecurity für die Industrie entwickeln. Sicherheit ist auch im Cyberspace nicht mehr etwas, das nach bekannten Regeln und internationalem Recht organisiert wird. Sie muss im Rahmen der geopolitischen Lage betrachtet und behandelt werden. Europäisch und national.
Auch dabei können übrigens die offenen, Linux-basierten Plattformen der Smart Automation ein wichtiges Element beisteuern. Erstens indem sie selbst vorangehen in der Garantie der Cybersecurity für die Plattformen und ihre Nutzung. Und zweitens indem sie selbst entsprechende Apps und Systeme bieten, mit denen sich die Nutzer hinsichtlich ihrer eigenen Produkte und Produktionsanlagen Cybersicherheit besorgen können.