Rotkäppchen-Mumm

NIS2 legt den Fokus auf robuste OT-Sicherheit in großen Produktionsumgebungen

Gutberlet betont zudem, dass sowohl die Sicherheit der IT-Netze als auch der Schutz der Produktivsysteme vor externen Angriffen schon immer einen gleichermaßen hohen Stellenwert für das Unternehmen hatten. Mit der NIS2 – die ursprünglich im Oktober 2024 umgesetzt werden sollte und deren Allgefahrenansatz klar die Operation Technology (OT) einschließt – hat das Thema jedoch eine neue Brisanz erhalten.

„Wir sind als Hersteller von Nahrungsmitteln und von Roh-Alkohol gleich doppelt betroffen“, erklärt Gutberlet. „Daher entschieden wir uns im Herbst 2023, mit Blick auf die Risiko-basierte Ausrichtung der NIS2 bei der Schwachstellen-Analyse anzusetzen.“

Auf der Suche nach einem zuverlässigen, leistungsfähigen, skalierbaren und durchgängigen Schwachstellenmanagement für seine OT/IT-Umgebung – unterstützt von WBS IT-Service – konzentrierte sich das Team zunächst auf die großen Anbieter nativer OT-Security, die sich auf passives Scanning von OT-Netzwerken spezialisiert haben, um die Produktion nicht durch aktive Scans zu gefährden. Doch diese Hersteller taten sich beim Proof-of-Concept schon mit der Inventarisierung des umfangreichen und heterogenen Maschinenparks von Rotkäppchen-Mumm unerwartet schwer. Immerhin hat die Gruppe an ihren vier deutschen Standorten Hunderte von Abfüll- und Brennerei-Anlagen, Steuer- und Messystemen sowie Automatisierungs- und Logistik-Tools aus vier Jahrzehnten im Einsatz, und erfordert vom VM-Scanner damit eine überaus breite Unterstützung von Protokollen, Sprachen und Schnittstellen.

PoC von Tenable ermöglicht detaillierte Inventarisierung

Nachdem die Ergebnisse der ersten zwei PoCs unbefriedigend waren, bat Max Gutberlet, der im Bereich IT-Vulnerability-Management schon seit Jahren auf Tenable Nessus und das Tenable Security Center setzt, das Team von Tenable darum, Rotkäppchen-Mumm ebenfalls im Zuge eines PoCs für den OT-Bereich zu unterstützen. Die kurzfristig angesetzte und mit Unterstützung des deutschen Tenable-Teams innerhalb von zwei Wochen realisierte Teststellung am Standort Nordhausen erwies sich als echter Gamechanger.

Obwohl das dortige Werk den buntesten Maschinenpark aller Standorte betreibt und neben modernsten Hightech-Anlagen auch – für OT-Umgebungen nicht ungewöhnlich – einige Legacy-Systeme aus den späten achtziger Jahren im Einsatz sind, lieferte Tenable OT Security bereits nach kurzer Feinjustierung ein überzeugend detailliertes Inventar. Dieses enthielt neben der Liste der Systeme auch umfangreiche Detailinformationen zur Systemsoftware, zu den Softwareständen und zu den Schwachstellen des Equipments und legte damit ein robustes Fundament für die Absicherung der Umgebung.

Max Gutberlet erinnert sich: „Als wir Anfang Dezember die ersten Ergebnisse der Tenable-Analyse erhielten, sahen wir sofort, dass die Lösung eine um ein Vielfaches höhere Informationsmenge lieferte als bei den vorher getesteten Systemen. Es war faszinierend, was wir schon in dieser frühen Phase an Informationen aus dem System extrahieren konnten. Wir haben daher schnell entschieden, den Proof-of-Concept Anfang 2024 in den Echtbetrieb zu überführen und das System sukzessive an allen Standorten auszurollen. Stand heute – Anfang 2025 – sind auch alle deutschen Produktionsstandorte an Tenable OT Security angebunden.“

Die Inventarisierung der OT war aber auch in einer zweiten Hinsicht aufschlussreich. Schnell zeigte sich nämlich, dass Rotkäppchen-Mumm wesentlich mehr kommunizierende OT-Systeme betreibt als ursprünglich angenommen. „Wir haben für Tenable OT Security ursprünglich 500 Geräte-Lizenzen beschafft, und waren zuversichtlich, dass dies unsere aktuellen Anforderungen decken und einen robusten Puffer für die Zukunft lassen würde“, so Gutberlet. „Faktisch mussten wir 300 Lizenzen nachbestellen, einfach, weil wir unterschätzt haben, wie viele netzwerkfähige Systeme es bei uns inzwischen gibt.“

Die endgültige Zahl dürfte sogar noch deutlich höher liegen. Denn das OT-Team von Rotkäppchen-Mumm bricht aktuell konsequent die Maschinensilos im Fuhrpark auf, um die vollständige Einsicht in die Umgebungen zu erhalten: Dabei werden proprietäre Gateways jeweils durch eigene Geräte mit eigener IP-Adresse ersetzt. Das garantiert wesentlich mehr Transparenz, bedeutet aber auch, dass plötzlich deutlich mehr sichtbare Devices administriert werden müssen.

Wie Tenable OT Security unentdeckte Schwachstellen identifiziert und bestehende und neue Systeme schützt

Dass die Entscheidung zur Integration von Tenable OT Security richtig war, hat die Lösung inzwischen mehr als einmal unter Beweis gestellt – etwa im Spätherbst 2024, als Rotkäppchen-Mumm am Standort Freyburg eine fabrikneue Dosieranlage für Chemikalien in Betrieb nahm. Obwohl das System frisch vom Hersteller geliefert worden war, schlug Tenable OT Security bereits während der Erstinstallation durch den Servicetechniker Alarm – mit kritischen Warnmeldungen an den CISO und den OT-Verantwortlichen. Ein kurzer Check belegte, dass ein Teil der Steuersysteme der Maschine massive Sicherheitslücken aufwies, für die eigentlich schon seit Jahren Patches verfügbar sind. Die Vulnerabilities konnten vom OT-Team durch das Aufspielen aller erforderlichen Updates rasch behoben werden. Ohne Tenable OT Security wäre die Produktionsumgebung aber unweigerlich angreifbar geworden.

Nächster Schritt: Italien

Angesichts der rundum positiven Erfahrungen an den deutschen Standorten will Rotkäppchen-Mumm Tenable OT Security im nächsten Schritt nun auch international ausrollen, zunächst bei der italienischen Rotkäppchen-Mumm-Tochter Ruggeri. Die in Veneto beheimatete Prosecco-Manufaktur wurde nämlich ebenfalls als NIS2-betroffenes Unternehmen eingestuft, und nachdem Italien die Vorgaben im Gegensatz zu Deutschland pünktlich im Oktober 2024 im Landesrecht verankerte (wenn auch mit einer 2-jährigen Übergangsfrist), will man die Umsetzung der Maßnahmen zeitnah angehen.

Tenable OT Security ist dabei gesetzt, so Max Gutberlet: „Als Mittelständler mit einer hochkomplexen IT, aber äußerst begrenzten Personalressourcen achten wir bei der Auswahl unserer Lösungen akribisch auf einen hohen Grad an Automatisierung und Autarkie. Die Systeme müssen zuverlässig für sich selbst laufen, ohne dass wir täglich manuell eingreifen müssten. Und genau das hat Tenable OT Security vom ersten Tag an geschafft.“