Dr. Lutz Janicke PortraitPlädoyer für ein professionelles Cybersecurity-Risikomanagement

Ein aktueller Kaspersky-Bericht macht es deutlich: Die Angriffslust auf Industrieunternehmen steigt. Die erste Hälfte des Jahres 2017 war geprägt von einer »wahren« Ransomware-Epidemie. Als Hauptgefahrenquelle wurde das Internet identifiziert. Denn die meisten Angreifer versuchen über das Office-Netz in den Fertigungsbereich einzudringen, wie auch Dr.-Ing. Lutz Jänicke bestätigt. Der Product & Solution Security Officer im Bereich Corporate Technology der Phoenix Contact GmbH & Co. KG verrät im Gespräch, wie sich vernetzte Systeme möglichst sicher gestalten lassen und warum es dazu nicht nur technische, sondern vor allem auch entsprechende organisatorische Maßnahmen braucht.

Herr Jänicke, in Zeiten einer zunehmenden Vernetzung ist das Thema Security in aller Munde. Was sind die ersten Begriffe/Herausforderungen, die Ihnen in diesem Zusammenhang in den Sinn kommen?

Dr.-Ing. Lutz Jänicke: Vertraulichkeit – für sich behalten wollen, Integrität – dass Dinge nicht verfälscht werden, Verfügbarkeit – dass Daten zur Verfügung stehen.

Das Thema Industrie 4.0 hat sehr viel mit Kommunikation und mit dem Austausch von Informationen zu tun und in diesem Zusammenhang treten mitunter diverse Ängste auf: Daten könnten verloren gehen, Programme verfälscht und Systeme gehackt werden. Dass die Angriffslust von Cyberkriminellen auf Industrieunternehmen steigt, wird auch von Experten des Kaspersky CERT (Computer Emergency Response Team) bestätigt. Demnach müssen wir vermehrt über etwaige Sicherheitsrisiken sprechen.

Von manchen Unternehmen werden Remote Services, Condition Monitoring oder Cloud-Dienste aus einem diffusen Angstgefühl heraus per se abgelehnt. Das ist zwar verständlich und nachvollziehbar, dennoch sollte man sich modernen Angeboten und Technologien nicht zur Gänze verschließen, weil diese erhebliche Vorteile mit sich bringen und die eigene Wettbewerbsfähigkeit beträchtlich erhöhen können. Ich empfehle demnach, die Pros und Kontras abzuwägen: Was bringt eine bestimmte Maßnahme oder Lösung und welcher Schaden könnte schlimmstenfalls dadurch entstehen? Für welche Zwecke kann man das eigene Netzwerk ein Stück weit kontrolliert öffnen und wann bzw. bei welchen Anwendungsfällen sollte man besser davon absehen?

In Zeiten, in denen immer mehr und zunehmend auch unternehmens- sowie länderübergreifend vernetzt wird, braucht es bei Security-Fragen genauso ein umfassendes Risikomanagement, wie es bei Safety-Belangen bereits Usus ist in der Produktion. Ein professionelles Risikomanagement, das auf objektiven Bewertungen beruht.

Wo sehen Sie die größten Risiken? Wo sollten Unternehmen sehr genau hinsehen, wenn sie sich Richtung Cloud oder ihren Zulieferern oder Geschäftspartnern gegenüber öffnen wollen?

Jänicke: Ganz wichtig ist, dass man sich klar macht, welche Dinge man wirklich schützen will und bei sich behalten möchte. Es gibt nahezu in jedem Unternehmen Daten, die auf keinen Fall nach draußen gehen sollten. Damit wären wir wieder beim Thema Vertraulichkeit. Es gibt Dinge, die man für sich behalten will. Solche Informationen müssen separiert werden.

Der zweite Punkt, den ich vorhin schon erwähnte, ist Integrität. Und das ist aus IT-sicherheitstheoretischer Sicht ein sehr weit gefasstes Feld. Einerseits bedeutet Integrität dafür zu sorgen, dass Datensätze unverfälscht bleiben. Andererseits muss sichergestellt werden, dass Systeme nicht unbemerkt angegriffen und infiltriert werden können. Wir müssen also nicht nur die Integrität der Informationen, sondern auch die Integrität der Systeme managen und sicherstellen. Tatsache ist aber, dass vor allem ältere Automatisierungssysteme nicht dafür ausgelegt wurden, solchen Attacken standzuhalten, weil Angriffe auf die Industrie in der Vergangenheit kaum oder gar nicht Thema waren.

mGuard RS 2000Die meisten Angreifer versuchen über das Office-Netz in den Fertigungsbereich einzudringen. Welche Barrieren braucht es demnach zwischen IT- und OT-Ebene, damit ein Angreifer oder Virus nicht durchdringen kann?

Jänicke: Aus technischer Sicht braucht es kontrollierte Übergangspunkte, eine Firewall oder Ähnliches und aus organisatorischer Sicht ein ganzheitliches Security-Konzept. Das Problem ist: Security ist kein Produkt. Klar wäre es praktisch, wenn es zu 100 Prozente sichere, also »secure« Gesamtpakete gäbe, mit deren Kauf alles gut wäre, aber das spielt es leider nicht.

Es steht bereits im IT-Sicherheitsgesetz geschrieben, dass für eine funktionierende Security-Policy nicht nur technische, sondern vor allem auch entsprechende organisatorische Maßnahmen von entscheidender Bedeutung sind. Das wird leider oftmals übersehen oder ignoriert.

Wie lassen sich die technischen Rahmenbedingungen für eine sichere unternehmensübergreifende Kommunikation schaffen? Was wäre da aus Ihrer Sicht das Wichtigste?

Jänicke: Sichere Identitäten. Es muss beispielsweise über Zertifikate eine sichere Identifikation der Kommunikationspartner gewährleistet sein – Stichwort Identitätsmanagement. Außerdem sind die Rollen bzw. Befugnisse der miteinander in Verbindung Stehenden klar zu definieren und überprüfbar zu machen. Wenn beispielsweise eine Presse von sich aus vollautomatisch Aluminium beim Lieferanten nachbestellt, muss technisch abgesichert sein, dass diese Anlage tatsächlich dazu befugt ist, selbständig zu ordern.

Ein weiteres wichtiges Thema ist die Endpunktsicherheit: Es gilt mit entsprechenden Schutzvorkehrungen zu verhindern, dass eine Maschine oder ein System heimlich infiltriert wird. Eine gehackte Maschine würde zwar als der richtige Gesprächspartner identifiziert werden, da sie sich mit dem richtigen Zertifikat meldet, dennoch wäre ihre Integrität nicht mehr gegeben. Auf diese Art und Weise könnten ebenfalls wertvolle Informationen aus einem Unternehmen abgesaugt werden.

Die Datenübertragung selbst lässt sich mittlerweile sehr gut mit modernen Verschlüsselungsmechanismen absichern, aber die Endpunktsicherheit ist nicht so einfach zu gewährleisten. Das ist so ein wunder Punkt, der nicht vergessen werden darf bei der Erstellung eines ganzheitlichen Security-Konzepts. Noch dazu wo laut diversen Studien durchschnittlich zwischen 90 und 150 Tagen vergehen bis ein Unternehmen Unstimmigkeiten wahrnimmt, die darauf hinweisen, dass die eigenen Systeme unterwandert wurden.

Welche Security-Projekte sind bei Phoenix Contact aktuell am Laufen?

Jänicke: Meine Aufgabe als Product & Solution Security Officer ist es u.a. dafür zu sorgen, dass sämtliche Phoenix Contact-Produkte nach modernen Security-Maßstäben entwickelt werden. Im Sinne der vorhin erwähnten Endpunktsicherheit ist beispielsweise darauf zu achten, dass Phoenix Contact Steuerungen möglichst schwer bis gar nicht angreifbar sind. Wir können bereits beim Design von Produkten berücksichtigen, wie wir es potenziellen Angreifern möglichst schwer machen, ein System zu infiltrieren.

Sprechen Sie jetzt das Thema Security-by-Design an?

Jänicke: Ja, unter anderem. Konkrete Umsetzungsempfehlungen für Anbieter von Automatisierungslösungen bieten die Richtlinienreihe VDI/VDE 2182 und die NAMUR Empfehlung NE 153. Die NE 153 nimmt Bezug auf die Lebenszyklen sowie auf Design, Implementierung und Betrieb einer Automatisierungslösung, und das Blatt 4 der VDI/VDE-Richtlinie, das derzeit im Entstehen ist, wird u.a. folgende Themen behandeln: Security-by-Design – konzeptionell abzusichern, Secure-by-Implementation – sicher umzusetzen, sprich sauber zu programmieren und zu testen, Secure-by-Default – die Gewährleistung einer maximalen Sicherheit bei der Standardinstallation, indem bei den Grundeinstellungen auf »gefährliche« Funktionalitäten verzichtet wird und Secure Operations –Security über den ganzen Lebenszyklus eines Produkts hinweg sicherzustellen. Denn es reicht nicht, dass eine Komponente oder ein System einmal sicher gemacht wird, das ist ein laufender Prozess, bei dem permanent nachjustiert werden muss. Das gilt auch für uns als Hersteller bzw. Anbieter von Automatisierungslösungen: Wir haben beispielsweise vor kurzem unseren Fernwartungsrouter MGuard noch sicherer gemacht – mit der Firmware 8.5, mit der individuelle Firewall-Regeln innerhalb und außerhalb vom VPN-Tunnel hinterlegt werden können. Die neuen Funktionen helfen das Defense-in-Depth-Konzept nach ISA-99 bzw. IEC 62443 professionell und preisgünstig umzusetzen.

Herr Jänicke, vielen Dank für das Gespräch!

www.phoenixcontact.at