Funktionalität vor Sicherheit

Das Interview führte Nora Nuissl

Herr Kretzschmar, wie sind deutsche Fertiger mit ihren Steuerungssystemen aktuell im Bereich Cyber-Security aufgestellt?

Alle Unternehmen haben mittlerweile eine Agenda, wie sie sich auf Industrie 4.0 und die Digitalisierung vorbereiten. IT-Sicherheit spielt jedoch in den meisten Fällen eine eher untergeordnete Rolle. Das hängt damit zusammen, dass man im Wettbewerb schneller sein möchte als die anderen. Hier zählt vor allem Funktionalität – und die stellen viele Firmen vor Sicherheit.

Darauf hat die Bundesregierung reagiert und 2015 das IT-Sicherheitsgesetz erlassen. Was hat es damit auf sich?

Das IT-Sicherheitsgesetz gilt für eine bestimmte Auswahl deutscher Unternehmen, nämlich die sogenannte Kritische Infrastruktur (Kritis). Dabei handelt es sich überwiegend um Firmen, bei denen ein Angriff, etwa durch Hacker, einen großen Schaden für viele Menschen bedeuten würde – das wären beispielsweise Stromanbieter, die Lebensmittelindustrie oder der Finanzsektor. Da gab es über Jahre hinweg die sogenannte freiwillige Selbstverpflichtung, IT-Sicherheitsmaßnahmen eigenständig aufzustellen und dann auch zu überwachen. Das hat aber nicht funktioniert.

IT-Sicherheit ist schließlich ein Prozess, der mit ständigen Updates einhergeht. In Kombination mit Audits, die diese Prozesse überprüfen, ist das ein großer finanzieller Aufwand für Firmen – gerade, wenn nicht von vornherein Security fester Teil des Entwicklungskonzepts war. Daher blocken Firmen diesen Prozess oft ab. Und darauf hat der Staat reagiert.

In der Fertigungsindustrie werden vor allem elektrotechnische Systeme eingesetzt. Wieso müssen diese Steuerungen zusätzlich einen IT-Sicherheitsschutz aufweisen?

Die Systeme werden immer mehr vernetzt – nicht nur innerhalb der Firma, sondern mit Gegenstellen auf der ganzen Welt. Insofern bekommt das Thema Sicherheit der Information eine ganz andere Größenordnung: Wenn Firmen sich dazu entschließen, Intelligenz in ihre Maschinen zu bringen und ihre Zustände mit Außenstehenden kommunizieren zu lassen, müssen sie auch dafür sorgen, dass diese Informationen gesichert ausgetauscht werden. Die Informationen dürfen nicht verfälscht werden, da es sonst leicht zu Fehlinterpretationen und somit fatalen Entscheidungen kommen kann.

Welche Schwachstellen in Unternehmen werden konkret ausgenutzt?

2016 sind gerade Angriffe über Social Engineering und Phishing stark gestiegen. Dabei durchforsten Hacker soziale Portale, wie Xing, Facebook und Linked-in, um Organisationsstrukturen nachzuvollziehen – also wer ist für was verantwortlich oder wer arbeitet mit wem zusammen. Mit diesem Wissen können gezielt Phishing-Angriffe in Form von personalisierten Mails gemacht werden. Das Einschleusen von Schadsoftware über Wechseldatenträger steht auf Platz zwei. Es gibt nach wie vor viele Unternehmen, die zum Beispiel keine Regelung zum Umgang mit fremden USB-Sticks haben. Und dann gibt es noch klassische Schwachstellen, wie Infektionen über Schadsoftware (zum Beispiel Trojaner), der Eintritt über Fernwartungszugänge sowie menschliches Fehlverhalten und Sabotage über sogenannte Innentäter.

„Viele Unternehmen wissen nicht, welche offenen Fernwartungszugänge in ihrer Produktion vorhanden sind“

Gerade über Fernwartungszugänge finden viele Angriffe statt: Durch die Sensorik, die heute in Produktionsanlagen eingesetzt wird, werden immer mehr Fernwartungszugänge geschaffen, die zum Teil auch Wireless zugängig sind. Dabei handelt es sich selten um ein lokales WLAN, sondern auch um Mobilfunkstandards wie GSM oder UMTS – das sind öffentliche Zugänge. Viele Unternehmen wissen daher nicht, welche offenen Zugänge in ihrer Produktionsanlage vorhanden sind.

Wie können sich Unternehmen denn vor solchen Angriffen schützen?

Grundsätzlich müssen die Firmen erst mal ein sogenanntes Informations-Sicherheits-Management-System gemäß der ISO-Norm 27001 installieren. Zudem ist es wichtig, die Wirksamkeit der daraus abgeleiteten Sicherheitsmaßnahmen durch Penetration-Tests zu prüfen. Gerade Fertiger, bei denen zunehmend vernetzte Steuerungssysteme die Oberhand haben, müssen IT-Maßnahmen einrichten. So muss beispielsweise geregelt werden, wer Updates in Maschinen einspielen darf, wann und von wem Wartungsfenster benutzt werden dürfen oder wer die vorhandenen Zugänge verwaltet. Zudem braucht ein Unternehmen jemanden, der sich um die IT-Sicherheit und Infrastrukturmaßnahmen kümmert. Im Prinzip funktioniert IT-Sicherheit nur durch ein Zusammenspiel von Hardware-Komponenten, es ist ein ganzheitliches Thema.

Inwiefern spielt die Cloud hierbei eine Rolle?

Die Cloud spielt im Bereich Industrie 4.0 die zentrale Rolle, weil dort die gesamten Daten ausgetauscht werden. Maschinen kommunizieren quasi über Internet, daher werden dort auch Daten zwischengespeichert und auf Daten, wie Log-Daten oder Baupläne zurückgegriffen. Die Cloud ist ein wichtiges Informationsaustausch-Medium. Unternehmen sollten dementsprechend genau wissen, wie der Cloud-Provider mit diesen Daten umgeht: Sind vertrauenswürdige Daten beispielsweise für Jeden zugänglich? Laufen im Hintergrund der eigenen Daten Big-Data-Analysen?

Gerade kleine Unternehmen lagern IT-Prozesse oft aus Kosten- oder Personalgründen aus. Welche Basis-Schutzmaßnahmen empfehlen Sie in diesem Fall?

Auch wenn Unternehmen ihre IT-Prozesse über die Cloud regeln oder an IT-Dienstleister auslagern, sollte es einen Zuständigen im Unternehmen geben, der die Thematik versteht und beispielsweise einen Cloud-Anbieter evaluieren kann. Ich würde allen Firmen empfehlen, in Zukunft kombinierte Fachkräfte zu suchen – also Fachkräfte, bei denen IT-Wissen und Ingenieurwesen in einer Kombination vorliegen. Firmen müssen letztendlich mehr Kompetenz für das Thema IT aufbauen.

Eine weitere Möglichkeit ist – wie es aktuell für bestimmte Unternehmen ab einer bestimmten Größe schon verpflichtend ist – Datenschutzbeauftragte zu engagieren. Da geht es weniger um das Thema der originären IT-Sicherheit, sondern mehr um das Thema Datenschutz: Also wie wird im Unternehmen mit personalisierten Daten umgegangen. Ein weiteres Thema sind Cyber-Security-Checks, für die es ebenfalls spezialisierte Dienstleister gibt, wie TÜV IT. Wir lassen IT-Maßnahmen im Auftrag eines Unternehmens über externe IT-Beauftragte überprüfen, gefundene Schwachstellen werden dann analysiert und in Absprache mit dem Unternehmen werden Lösungen gesucht. Firmen sollten hier aber darauf achten, neutrale Dienstleister zu beschäftigen.

Ist das nicht übertriebene Vorsicht?

Das Geschäft mit Schwachstellen ist riesengroß. Zum einen verkaufen Firmen gefundene Schwachstellen an die Hersteller. Das ist jedoch positiv, weil Hersteller dann reagieren und die Sicherheitslücke im System schließen können. Schlimm wird es, wenn die Schwachstellen auf dem Schwarzmarkt, also im Darknet, angeboten werden. Deswegen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Liste von entsprechend zertifizierten Penetration-Test-Anbietern erstellt, wovon TÜV IT einer der gelisteten ist.

Normen zum Thema IT-Security entwickeln sich nur schleppend. Was behindert die Entwicklung?

Das größte Problem ist, dass Industrieunternehmen und IT-Firmen in bestimmten Punkten unterschiedliche Strukturen und Herangehensweisen haben. In der IT-Welt leben Produkthersteller von Updates: Wenn eine Software auf den Markt kommt und die Nutzer eine Lücke oder ein Problem finden, wird diese über Updates entsprechend ausgebessert. In der Industriewelt wäre dieses Vorgehen undenkbar. Hier treffen zwei Welten aufeinander. Und es ist wichtig, dass diese miteinander sprechen und sich aufeinander einlassen. Wir brauchen „Übersetzer“, die sich in beiden Welten auskennen: Sowohl in der Normenwelt der Industrie, als auch in der IT.

Was muss im Hinblick auf IT-Sicherheit in Unternehmen in den nächsten zehn Jahren noch getan werden?

Es würde zunächst helfen, wenn das Kompendium des BSI für industrielle Steuerungssysteme (ICS) als Grundlage anerkannt würde, die dort vorgeschlagenen Maßnahmen wirklich umzusetzen. Dabei handelt es sich um klare Empfehlungen, wie solche Steuerungsanlagen in Zukunft aussehen müssten, inklusive Richtlinien zu Security und Strukturen. In den nächsten zehn Jahren besteht die Aufgabe darin, immer mehr der ICS-Hersteller zu sensibilisieren. Und wenn sie nicht sensibilisiert werden können, sie in irgendeiner Form zu verpflichten, Security-Aspekte mit einzubauen. Die Kernelemente der IT-Sicherheit, also Sensoren und Aktoren, das Thema Datenhaltung und Entscheidungsprozesse, müssen künftig IT-sicherheitstechnisch überprüft werden.

Das Positive ist , dass die Hersteller von industriellen Steuerungssystemen auch die Ersten sind, die bei uns bezüglich sicherheitstechnischer Aspekte in ihren Steuerungen anfragen. Denn genau hier treffen zentrale Aspekte zusammen: Wenn man das Thema IT-Sicherheit im Entwicklungsprozess eines ICS-Systems nicht berücksichtigt, kann es im Nachgang sehr teuer werden. Das sind auch genau die Gespräche, die mich positiv für die Zukunft stimmen.