Die Unterscheidung zwischen IT und OT ist nicht mehr zeitgemäß

Historische Unterscheidung

Als in den 1980er-Jahren mein Berufsleben begann, fanden Computer in den zwei Bereichen Administration und Fertigungsautomatisierung bereits Anwendung. Aber innerhalb einer Firma waren diese beiden Bereiche weitgehend getrennt. Die Trennung war so ausgeprägt, dass sogar Rechnerarchitekturen, Netze und Lieferanten der Technik für die beiden Bereiche kaum Überschneidung aufwiesen. Eine typische Aufteilung war der Einsatz von Großrechnern mit angeschlossenen Terminals vor allem in Büros für die Administration und den damals neuen Ethernet-basierenden Netzen in der Fabrik. Nicht ohne Grund war die erste Variante von Ethernet ein robustes gelbes Koaxialkabel (Yellow Cable), entwickelt für die Verlegung in der Fabrikhalle.

Es gab noch eine dritte Computer-Welt, entstanden in den Universitäten, genannt das Internet. Wenige haben geahnt, dass die Internet-Protokollfamilie ab Mitte der 1990er-Jahre das Bindeglied zwischen den Administrations- und den Fertigungsnetzen werden würde.

Warum erwähne ich die Kombination von Büro- und Fabriknetzen? Weil die Industrie historisch und aktuell der Vorreiter von OT ist. Das später so genannte Internet of Things (IoT) war spätestens seit den 1980er-Jahren für die mit moderner Industrie Vertrauten nichts Neues, sondern nur die Weiterentwicklung der vernetzten Fabrikhalle.

Unterschiede im Betrieb

Ich weiß nicht, welcher Anteil derjenigen, die diese Zeilen lesen, noch die Begriffe White Collar und Blue Collar kennen. Die Leute mit weißen Kragen waren im Berufsleben des 20. Jahrhunderts und davor gegenüber den Arbeitern mit blauer Kleidung privilegiert, hatten einen auf normale Arbeitszeiten beschränkten Arbeitsalltag und bekamen auch mehr Gehalt. Sogar die Entlohnung hatte mit Gehalt und Lohn unterschiedliche Namen. Die Computer in den Büros mussten nur zu den normalen Arbeitszeiten am Leben gehalten werden, weil abends, nachts und am Wochenende kaum jemand damit arbeitete.

Dagegen gibt es seit der Entstehung der modernen Fabriken in diesen einen Schichtbetrieb. Alles, was für die Industrie unerlässlich ist, muss während aller Schichten, oft rund um die Uhr und an allen Tagen des Jahres, funktionieren. So auch die Computer, die vor 40 bis 50 Jahren in die Werkhallen einzogen.

D.h. die Büro-EDV (Elektronische Datenverarbeitung) und die Prozessdatenverarbeitung (PDV) waren nicht nur technologisch, sondern hinsichtlich ihrer Betriebsprozesse sehr unterschiedlich.

Die Welten wachsen zusammen

Was ich über die historische Trennung zwischen Büro-IT und Industrieumgebungen geschrieben habe, galt mit zeitlichem Versatz auch für andere OT-Umgebungen, zum Beispiel für die Technische Gebäudeausrüstung (TGA). Auch der TGA-Bereich entstand unabhängig von der klassischen EDV und entwickelte sich zunächst getrennt weiter.

Mit fortschreitender Zeit entstanden jedoch immer mehr Verbindungen zwischen IT und OT. Ein Grund dafür ist wirtschaftliche Synergie. Es ist nicht sinnvoll, Ressourcen mehrfach aufzubauen. Andere Gründe sind technischer Natur. Beispiel Funknetze: Der Ausbreitungsraum für Funkwellen ist nur einmal vorhanden. Ohne eine Abstimmung der Nutzung ist Chaos vorprogrammiert. Und es gibt funktionale Gründe für das Zusammenwachsen der Welten. In der modernen Industrie muss die fertigungsnahe Logistik mit dem Enterprise Resource Planning (ERP) gekoppelt werden. Das ist nur ein Beispiel für die funktionalen Gründe der Kopplung von IT und OT.

Beim Zusammenwachsen von IT und OT entsteht ein Gesamtgebilde, das die jeweils höheren Anforderungen erfüllen muss. Nach dem Vererbungsprinzip übertragen sich die schärfsten Verfügbarkeits- und Sicherheitsanforderungen auf alle Ressourcen, unabhängig davon, wo die Ressourcen historisch herkommen, von der OT oder – wie in den meisten Fällen – von der klassischen IT.

Es gibt keine sichere OT ohne sichere IT

Mit den zusammenwachsenden IT- und OT-Welten wird die OT immer offener. Die ideale Situation für eine sichere OT wäre eine in sich geschlossene OT-Welt ohne Verbindung zur restlichen Welt. Heute ist ein solches Inseldasein der OT jedoch nicht mehr möglich. Die Verbindungen zur restlichen Welt sind aus den meisten OT-Umgebungen nicht mehr wegzudenken. Diese Verbindungen werden meistens über die IT-Umgebung des jeweiligen Unternehmens geführt. Beispiel: Wenn in der OT Ressourcen externer Clouds genutzt werden sollen, nutzt man für den Cloud-Zugriff typischerweise die externen Zugänge der IT.

Gerade mit den externen Zugängen entstehen große Risiken für die Verfügbarkeit und Sicherheit der Gesamtumgebung aus IT und OT. Gleichzeitig profitiert die OT von etablierten Praktiken und Mechanismen der IT. Diese sind zum Preis zahlreicher Sicherheitsvorfälle entstanden. Vom Lehrgeld, das die IT bezahlt hat, profitiert die OT. Sie muss nicht mehr die sicherheitstechnischen Kinderkrankheiten und Schwachstellen der Geschichte der IT durchmachen.

Verständlicherweise gibt es mit Blick auf OT-Sicherheit eine große Sensibilität. Die Vorstellung ist allgemein verbreitet, dass im OT-Bereich die Sicherheitsanforderungen signifikant höher sind als in der IT. Mit zunehmender Integration der beiden Welten ist jedoch die Annahme, IT dürfe unsicherer sein als OT, nicht mehr aufrecht zu erhalten. Es gibt keine sichere OT ohne sichere IT. Da es keine isolierte OT mehr gibt und die OT mit der IT verbunden ist, steht und fällt die OT-Sicherheit mit der IT-Sicherheit.

OT ist nichts anderes als IT für bestimmte Zwecke

Angesichts der zunehmenden Integration von IT und OT ist Letztere nichts anderes als IT für bestimmte Zwecke. In einem Unternehmen kann es IT-Bereiche mit unterschiedlichen Anforderungen geben. Beispielsweise sind die Verfügbarkeitsanforderungen an einen Arbeitsplatzrechner im Büro in der Regel nicht so hoch wie bei einer Hochregalsteuerung in einer Lagerhalle.

Je mehr zentrale Dienste und Ressourcen der Büro-PC und die Hochregelsteuerung gemeinsam nutzen, desto weniger Sinn ergibt die Unterscheidung zwischen der zentralen IT- und OT-Ressourcen.

Die Beraterpraxis spiegelt die neue Realität wider

Die Beratungspraxis von ComConsult spiegelt die neue Realität der IT/OT-Verschmelzung wider. Auch wenn eines unserer Competence Center Smart Technologies heißt und sich vorwiegend mit OT in Gebäuden (Smart Building) befasst, gab es von Anfang an eine intensive Zusammenarbeit mit anderen Competence-Centern (CC) bei ComConsult, vor allem mit den CC für Netze und IT-Sicherheit.

Gleiches gilt für unser Weiterbildungsprogramm. Zum Beispiel enthält das Programm der Winterschule 2025 der ComConsult Akademie mehrere Vorträge mit Erkenntnissen aus Smart-Building-Projekten, von Kommunikationsprotokollen für TGA bis konkrete Anwendungen wie Belegungsmessung in Gebäuden. Diese spezifischen Themen werden flankiert von Voraussetzungen für die Digitalisierung von Gebäuden, von einem zeitgemäßen Stromnetz bis hin zu diversen Security-Aspekten. Wie in jedem der letzten Jahre wird in der Winterschule auch auf aktuelle Themen im RZ, in Netzen und bei Kommunikationslösungen eingegangen. Ich freue mich darauf, Sie auf der Winterschule 2025 zu treffen!