Viele Unternehmen tun sich beim Thema Security schwer. Wieso?
Wir unterscheiden grundsätzlich zwischen zwei Arten von Security: Zum einen geht es um die klassische IT-Sicherheit – also beispielsweise um den Versuch, Unternehmenssysteme etwa mit Virenscannern oder Firewalls sicher zu halten. Zum anderen gibt es die Industrial Security. Die ist in der internationalen Normenreihe über die „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“ IEC 62443 festgelegt und ist teilweise kontrovers zur IT-Sicherheit: Sie kommt zum Beispiel beim Maschinenbau zum Einsatz, wo Echtzeitbetrieb vorherrscht. Ist beispielsweise in einem Kraftwerk ein Ventil lose, muss dies umgehend an die Betreiber kommuniziert werden. Verschlüsselungen oder ständige Updates eignen sich für diese Bereiche nicht. Hier gilt das Prinzip „Never touch a running system“. Auch Virenscanner oder andere klassische Sicherheitsmaßnahmen sind ungeeignet, denn sie würden den Produktionsprozess behindern. Das heißt aber auch: Wenn tatsächlich ein System infiziert ist, merkt man das meistens erst, wenn die Produktion stillsteht – und da ist es schon zu spät.
Um sich davor zu schützen, sind aufwendige Maßnahmen erforderlich. Es wird eine Kopie der ganzen Produktionsanlage angefertigt und passiv gescannt. Nicht in der eigentlichen Produktionsumgebung, sondern in einer virtuellen Umgebung. So lassen sich Netzwerkauffälligkeiten beobachten, anhand derer das vorliegende Problem identifiziert werden kann. Dieser Vorgang ist mit hohem Aufwand verbunden und sollte nur von gut qualifizierten Sicherheitsexperten vorgenommen werden. Daher scheuen gerade kleine und mittelständische Unternehmen diesen Schritt. Es herrscht immer noch eine gewisse „Insel-Denkweise“ aus der Vergangenheit: Wenn bis jetzt nichts passiert ist, wird auch künftig nichts passieren. Es ist aber nicht die Frage ob, sondern nur wann etwas passiert.
Es muss also ein Stück weit Aufklärungsarbeit in diesem Gebiet geleistet werden?
Richtig. Um dieser Problematik vorzubeugen und schon den Fachkräften von morgen dieses wichtige Thema näher zu bringen, arbeiten wir zum Beispiel mit vielen Universitäten zusammen. In Augsburg bin ich Lehrbeauftragter an der Hochschule und dort haben wir gemeinsam mit der Hochschule einen neuen Masterstudiengang eingeführt, der sich „Sicherheit in der Industrie“ nennt. Hier lernen beispielsweise Mechatroniker und Informatiker die Automatisierungssprache kennen und steigen so in das Thema Industrial Security ein.
Die Studenten erfahren in diesem Rahmen zudem erste Lösungsansätze, um externe Schnittstellen abzusichern. Dazu zählt unter anderem das Sicherheitskonzept Fujitsu Surient. Dies schützt vor Angriffen, ohne in die eigentlichen Produktionsprozesse, die zum Teil kritisch sind, und in den Echtzeitbetrieb eingreifen zu müssen. Dieses Konzept bietet sich auch für kleinere und mittlere Unternehmen an. Das Prinzip lässt sich ebenfalls für den Schutz vor internen physikalischen Attacken anwenden.
Können Sie an einem konkreten Beispiel zeigen, wie die Kooperation mit einer Universität aussehen kann?
Um zu zeigen, wie kritisch eine Attacke werden kann, haben wir zusammen mit der Universität Lancaster ein kleines reales Wasserkraftwerk mit echten Steuereinheiten aufgebaut. Hieran haben wir demonstriert, wie ein Hack ablaufen kann, und wie Sicherheitslösungen dies verhindern können. Wenn zum Beispiel ein Wassertank voll ist, der Bildschirm des Betreibers aber anzeigt, dass er leer sei und der Betreiber aufgrund dieser falschen Anzeige mehr Wasser in den Tank pumpt, droht dieser zu platzen oder überzulaufen. Um sich davor zu schützen, werden auf kleinster Ebene Mikrochips und Sensoren gefertigt, die jeweils einen „digitalen Fingerabdruck“, also eine eigene digitale Identität, haben. Diese ist faktisch nicht fälschbar – das ist mathematisch nachweisbar. Denn würde jemand den Versuch unternehmen, einen solchen Chip zu klonen, würde er mit derzeitigen Methoden dafür ungefähr 40.000 Jahre benötigen.
Besserer Schutz von Daten auf dem Übertragungsweg ist ebenfalls eines unserer gemeinsamen Projekte: Insbesondere bei vernetzten Produktionsanlagen ist die Quantenkryptographie unheimlich wichtig. Denn wenn die Quantentechnologie kommt, sind viele der klassischen Verschlüsselungen wertlos, da diese innerhalb von Sekundenbruchteilen geknackt werden könnten. Um dennoch weiterhin sicher zu bleiben, entwickeln wir neue Algorithmen und Verschlüsselungsmethoden. Meines Erachtens wird der Durchbruch bei der Quantentechnologie schneller kommen als viele es erwarten.
Wie gehen Sie das Thema Sicherheit strategisch an, wenn Sie IT-Lösungen entwickeln?
Sicherheit ist für Fujitsu ein grundlegender Aspekt bei der Entwicklung von IT-Lösungen. Dabei verfolgen wir einen weitreichenden Ansatz, der umfassende Sicherheit bietet. In diesem Zusammenhang spielt auch „Security by Design“ eine wichtige Rolle. Jede Hardware sollte zum Beispiel über eine eindeutige Identität verfügen und diese „ausweisen“ können – so wie Menschen mit ihrem Pass oder Personalausweis. In der IT können Menschen beispielsweise mittels biometrischer Geräte wie Handvenenscanner eindeutig identifiziert und authentifiziert werden.
Generell setzen wir auf Industriestandards. In unserer globalisierten Welt ist es besonders wichtig, eng mit den Regulatoren unterschiedlicher Länder zusammenzuarbeiten, da die Rechtslage oft sehr unterschiedlich ist. Das ist natürlich auch in der Industrie so. Daher sind wir national und international in verschiedenen Gremien aktiv, um einen Standard für eine länderübergreifende einheitliche Regelung zu schaffen. Das würde es vielen Unternehmen einfacher machen, eine Lösung in allen Ländern zu nutzen. Denn selbst kleinere oder mittelständische Unternehmen haben heutzutage Niederlassungen in verschiedenen Ländern.
Wie wird sich die Security in den nächsten Jahren entwickeln? Zum Beispiel in Verbindung mit künstlicher Intelligenz?
In dieser Hinsicht ist Sicherheit ein zweischneidiges Schwert. Alles was umsetzbar ist, wird auch umgesetzt werden. Hier spielt das Thema Ethik eine große Rolle. Wir bei Fujitsu haben beispielsweise ein fest definiertes Rahmenwerk, innerhalb dessen wir uns auch im Hinblick auf IT-Sicherheit bewegen.
Künstliche Intelligenz ist ein tolles Thema, wenn sie positiv eingesetzt wird, zum Beispiel für automatisierte Wettervorhersagen. Ein weiteres Beispiel gab es auf der diesjährigen Black Hat zu sehen, auf der sich Computer gegenseitig gehackt haben. Wurde ein Computer angegriffen, hat dieser die Attacke mittels KI analysiert und sich dann gegen diese Art von Angriffen immunisiert. Eine spannende Entwicklung! Es gibt aber auch schwierigere Aspekte hinsichtlich künstlicher Intelligenz, zum Beispiel das autonome Fahren. Bevor es zu potenziellen Unfallsituationen mit „autonomen Fahrzeugen“ kommt, muss geklärt werden, wie die Algorithmen funktionieren. Zugespitzt formuliert: Soll ein autonomes Fahrzeug im Zweifelsfall lieber seine Insassen schützen und drei Fußgänger überfahren – oder stattdessen doch besser gegen eine Wand fahren?
Mehr zum Thema Security erfahren Sie in unserem Themenspecial.