Herr Amstad, wie bewerten Sie aus Sicht von Siemens die aktuelle Diskussion rund um Cyber Security im MEM-Umfeld?
Es ist vielen Unternehmen bewusst, das die aktuelle Bedrohungslage Handlungen erfordert. Wir sehen jedoch, dass Unternehmen zwar in die Sicherheit ihrer IT-Systeme investieren, aber dabei den Schutz der industriellen Netzwerke und Systeme – OT – oft vernachlässigen. Dies hat verschiedene Gründe. Einerseits ist das IT-Security-Personal oft nicht vertraut mit den Technologien und Anforderungen der industriellen Automation, in der Automatisierung fehlt hingegen oft das nötige Security-Knowhow.
Oft hat man als Aussenstehender auch das Gefühl, dass zu wenig über das Thema diskutiert wird.
Richtig, das ist sicherlich ein weiteres Problem, dass nicht darüber gesprochen wird. Dass wir nur die Spitze des Eisbergs sehen, ist eine grosse Gefahr. Denn wenn sich Unternehmen mehr über Bedrohungen und Angriffe austauschen würden, hätten wir ein besseres Bild über die aktuellen Gefahrenszenarien und könnten Massnahmen besser steuern und koordinieren. Das ist unter anderem ein Grund, warum Siemens und namhafte Partner das sogenannte «Charter of Trust» initiiert haben.
Wie könnte man hier auf Unternehmensebene gegensteuern?
Ich vergleiche die Diskussion rund um industrielle IT-Sicherheit gerne mit dem Thema «Safety», also Anlagensicherheit. Heute ist es für jedes Unternehmen absolut normal, dass bei der Planung sowie dem Betrieb von Anlagen «Safety» integraler Bestandteil ist. Wenn wir die Chancen der Digitalisierung nutzen möchten, muss genau dieses Denken auch für den Bereich Security gelten. Security muss ein integraler Bestandteil der Digitalisierungsstrategie eines Unternehmens sein. Dies ist heute im Bereich der Corporate IT oft der Fall, jedoch nicht für die industrielle IT. Security wird in Zukunft ein Differenzierungselement im Wettbewerb werden.
Von welcher Seite sehen Sie das grösste Gefahrenpotenzial, wenn es um den Angriff auf IT-Systeme in den produzierenden Unternehmen geht: Kriminelle Attacken von aussen mit Ransomware? Politisch motivierte Hackerangriffe mit Malware? Schlampig agierende oder falsch instruierte Mitarbeitende, die mit Malware infizierte Software hochladen?
Zusammenfassend läuft es immer auf die drei Themen Vertraulichkeit, Integrität und Verfügbarkeit von Daten hinaus. Je nach Branche und Unternehmen ist die Gefahrenlage und damit das angestrebte Schutzziel sehr unterschiedlich. Beispielsweise steht im Bereich der Logistik die Verfügbarkeit an oberster Stelle. Es geht also weniger um den Schutz von Geheimnissen, sondern vielmehr um das Abwehren von Gefahren, welche zu einer Einschränkung der Anlagenverfügbarkeit führen, beispielsweise durch Malware. Betrachten wir hingegen den Bereich Pharma gehen die Bedrohungsszenarien viel weiter.
Inwiefern?
Wir sprechen hier über den möglichen Verlust von geistigem Eigentum, beispielsweise bei Rezepturen, sowie die Gefahr einer Manipulation von Daten, was natürlich gravierende Folgen haben kann. Da ist in der Regel auch der angestrebte Schutzlevel höher, weil die Firmen damit rechnen müssen, dass Dritte die entsprechenden Mittel aufbringen können, um an die angestrebten Informationen zu gelangen.
Am sichersten wäre es also, erst gar keine Onlineverbindung nach aussen aufzubauen?
Die Gefahren können dabei von innen wie aussen drohen. Es gibt immer noch Unternehmen, die glauben, dass sie, wenn sie sich abschotten, also keine Netzwerkverbindung nach aussen haben, sicher sind. Das ist ein absoluter Fehlschluss. Viele Studien zeigen auf, dass bei einem Grossteil der Vorfälle der Angriffsvektor von innen kam, beispielsweise durch das Personal oder Wartungsfirmen. Dazu kommt, dass mit Technik nur ein Teil der Gefahren in den Griff zu bekommen ist. Der Faktor Mensch ist ein genau so wichtiges Element.
Müsste in punkto Datensicherheit seitens der Politik noch mehr getan werden, oder muss die Industrie hier verstärkt in ihre Sicherheitssysteme investieren?
Beides. Einerseits besteht in der industriellen IT-Sicherheit sehr grosser Nachholbedarf. Oft wird erst etwas unternommen, wenn ein Schaden eingetreten ist. Auf der anderen Seite sehe ich viel Potenzial im Bereich der Sensibilisierung von Unternehmen. Auf der aktuellen Gefahrenkarte des WEF belegt das Thema «Cyber Attacks» Platz 4 und 5. Vergleicht man das Thema Security beispielsweise mit «Safety» oder «Energieeffizienz», gibt es bis auf wenige Branchen so gut wie keine Verpflichtung etwas zu unternehmen. Bedenkt man, dass die Industrie der Versorgungsmotor der Bevölkerung ist, stelle ich die aktuelle Situation stark in Frage.
Schaffen es die Unternehmen überhaupt, mit eigenen Bordmitteln der potenziellen Bedrohungslage Herr zu werden? Oder muss man auf einen der vielen Spezialisten zurückgreifen, die ihre Dienste anbieten?
Hier muss man sicherlich zwischen der Office-IT und der industriellen IT, also OT, differenzieren. Industrielle Kontrollsysteme sind in erster Linie mit dem Ziel einer möglichst hohen Verfügbarkeit entwickelt worden. Das bedeutet, viele Security-Lösungen aus dem IT-Umfeld können nicht eins zu eins in die industrielle Welt übertragen werden, ohne dass die Verfügbarkeit oder die Funktionalität eingeschränkt wird. Dazu kommt, dass OT-Systeme wenig standardisiert und sehr heterogen sind.
Was hat das für Folgen sowohl für die Unternehmen wie auch das Personal?
Oft sind die IT-Security-Teams in Firmen nicht vertraut mit den Anforderungen von Produktionsanlagen. Dies führt auch schon mal dazu, dass die beiden Welten nicht miteinander sprechen, weil man sich gegenseitig nicht versteht. Es braucht ein kombiniertes Fachwissen aus den Bereichen Automation und OT-Security, doch dieses Fachpersonal ist noch sehr rar. Fachleute mit diesen Kenntnissen müssen oft extern bezogen werden.
Aber wie können dann Produktionssysteme aus Sicht von Siemens am besten abgesichert werden, um Angriffen von aussen standzuhalten?
Gefahren für einen industriellen Prozess können von sehr heterogener Art sein. Sie können von aussen wie von innen erfolgen und von unterschiedlich gut gerüsteten Angreifern ausgehen. Daher ist es wichtig, mit einem vielschichtigen Schutzkonzept zu arbeiten, um den Prozess bestmöglich mit mehreren, voneinander unabhängigen Hürden zu schützen. Wenn beispielsweise die Firewall überwunden wurde, weil der Angreifer die Anlage physisch betreten hat, müssen weitere Schutzmechanismen auf den Endgeräten greifen.
Wie kann diese Umsetzung in der Praxis aussehen, und welche Strategien stehen dafür zur Verfügung?
Zu diesem Zweck arbeiten wir mittels einer tiefengestaffelten Verteidigung – «Defense in Depth» – entsprechend den Empfehlungen der IEC 62443. Defense in Depth arbeitet im Zwiebelprinzip auf drei Ebenen: Anlagensicherheit, Netzwerksicherheit, Systemintegrität. Über alle drei Bereiche hinweg nimmt das Thema Security Monitoring einen immer wichtigeren Stellenwert ein. Mittels kontinuierlicher Datenanalyse und deren Korrelation, beispielsweise die Analyse von Log-Files oder das Überwachen des Netzwerkverkehrs sowie des Abgleichs mit Threat-Intelligence-Informationen, können Security-relevante Ereignisse frühzeitig erkannt und es kann entsprechend darauf reagiert werden.
Spielen wir das an einem konkreten Fall durch: Ein KMU möchte seine Produktionsmittel vernetzen, um besser mit seinen Kunden interagieren zu können, aber auch, um seine Auslastung zu optimieren. Dazu strebt es eine Cloudlösung an, um seinen Maschinenpark optimal betreuen zu können. Was würden Sie ihm raten, wie es hier vorgehen soll?
Zu Beginn empfehle ich immer den aktuellen Sicherheitsstand mittels eines Assessments, beispielsweise nach IEC 62443, zu bestimmen. Darin wird nicht nur den technischen Faktoren Rechnung getragen, sondern auch den Prozessen und dem Faktor Mensch. Es hilft, sich an einer Norm zu orientieren, denn damit kann man die Entwicklung des Sicherheitsstands über die Zeit verfolgen und auch gegenüber Dritten entsprechend argumentieren. Dieses Vorgehen ermöglicht im zweiten Schritt, die Massnahmen nicht nur technisch, sondern auch ökonomisch zu betrachten. In die ökonomische Betrachtung fliesst auch eine Risikoanalyse ein. Zuerst muss gemeinsam geklärt werden, was «sicher» für den Kunden bedeutet. Genauer gesagt, definieren wir gemeinsam ein angestrebtes Schutzniveau basierend auf einer Risiko- und Gefahrenbetrachtung. Dementsprechend unterschiedlich fällt auch die Implementierungsstrategie aus.
Gibt es Siemens-intern Beispiele für die erfolgreiche Umsetzung von Cyber-Security-Konzepten?
Siemens hat selbst eigene Produktionswerke und kämpft daher mit denselben Herausforderungen. Daher stammen viele der Security-Konzepte aus der Siemens-eigenen Anwendung. Damit können wir auch sicherstellen, dass unsere Leistungen auch praxistauglich sind; wir nutzen selbst, was wir verkaufen. Dies gilt natürlich auch für das Elektronikwerk Amberg, welches Siemens' Vorzeigebeispiel für eine digitale Fabrik ist. Hier hat der Schutz vor Industriespionage, Manipulation oder Hackeraktivitäten hohe Priorität. Die oben genannten Konzepte wie Defense in Depth oder auch Monitoringsysteme kommen hier zur Anwendung und werden auch gelebt sowie kontinuierlich optimiert.
Wird sich in Zukunft die potenzielle Bedrohungslage eher noch verschärfen, oder werden die Unternehmen in ein paar Jahren bei dieser Frage entspannter reagieren können?
Es gibt leider keinerlei Indizien dafür, dass sich die Lage entspannen wird. Im Gegenteil. So gut wie alle wissenschaftlichen Prognosen sagen eine Erhöhung der Gefahrenlage im Bereich der industriellen IT voraus. Das hat einerseits mit der schnell voranschreitenden Digitalisierung und der damit verbundenen Vernetzung der Systeme zu tun. Der aus meiner Sicht noch wichtigere Faktor ist aber, dass Cyber-Kriminalität ein sehr lukratives und immer professionelleres Geschäftsfeld geworden ist, was den Trend natürlich anheizt. Dazu kommt, dass gerade im Bereich der industriellen IT-Sicherheit Fachpersonal Mangelware ist.