Der Schutz von Anlagen, Systemen, Maschinen und Netzwerken gegen Cyber-Bedrohungen ist komplex, da verschiedene Sicherheitsebenen koordiniert werden müssen – von Management-Level IT über die Produktionsplanung und Steuerung bis hin zu OT-Systemen auf Feldebene. Diese mehrstufige Architektur erfordert spezialisiertes Knowhow.
Jedoch fehlt es an qualifizierten Fachkräften mit kombinierter IT-, OT- und Cybersecurity-Expertise. Dieser Skill-Gap gilt als Haupttreiber für die Nachfrage nach externen Sicherheitslösungen. Darüber hinaus verschärft sich die regulatorische Landschaft kontinuierlich. Die NIS-2 Richtlinie und nationale Verordnungen zum Schutz kritischer Infrastruktur wie NERC, CIP oder KRITIS in Deutschland erweitern die Compliance-Anforderungen erheblich und gehen weit über traditionelle IT-Security hinaus.
Security Operations Center
Um diesen Herausforderungen zu begegnen sind Security Operations Center (SOC) ein Ansatz. Ein SOC fungiert als Kommandozentrale für die kontinuierliche Überwachung, Analyse und Reaktion auf Sicherheitsereignisse. Zu den Kernfunktionen gehören das Security-Monitoring, also die kontinuierliche Überwachung der IT/OT-Umgebung zur Aufdeckung verdächtiger Aktivitäten, Threat Detection durch Korrelation multipler Indikatoren, Triage sowie Incident Response. Darüber hinaus unterstützen SOCs Unternehmen bei der Compliance mit Sicherheitsregulierungen.
Für ein SOC für die OT bieten sich zwei Ansätze an:
- Auf die OT fokussierte SOC-Services: Dieser Ansatz konzentriert sich primär auf die Cybersecurity von OT-Umgebungen und IT-Systemen im OT-Bereich. Das Servicemodell bietet konfigurierbare Standard-Service-Verträge mit definierten Service Level Agreements, Compliance-Beratung und Support durch spezialisierte Dienstleister.
- Konvergierte IT und OT-SOC-Services: Diese umfangreichere Variante beschreibt die Integration des Sicherheitsmanagements der IT und OT vom Sensor in der Fabrik bis zum Konzernrechenzentrum und der Office IT in ein SOC. Das Modell bietet IT/OT-Sicherheits-Operations, Compliance-Unterstützung und ein einheitliches Reporting.
Anstatt interne Teams für Rund-um-die-Uhr-Überwachung aufzubauen, können Unternehmen ein ausgelagertes IT/OT SOC nutzen und auf skalierbare Expertise zugreifen.
Technische Architektur und Implementierung
Grundlegende Systemarchitektur: Beide SOC-Servicemodelle basieren auf einer einheitlichen technischen Architektur. Eine skalierbare, cloudbasierte CMDB (Configuration Management Database) und SIEM-Plattform (Security Information and Event Management) bildet das Rückgrat für die Sammlung der Daten der OT-Geräte in Produktionsnetzwerken, das Event Processing, Incident Response und Reporting.
Spezialisierte OT-Überwachung: Herzstück der OT-Sicherheit sind industrielle Intrusion-Detection-Systeme. Diese erfassen industrielle Kommunikationsprotokolle passiv und analysieren sie, ohne Produktionsprozesse zu beeinträchtigen. Die Systeme erkennen Anomalien in der OT-Kommunikation und melden verdächtige Aktivitäten an das übergeordnete SOC.
Strukturierter Implementierungsprozess: Die Einführung erfolgt in definierten Phasen. Zunächst werden IT/OT-Diagnose-Checks und Asset-Identifikationen durchgeführt. Anschließend erfolgt das Deployment von OT-Sensoren in den Netzwerksegmenten. Parallel werden Backup- und Restore-Verfahren etabliert sowie Vulnerability-Management implementiert.
Incident Response: Im Ernstfall analysieren spezialisierte SOC-Teams kritische Vorfälle, während Experten in den Kundenregionen lokale Unterstützung und, wenn gewünscht, Incident Response und Recovery bereitstellen. Dieser hybride Ansatz verbindet globale Security-Expertise mit lokalem Industrial Operations-Knowhow.
SOC-Services von Siemens
Siemens bietet sowohl ein auf die OT fokussiertes Security Operations Center as a Service (SOCaaS) als auch einen umfassenderen, konvergierten IT/OT SOC-Ansatz in Kooperation mit Accenture an.
Das Siemens OT SOCaaS konzentriert sich auf das Sicherheitsmanagement von OT-Systemen und IT-Komponenten in der OT-Umgebung mit flexiblen, standardisierten Serviceverträgen und wird durch Remote Industrial Operations Services als zentrale Anlaufstelle bereitgestellt. Der IT/OT-SOC-Ansatz ermöglicht vollständige IT/OT-Konvergenz mit flexibler Vertragsgestaltung und umfassender Compliance-Unterstützung.
Durch die Kombination von OT-Domainexpertise und IT-Security-Knowhow entstehen Servicemodelle, die die spezifischen Anforderungen der digitalen Transformation adressieren. Die steigenden Zahlen von IoT-Endpunkten und Cyber-Angriffen, kombiniert mit verschärften Compliance-Anforderungen bringen traditionelle Sicherheitsansätze an ihre Grenzen. SOC-Services bieten hier eine Möglichkeit, die bewährte IT-Security-Prinzipien mit spezialisierter OT-Expertise kombiniert.
