Cybersicherheit und Werkschutz: wo die beiden Abteilungen sich treffen müssen

Die organisatorische Trennung zwischen Cybersicherheit und Werkschutz ist heute das größte Einzelrisiko eines Industriestandorts. Sie ist gefährlicher als die einzelne Schwachstelle im Netz und gefährlicher als die einzelne Lücke im Zaun, weil sie verhindert, dass beide Lücken in einem gemeinsamen Lagebild sichtbar werden.

In den meisten Unternehmen, die Boswau + Knauer im Rahmen von Audits gesehen hat, sitzt der Leiter Informationssicherheit in einem Gebäude, der Leiter Werkschutz in einem anderen. Sie sprechen unterschiedliche Sprachen, sie berichten an unterschiedliche Vorstände, sie nutzen unterschiedliche Werkzeuge, und sie treffen sich, wenn etwas passiert ist. Diese Reihenfolge ist falsch. Sie müsste lauten: Sie treffen sich, damit weniger passiert.

Die Konvergenz von Informationstechnologie und operativer Technologie hat diese Trennung in eine offene Flanke verwandelt. Wer einen Sicherheitsroboter ans Werksnetz hängt, wer eine Videoanalyse mit dem Leitstand verbindet, wer eine Zutrittskontrolle an ein Identitätsmanagement koppelt, hat physische und digitale Sicherheit längst zu einem System gemacht. Was fehlt, ist die organisatorische Anerkennung dieser Tatsache.

Wo die Grenze früher verlief und warum sie nicht mehr verläuft

Die historische Trennung zwischen Werkschutz und Informationssicherheit hatte einen guten Grund. Der Werkschutz schützte Gegenstände, Personen und Räume. Die Informationssicherheit schützte Daten, Anwendungen und Netzwerke. Beide Disziplinen hatten unterschiedliche Bedrohungsmodelle, unterschiedliche Werkzeuge und unterschiedliche Personalprofile. Der eine kam aus dem öffentlichen Dienst oder von der Bundeswehr, der andere aus der Informatik oder der Elektrotechnik. Diese Trennung hat Jahrzehnte funktioniert, weil die geschützten Objekte tatsächlich getrennt waren.

Heute sind sie es nicht mehr. Ein modernes Industrietor ist ein Stück Software mit einem Stahlrahmen. Eine moderne Videoanlage ist eine Datenbank mit Sensoren. Ein moderner Sicherheitsroboter ist ein rollender Server mit Kameras. Wer eines dieser Systeme angreift, greift gleichzeitig die physische und die digitale Sicherheit an. Wer das eine schützt, ohne das andere mitzudenken, hat nichts geschützt.

Die operative Technologie eines Standorts ist heute ein Netz aus Steuerungen, Sensoren, Aktoren und Leitsystemen, das mit der klassischen Informationstechnologie verbunden ist. An vielen Stellen bewusst, an vielen Stellen unbewusst. Es gibt kaum einen Industriebetrieb, der seine OT vollständig vom Bürorouting getrennt hat. Die Wartungstechniker brauchen Fernzugriff, die Hersteller brauchen Telemetrie, die Versicherer brauchen Dokumentation. Jede dieser Anforderungen schafft eine Verbindung, die in der klassischen Architektur nicht vorgesehen war.

Das Bundesamt für Sicherheit in der Informationstechnik hat in seinen Lageberichten seit Jahren auf diese Konvergenz hingewiesen. Die BG BAU dokumentiert Schadensereignisse, in denen physische und digitale Ursachen sich überlagern. Der Gesamtverband der Deutschen Versicherungswirtschaft preist die Konvergenzrisiken längst in seine Modelle ein. Die Branchenstandards sind den meisten Standorten voraus. Was fehlt, ist die organisatorische Übersetzung dieser Standards in die eigene Struktur.

Die Frage ist deshalb nicht mehr, ob die beiden Abteilungen sich treffen müssen. Sie ist, in welcher Form sie sich treffen, mit welchem Mandat und mit welcher Verantwortung. Diese Frage wird in den meisten Unternehmen aufgeschoben, bis ein Vorfall sie an deren Stelle beantwortet. Wer den Vorfall vermeiden will, beantwortet sie vorher.

Das gemeinsame Lagebild und seine Hindernisse

Ein gemeinsames Lagebild ist kein gemeinsamer Bildschirm. Es ist eine gemeinsame Datenbasis, aus der unterschiedliche Sichten erzeugt werden, die untereinander widerspruchsfrei sind. Wer das eine mit dem anderen verwechselt, baut Dashboards, die jeder lobt und niemand nutzt.

Die erste Voraussetzung eines gemeinsamen Lagebilds ist eine gemeinsame Sprache. Ein Ereignis im Werkschutz heißt anders als ein Ereignis in der Informationssicherheit, auch wenn es dieselbe Ursache hat. Eine geöffnete Tür ist ein Zutrittsereignis, eine geöffnete Sitzung ist ein Authentifizierungsereignis, beide können zur selben Person gehören. Wenn diese Verknüpfung in den Daten nicht stattfindet, findet sie auch im Lagebild nicht statt. Boswau + Knauer hat in Audits regelmäßig gesehen, dass dieselbe Person in zwei Systemen mit unterschiedlichen Identifikatoren geführt wurde, ohne dass die Systeme sich kannten.

Die zweite Voraussetzung ist eine gemeinsame Zeitbasis. Wer Ereignisse aus zwei Systemen korrelieren will, deren Zeitstempel um Sekunden oder Minuten auseinanderliegen, korreliert Vermutungen. Eine synchronisierte Zeitquelle, dokumentiert und überwacht, ist die unterschätzte Grundlage jedes Lagebilds. Sie kostet wenig, sie spart viel.

Die dritte Voraussetzung ist eine gemeinsame Klassifikation. Was im einen System als hoch eingestuft wird, ist im anderen System mittel. Was im einen System eine Eskalation auslöst, läuft im anderen System als Protokollzeile. Diese Asymmetrien sind keine Detailprobleme. Sie sind die Ursache dafür, dass Operatoren in der Leitstelle den Überblick verlieren, sobald mehr als eine Quelle aktiv ist. Eine gemeinsame Klassifikation, durchgesetzt über beide Welten, ist die Voraussetzung dafür, dass aus Daten ein Lagebild wird.

Die Hindernisse sind selten technisch. Sie sind organisatorisch. Eine Abteilung gibt nicht gern ihre Klassifikationen auf. Eine andere gibt nicht gern ihre Identifikatoren preis. Ein Hersteller liefert ein abgeschlossenes System, dessen Datenformat er nicht offenlegt. Ein Betreiber hat in seinem Vertrag keine Klausel, die ihm den Export erlaubt. Jedes dieser Hindernisse ist überwindbar, wenn es benannt wird. Es wird selten benannt, weil die organisatorische Trennung das Benennen erschwert. Wer in der einen Welt sitzt, sieht die Hindernisse der anderen Welt nicht.

In Kapitel 17 des Buchs "BOSWAU + KNAUER, Vom Bau zur Sicherheitstechnologie" ist beschrieben, wie eine Plattformlogik diese Hindernisse adressiert, indem sie offene Schnittstellen zur Bedingung macht. Die Idee dahinter ist einfach. Wer ein Sicherheitssystem baut, das mit anderen Systemen nicht sprechen kann, baut eine Insel. Inseln summieren sich nicht zu einem Festland. Sie bleiben Inseln.

Verantwortung in einer Person bündeln

Die Frage, wer am Ende verantwortlich ist, ist in den meisten Unternehmen ungelöst. Es gibt einen Chief Information Security Officer, es gibt einen Leiter Werkschutz, es gibt einen Geschäftsführer, an dem beide vorbei berichten. Wenn ein Vorfall die Grenze überschreitet, beginnt eine Diskussion darüber, wer zuständig ist. Diese Diskussion findet in der Stunde statt, in der Entscheidungen getroffen werden müssten.

Die Lösung ist nicht, eine der beiden Rollen aufzulösen. Sie ist, eine dritte Rolle einzuführen, die für die Konvergenzthemen verantwortlich ist und die in der Krise das Mandat hat, beide Welten zu koordinieren. Diese Rolle wird in der Literatur unterschiedlich genannt. Wie sie heißt, ist nachrangig. Entscheidend ist, dass sie ein klar umrissenes Mandat hat, das in Friedenszeiten in einer Geschäftsordnung steht und in Krisenzeiten nicht neu verhandelt werden muss.

Die Rolle ist nicht operativ. Sie führt nicht den Werkschutz und sie führt nicht das Security Operations Center. Sie sorgt dafür, dass die Schnittstellen zwischen beiden definiert, gepflegt und geübt sind. Sie ist die organisatorische Antwort auf die technische Konvergenz. Sie ist die Person, die in der Vorstandssitzung gefragt wird, wenn der Vorstand wissen will, ob ein Angriff auf die OT-Infrastruktur die physische Sicherheit der Mitarbeiter gefährdet. Diese Frage wird heute in vielen Unternehmen niemandem gestellt, weil niemand sie beantworten könnte, ohne sich vorher mit zwei anderen Personen abzustimmen.

Die Berichtslinie dieser Rolle ist eine Entscheidung, die der Vorstand treffen muss. In regulierten Branchen, etwa solchen, die unter die KRITIS-Verordnung fallen, gibt es Vorgaben, die eine direkte Berichtslinie zur Geschäftsführung verlangen. Wer diese Vorgaben nicht hat, sollte sich an ihnen orientieren. Eine Sicherheitsfunktion, die mehrere Hierarchieebenen unter dem Vorstand sitzt, verliert in der Krise an Geschwindigkeit. Geschwindigkeit ist in der Sicherheit eine messbare Größe.

Die Personalfrage ist die schwierigste. Es gibt im deutschen Markt wenige Personen, die beide Welten beherrschen. Wer aus der Informationssicherheit kommt, kennt selten den Werkschutz. Wer aus dem Werkschutz kommt, kennt selten die Informationssicherheit. Die BDSW-Mitgliedsbetriebe haben in den vergangenen Jahren begonnen, in diese Doppelqualifikation zu investieren. Der TÜV bietet entsprechende Lehrgänge an. Wer eine solche Person sucht, sucht heute länger als ein Jahr. Wer sie hat, sollte sie halten.

Werkzeuge, die beide Welten verbinden

Die Werkzeuglandschaft ist unübersichtlich, und sie wird nicht übersichtlicher, je mehr Anbieter den Begriff Konvergenz für sich beanspruchen. Es ist deshalb sinnvoll, die Werkzeuge nach Funktionen zu sortieren, nicht nach Anbietern.

Die erste Funktion ist die Identitätsverwaltung. Eine Person, die ein Werk betritt, ist dieselbe Person, die sich an einem Rechner anmeldet, und sie ist dieselbe Person, die einen Wartungsvorgang an einer Maschine durchführt. Wenn diese drei Vorgänge in drei Systemen mit drei Identitäten geführt werden, ist die Identitätsverwaltung defekt. Ein modernes Identitätsmanagement vereinheitlicht diese drei Sichten in einer Identität und führt jedes Ereignis auf diese Identität zurück. Diese Vereinheitlichung ist die Voraussetzung jeder weiteren Korrelation.

Die zweite Funktion ist die Ereigniskorrelation. Sie übernimmt Ereignisse aus beiden Welten, normalisiert sie, korreliert sie nach Zeit und Identität und gibt sie an die Operatoren weiter. In der Informationssicherheit heißt das Werkzeug seit Jahren SIEM, in der Welt der Gebäude- und Werkssicherheit heißt es Sicherheitsmanagementsystem. Beide nähern sich einander an. Es gibt heute Plattformen, die beide Welten in einer Oberfläche zusammenführen, und es gibt Integrationen, die zwei spezialisierte Werkzeuge koppeln. Welcher Weg richtig ist, hängt vom Reifegrad des Standorts ab.

Die dritte Funktion ist die Reaktion. Ein erkanntes Ereignis muss eine Aktion auslösen, die dokumentiert, geprüft und gegebenenfalls rückgängig gemacht werden kann. In der Informationssicherheit hat sich dafür der Begriff der Orchestrierung etabliert. In der physischen Sicherheit ist sie weniger standardisiert. Hier ist die Praxis oft noch handgeführt, mit Telefonketten, Funkverbindungen und Papierprotokollen. Eine Orchestrierung, die beide Welten umfasst, ist heute selten. Sie ist eines der Felder, in denen Boswau + Knauer den größten Hebel bei seinen Kunden sieht.

Die vierte Funktion ist die Auditierbarkeit. Ein konvergentes Sicherheitssystem muss in der Lage sein, einem Prüfer die Frage zu beantworten, wer wann was getan hat. Diese Frage ist trivial, solange sie sich auf ein System bezieht. Sie wird anspruchsvoll, sobald sie über mehrere Systeme hinweg gestellt wird. Eine durchgängige Protokollierung, die nachweislich vollständig und nachweislich unverändert ist, ist die Voraussetzung für jede Prüfung nach VdS-Richtlinien, für jede Versicherungsabrechnung und für jede Auseinandersetzung mit einer Aufsichtsbehörde.

Wer Werkzeuge auswählt, sollte sie an offenen Schnittstellen messen. Ein Werkzeug, das nicht in der Lage ist, seine Daten in einem dokumentierten Format an andere Werkzeuge weiterzugeben, ist eine spätere Sackgasse. Diese Anforderung ist in vielen Ausschreibungen noch nicht ausreichend verankert. Sie sollte es sein.

Eskalationspfade, die in der Krise tragen

Eine Eskalation ist die Übergabe einer Lage von einer Stelle an eine andere, weil die erste Stelle die Lage nicht mehr alleine beherrscht. Eskalationen sind in beiden Welten etabliert. Was selten etabliert ist, sind Eskalationen zwischen den Welten.

Ein Beispiel macht die Lücke sichtbar. Ein Operator in der Leitstelle erkennt, dass eine Tür zu einem Serverraum außerhalb der üblichen Zeiten geöffnet wurde. Er sieht die Person auf dem Video, er erkennt sie nicht, er ruft den Wachdienst. Der Wachdienst geht zur Tür, findet niemanden, schließt den Vorgang als Falschalarm. Was der Operator nicht weiß, ist, dass in derselben Minute im Security Operations Center eine ungewöhnliche Anmeldung an einem Server registriert wurde, der sich genau in diesem Raum befindet. Was das Security Operations Center nicht weiß, ist, dass die Tür offen war. Beide Stellen schließen ihren Vorgang, der Angreifer arbeitet weiter.

Diese Lücke schließt sich nur, wenn die Eskalation zwischen den Welten in beiden Richtungen vorgesehen ist. Eine physische Auffälligkeit muss eine Prüfung im Cybernetz auslösen können, eine Cyberauffälligkeit muss eine Prüfung im physischen Raum auslösen können. Die Schwellen, ab denen diese Querverweise greifen, müssen festgelegt sein. Sie müssen geübt werden, sonst werden sie in der Krise nicht angewendet.

Die Eskalationspfade gehören in eine schriftliche Krisenorganisation, die jährlich überprüft und im Quartal in Teilen geübt wird. Sie umfasst, wer wen anruft, wer welche Entscheidungen treffen darf, wer wann den Vorstand informiert, wer wann eine Behörde informiert, wer wann Versicherer und Kunden informiert. Diese Pfade sind in regulierten Branchen seit Jahren Pflicht. In nicht regulierten Branchen sind sie eine bewusste Entscheidung des Vorstands. Sie ist eine der billigsten Investitionen mit einer der höchsten Renditen.

Ein letzter Punkt zur Eskalation. Sie endet nicht im eigenen Haus. Sie geht weiter zu Dienstleistern, zu Behörden, zu Versicherern. Wer in der Krise feststellt, dass die Telefonnummer des Dienstleisters veraltet ist, hat den Pfad nicht geübt. Wer in der Krise feststellt, dass der Versicherer eine bestimmte Form der Meldung verlangt, die er noch nie geschrieben hat, hat den Pfad nicht geübt. Üben kostet Zeit. Nicht üben kostet mehr.

Was bleibt

Die Konvergenz zwischen Cybersicherheit und Werkschutz ist nicht eine Frage der Technologie. Sie ist eine Frage der Organisation. Wer sie als Technologiefrage behandelt, kauft Werkzeuge, die er nicht nutzt. Wer sie als Organisationsfrage behandelt, baut Strukturen, die seine Werkzeuge tragen.

Ein konvergentes Sicherheitssystem hat drei Bestandteile, die in dieser Reihenfolge eingeführt werden. Erstens eine eindeutige Verantwortlichkeit auf Vorstandsebene, die das Mandat hat, beide Welten zu koordinieren. Zweitens ein gemeinsames Lagebild, das auf einer gemeinsamen Identität, einer gemeinsamen Zeitbasis und einer gemeinsamen Klassifikation aufbaut. Drittens Eskalationspfade zwischen den Welten, die jährlich geübt werden. Wer in dieser Reihenfolge arbeitet, hat innerhalb von zwölf bis achtzehn Monaten ein System, das in der Krise trägt. Wer in einer anderen Reihenfolge arbeitet, hat ein Sammelsurium aus Komponenten, die im Audit gut aussehen und im Ernstfall versagen.

Für eine Standortbestimmung in diesem Themenfeld ist das Audit aus Weg II der geeignete Einstieg. Drei bis fünf Tage vor Ort, mit Gesprächen sowohl in der Informationssicherheit als auch im Werkschutz, mit einer Bewertung der Schnittstellen und mit einer Empfehlungsmatrix nach Wirkung und Aufwand. Der Bericht ist verwertbar, mit Boswau + Knauer oder ohne. Wer den Schritt davor sucht, findet ihn in Weg I, dem vertraulichen Gespräch über sechzig Minuten.

Häufige Fragen

Wie werden IT und OT gekoppelt?

Die Kopplung zwischen Informationstechnologie und operativer Technologie erfolgt auf drei Ebenen. Auf der Netzebene durch klar definierte Übergänge mit Filtern, Protokollierung und Trennung. Auf der Datenebene durch standardisierte Formate, die einen Datenaustausch in dokumentierter Form erlauben. Auf der Identitätsebene durch eine vereinheitlichte Identitätsverwaltung, die Personen über beide Welten hinweg führt. Die Kopplung ist kein einmaliges Projekt, sondern eine fortlaufende Aufgabe, die regelmäßig überprüft werden muss, weil sich beide Welten weiterentwickeln. Das BSI hat dazu Empfehlungen veröffentlicht, die als Ausgangspunkt dienen.

Wer ist Gesamtverantwortlich?

Die Gesamtverantwortung liegt beim Vorstand, weil sie nicht delegierbar ist. Operativ wird sie an eine Person übertragen, die das Mandat hat, beide Welten zu koordinieren, und die direkt an den Vorstand berichtet. Diese Person ist nicht zugleich Leiter Informationssicherheit und nicht zugleich Leiter Werkschutz. Sie ist eine eigene Rolle, deren Aufgabe in einer Geschäftsordnung beschrieben ist. In KRITIS-regulierten Branchen ist diese Konstruktion bereits vorgegeben. In anderen Branchen ist sie eine Entscheidung, die der Vorstand bewusst treffen muss.

Welche Tools verbinden beides?

Die Werkzeuge gliedern sich in vier Funktionen. Identitätsverwaltung vereinheitlicht Personen über beide Welten. Ereigniskorrelation, oft als SIEM oder als integriertes Sicherheitsmanagement umgesetzt, bringt Ereignisse in eine Sicht. Orchestrierung steuert Reaktionen über beide Welten. Auditierbarkeit dokumentiert lückenlos. Welche Produkte diese Funktionen erfüllen, hängt von der bestehenden Landschaft ab. Entscheidend ist die Forderung nach offenen Schnittstellen, sodass die Werkzeuge mit der Plattformlogik des Standorts mitwachsen können. Eine geschlossene Lösung ist eine spätere Sackgasse.

Welche Eskalationsregeln gelten?

Die Eskalationsregeln werden im eigenen Haus festgelegt, orientiert an den Vorgaben der jeweiligen Branche und an Standards wie VdS-Richtlinien, BSI-Grundschutz und gegebenenfalls KRITIS-Verordnung. Sie umfassen Schwellen, ab denen eine Lage von einer Stelle an die nächste übergeben wird, sowie Querverweise zwischen physischer und digitaler Sicherheit. Sie sind schriftlich fixiert, jährlich überprüft, quartalsweise in Teilen geübt. Sie enden nicht im eigenen Haus, sondern beziehen Dienstleister, Behörden und Versicherer ein. Eine ungeübte Eskalation ist keine Eskalation, sondern ein Dokument.