Riedstadt. Viele Unternehmen versuchen sich derzeit in der Digitalisierung kritischer Infrastrukturen mit kleineren oder größeren Erfolgen. Eine Faustformel für den Erfolg ist schwierig zu erstellen. Deutschland liegt in der Digitalisierung stark zurück. Die Mobilfunkinfrastruktur hinkt dem Europadurchschnitt weit hinterher. Alternative Energien? Hinterher. Elektroautos? Hinterher. Schaut man sich die Demographie der Bevölkerungsstruktur an, muss man sich fragen, für wen das viele Geld ausgegeben werden soll, das Digitalisierung kostet? Ab 2030 gibt es in Deutschland nur noch alte Menschen, mehr über 65 jährige als unter 20 jährige.
Die Bahn digitalisiert, und davon kann ich ein Liedchen singen, denn ich selbst habe mit einem externen Mitarbeiter und dem ganzen tollen Team der DB Netz AG die Sicherheitsarchitektur der neuen digitalen Stellwerke entwickelt und zur Begutachtung geführt. Die Wasserwerke digitalisieren. Die Klärwerke digitalisieren. Die Stromanbieter digitalisieren immer noch. Logistik digitalisiert, die Lebensmittelindustrie, und Automotive, und mehr. Alle digitalisieren.
Digitalisierung bei kritischen Infrastrukturen fängt bei den Assets an. Welche sind Kritis-relevant? Was muss in den besonderen Schutz einbezogen werden, was in die besondere Überwachung? Viele wissen nicht welche Assets besonders schutzbedürftig sind. Es fehlen gerade bei der Digitalisierung von Dingen, die bisher nur analog unvernetzt vorlagen die Bedrohungsanalysen, denn die neuen Bedrohungen sind anders, als die der analogen Dinge.
Wie führt man eine Infrastrukturanalyse durch um die Assets zu definieren, die Kritis-relevant sind? Wie wendet man die Bedrohungsanalyse darauf an, um die Risiken heraus zu kristallisieren? Wie ordnet man die Risiken ein? Kann man Risiken zu Risikogruppen zusammenfassen? Warum nicht? Kann man denn auf Risikogruppen, die zum Beispiel alle Kläranlagen haben, alle Wasserwerke, alle Verkehrsleitsysteme oder Bahnen standardisierte Maßnahmen anwenden? Ja das kann man. Normativ bieten das wenige. Aber ein Anfang wurde getan. Man muss das Rad nicht immer neu erfinden.
Nach der Risikoanalyse ist man dann soweit, dass man die Kritis-relevanten Assets absichern kann. Hunderttausende Sensoren im Gleisfeld bekommen eine IP-Adresse. Dutzende Stromgrids und Stromzähler in jedem Gebäude. Gütesensoren für Wasserqualität. Intelligente Ampeln. Es ist keine Grenze der Kreativität gesetzt. Meine Pizza wünscht mir eine guten Appetit. Die OT wächst schnell. Sie wird genauso schnell mit der IT verbunden. Parallel werden meist in Kritis-relevanten Bereichen Security Operations Center aufgebaut für das Incident Management und das System Management der Kritis-relevanten Assets (z.B. Gütesensoren der Wasserqualität). Sehr oft gibt es Vorschriften bei kritischen Infrastrukturen, dass eine Delegierung des System Managements an Provider nicht erlaubt ist, und das Unternehmen es selbst durchführen muss. OT nutzt ONS statt DNS. Aber DNS muss man auch nutzen. Und ausser DNS Curve war DNS noch nie sicher. Nun wird aber das ONS auf z.B. das DNS Sec aufgesetzt? Asset Management gibt es aber leider noch nicht überall dort, wo digitalisiert wird. Eine durchgängige standardisierte PKI auch nicht. Ein paar Directory Services vielleicht. CMDB? Nö. Software Akkreditierung? Was ist das? NTP Services? Waren bisher noch nicht nötig und wurde immer durch den Service provider eingespeist. Wir haben doch noch nie einen richtigen IT-Betrieb gehabt mit dem ganzen ITIL-Gedöns, das hat doch immer unser hauseigener Provider gemacht, oder? Und nun? Hat man zum Beispiel keine eigene PKI und möchte ein SOC betreiben, in dem die Kritis-relevanten Systeme per Zertifikat authentisiert werden, so muss man sich erst einmal eines Hilfsmittels als Elementenmanagement bedienen, welches das kann, bis die eigene PKI soweit ist. Lange Rede kurzer Sinn Digital Readiness, SOC Readiness heißen die Zauberworte.
Die Geschichte wiederholt sich und niemand lernt daraus. Vom Insourcing zum Outsourcing ohne Vorbereitung. Vom Outsourcing in die Cloud ohne Vorbereitung. Von der Analogwelt in die Digitalisierung. Ohne Vorbereitung. Immer sind wir unvorbereitet. Warum? Es ist schwierig wenn man erst die Fehler oder Mängel der alten Welt beheben muss bevor man in die neue Welt einsteigt. Das dauert und wir haben ohnehin schon Verzug und keine Geduld in der Digitalisierung. Wenn man sein Ziel schnell erreichen will muss man langsam gehen. Das vermisse ich in vielen Digitalisierungsprojekten. Immerzu wird an der neuen Welt gearbeitet, und die Augen werden vor den Mängel der alten Welt verschlossen. Als gäbe es sie nicht. Das holt einen ein.
Unternehmen sind gut beraten, wenn Sie vor einer Digitalisierung die alte Welt auf Digitalisierung vorbereiten. Es mitten im Rollout einer Digitalisierung parallel durchzuführen, ist frustrierend und es ist davon im großen Stile abzuraten. Entweder das Aufräumen nimmt kein Ende, oder die Projektanzahl einzelner interner Projekte übersteigt die Überschaubarkeit, und Fehler treten auf, weil Dinge parallel bearbeitet werden müssen. Ausserdem fragt einen der Chef immer wieder wie lange es noch dauert?
Komplexe Dinge müssen einfach strukturiert werden damit sie einen Erfolg haben. Ein Digitalisierungsprojekt über Jahre hindurch zu führen, ist lästig. Digitalisierung 2.0 setzt dann auch schon zumindest in der Planung parallel ein, wenn das Erstprojekt schon noch nicht abgeschlossen wurde. Die Komplexität steigt damit. Es sinkt die Akzeptanz der Mitarbeiter und die Frustration nimmt zu. Auch wird immer wieder gefragt, wann es denn endlich so weit sei mit der abgeschlossenen Digitalisierung? Ich bin schon davon abgekommen SOCs komplett für Unternehmen auszurollen, weil alleine das schon lange dauern kann und Frustration hervorrufen kann. So ist es sinnvoll die SOCs scheibchenweise aufzubauen. Ein paar Vorbereitungsprojekte, dann die Kritis-relevanten Dinge, dann den Rest in Stufen einfangen. Das ist viel schlauer als Hauruck. Kleine Erfolge nach und nach anstatt große Frustration und ins Stocken geraten.
Be prepared!