„Unternehmenswissen vor Zugriffen besser schützen“

Werner Möller werner.moeller@konradin.de

Seit gut einem Jahr gehört Innominate zu Phoenix Contact. In welchem Bereich sind die Aktivitäten angesiedelt?

Seewald: Wir sind in den Geschäftsfeldern Industrielle Netzwerksicherheit und Sichere Fernwartung für Maschinen und industrielle Anlagen tätig Die Netzwerksicherheits-Geräte mGuard besitzen Funktionalitäten, die Router, Firewall, Virtual Private Network, Quality of Service und Angriffserkennung unterstützen. Das wird ergänzt durch eine hoch skalierbare Device Management Software…

Bibelhausen: …und wir sind froh, dass Innominate Teil der PhoenixContact-Gruppe ist, weil wir den Security-Trend in der Automatisierungstechnik bestätigt sehen. Innominate agiert mit großer unternehmerischer Freiheit im Technologiepark Adlershof in Berlin.

Welche Früchte hat die Zusammenarbeit bereits getragen?

Bibelhausen: Wir sind mit Innominate jetzt voll lösungsfähig, wie es beispielsweise die Automobilindustrie fordert, aber auch in neuen Märkten sind wir nun gut aufgestellt. Wir konnten mit den mGuard-Geräten eine Programmlücke schließen und nutzen Synergien bei den gemeinsamen Entwicklungen, beispielsweise hinsichtlich Plattform und mechanischen Ausführungen.

Seewald: Wir unsererseits haben jetzt die Möglichkeit, durch Phoenix Contact weltweit zu agieren. Für die Kunden hat die Zugehörigkeit zur Phoenix Contact-Gruppe den Vorteil, dass bei der Entscheidung für unsere Produkte und Lösungen eine Investitionssicherheit gegeben ist. Gerade in unseren Märkten ist das sehr wichtig.

Wie groß ist der Markt für sicheres Vernetzen und Fernwarten via Internet?

Bibelhausen: Wir sehen in der industriellen Automatisierung einen kleinen, aber stark wachsenden Markt, der allerdings noch auf allen Seiten erklärungsbedürftig ist. Auch müssen über TCO-Ansätze die wirklichen Nutzen erst deutlich gemacht werden.

Seewald: Das sehe ich auch so. Neben der klassischen Absicherung von Netzen können beispielsweise durch die Ferndiagnose und die Ferninbetriebnahme von Maschinen und Anlagen hohe Kosten gespart werden. Zudem kann ein zunehmender Anteil unserer Kunden heute nicht mehr nur Maschinen als solche verkaufen, sondern beispielsweise die „Fräspräzision“ einer Fräsmaschine oder die „Druckluft“, die ein Kompressor liefert. Dazu müssen, ähnlich wie bei der Energieabrechnung, Verbrauchsdaten erfasst und – immer öfter – über das Internet übertragen werden. Das erfordert dann allerdings auch die Absicherung dieser Informationsübertragung. Und hier kommt Innominate ins Spiel.

Wer ist Ihre Hauptzielgruppe?

Bibelhausen: Alle Anwender von Industrial-Ethernet, und das in den nächsten zwanzig Jahren. Wir denken auch schon darüber nach, mGuard als Software in jede Automatisierungskomponente zu implementieren, um den einzelnen Sensor zu schützen.

Seewald: Innominate hat sich vor einigen Jahren auf die Absicherung industrieller Kommunikation auf Basis des Ethernet fokussiert. Wir partizipieren von dem Trend der zunehmenden Verbreitung von Ethernet im industriellen Umfeld. Unsere Zielgruppe sind die Anlagenbetreiber und Maschinenbauer.

Wie beurteilen Sie die heutigen und zukünftigen Bedrohungen?

Bibelhausen: Über reale Gefahren können Sie mittlerweile fast täglich in der Zeitung lesen. Der deutsche Verfassungsschutz liefert beeindruckende Zahlen, auch dazu, welche Ressourcen in der Industriespionage aufgewendet werden. Da sollte man sich besser wappnen, wenn man, wie viele deutsche Unternehmen, von Wissen, Ideen und Innovationen lebt.

Seewald: Lassen Sie mich die Bedrohungen durch Beispiele illustrieren. 2007 hat es in den USA in einem Netz des Atomreaktors Browns Ferry einen sogenannten Broadcast-Sturm einer Steuerung gegeben, der zum Abschalten führte. Darüber hinaus kommt es oft unabsichtlich zu Infektionen durch Fremdsysteme, beispielsweise durch den ungesicherten Zugang von Laptops der Servicetechniker.

Sind ihre Konzepte Speziallösungen oder Standardprodukte?

Seewald: Beides, denn ein Gerät in eine Maschine zu schrauben, reicht nicht. Unsere Kunden stehen durchaus vor der Herausforderung, Sicherheitskonzepte zu entwickeln, welche dann in vielen Fällen mit mGuard Produkten von Innominate umgesetzt werden.

Bibelhausen: Wir folgen hier quasi dem Office-Bereich, denn die Firewall ist ja zunächst in der klassischen IT aufgetaucht, in den Firmen-Netzwerken. Und jetzt auch im Privatbereich und hat hier auch die höchste Akzeptanz. Wir arbeiten daran, diese Technologien den industriellen Anforderungen anzupassen.

Gibt es schon Standards oder Normen für den Schutz vor dem Fernzugriff?

Bibelhausen: Hardwaretechnisch schon, insbesondere bei den Steckern und Kabeln. Softwaretechnisch ist es thematisiert und findet sich bisher meist nur in Empfehlungen wieder. Aber eindeutige Standards gibt es derzeit noch nicht für unterschiedliche Vernetzungen wie Profinet und andere in der Industrie.

Seewald: Das Thema sicherer Fernzugriff ist bereits aus dem Office-Umfeld bekannt. Hier gibt es durchaus Protokolle wie zum Beispiel IPsec (Internet Protocol Security), welche die sichere Datenübertragung auch im industriellen Umfeld sicherstellen.

Muss eigentlich jeder Mausklick überwacht werden?

Bibelhausen: Natürlich nicht, aber jede Bewegung oder jede Kommunikation hinterlässt Spuren. Eigentlich haben wir zwei Szenarien. Die einen interessieren sich für Informationen und können nicht genug haben, die anderen ertrinken darin und versuchen zu selektieren. Es kommt auf die Anforderung an. Hier müssen wir in unserer Wissensgesellschaft unterscheiden und auf die richtigen und wichtigen Informationen konzentrieren. Diese müssen geschützt und in ihrer Nutzung überwacht werden. Auch die Unternehmen müssen schon im Feld differenzieren, wer welche Daten bekommt. Die Identifizierung ist dessen ist ganz wichtig.

Wie muss ich mir das vorstellen?

Seewald: Ich gebe mal das bildliche Beispiel eines Pförtners, der einen Besucher mit großem Rollkoffer in die falschen Türen lässt. Übersetzt in die Welt der industriellen Netze befinden sich derzeit viele Unternehmen in dieser Phase.

Bibelhausen: Wenn man heute die Ausprägung eines Netzes erfragt, dann bekommt man je nachdem, wen man fragt, unterschiedliche Antworten. Das hat aber nichts mit der Kompetenz der Mitarbeiter zu tun, sondern mit der Komplexität der Systeme.

Helfen Ihnen denn die Verbände?

Seewald: Natürlich sind beispielsweise der ZVEI oder der VDMA hilfreich, indem sie auf Gefahren hinweisen und aufklären. Es gibt Plattformen, die auch Innominate unterstützt, wo Anwender und Anbieter kräftig diskutieren.

Werden Datenunfälle dokumentiert?

Seewald: Das wünschen wir uns. Leider liegt es in der Natur der Sache, dass die Geschädigten nur sehr ungern darüber berichten, wenn zum Beispiel Prozess- oder Endkunden-Daten in falsche Hände kommen.

Gibt es Gewährleistungsansprüche bei versagender Sicherheit?

Seewald: „Versagende Sicherheit“ ist zu unkonkret. Sicherheit ist vielseitig und Versagen kann Datenverlust, unerwünschten Zugang oder gar das Versagen von Maschinen bedeuten. Schutzeinrichtungen auf Basis unserer Produkte sind zuverlässig und seit über zehn Jahren im Einsatz.

Bibelhausen: Wir müssen allerdings mit dem Risiko leben, dass es Leute gibt, die auch unsere Schutzeinrichtungen knacken können. Das gibt nicht nur Anlass zu Klagen, sondern auch zu Lernen. Im Grunde geht es um Vorsprünge und darum, dass Security-Lösungen den Angreifern immer einen Schritt voraus sind.

In welche Richtung gehen die Entwicklungen?

Seewald: In vielen Unternehmen ist das Prozesswissen das Kapital, das vor unberechtigtem Zugriff geschützt werden muss, und das zu einem vernünftigen Preis-/Leistungsverhältnis. Wir verfügen mit unserer mGuard-Familie über entsprechende Ansätze und Produkte.

Bibelhausen: Ein Geschäftsmodell ist das Servicegeschäft für Fernwartung und Ferndiagnose, das wir Maschinenherstellern anbieten, die wiederum ihren Kunden damit neue Service-Konzepte bieten können.