Wie würden Sie die aktuelle Sicherheitslage von Geräten in der Industrie einschätzen?
Wenn wir über die Industrie reden, haben wir vielfältige Anwendungsbereiche von industriellen Produkten. Das geht von Standardkomponenten wie der IT aus dem Office-Bereich, das heißt PC-Systeme mit Standard-Betriebssystem, bis hin zu sehr spezialisierten Industriekomponenten wie zum Beispiel Steuerungssysteme.
Was wir bei Siemens sehen ist, dass unsere Kunden explizit Standardprodukte in der Industrie, das heißt Standardkomponenten aus dem Office-Bereich, wollen. Denn dadurch sinken die Kosten und sie nutzen Standard-Know-how. Aber so kommen auch die Probleme aus dem Office-Bereich mit in die Industrie.
Das sind Viren, Malware und potenzielle Angriffsszenarien von Profis. Das sind Angreifer, die ein hohes Know-how haben und sehr gute Tools. Ich gebe Ihnen ein Beispiel. Die Anzahl der Phishing-Mails, in der Malware per E-Mail standardmäßig an Millionen von E-Mail-Accounts geschickt wird, ist momentan rückläufig. Allerdings nehmen die Angriffe in einem anderen Bereich zu.
Hier arbeiten Angreifer mit unterschiedlichem Know-how zusammen und versuchen, ein oder zwei herausragende Ziele anzugreifen, um dort Gewinn zu machen. Das passierte einem Krankenhaus in den USA, wo man die PCs verschlüsselt hat und das Krankenhaus keinen Zugriff mehr hatte. Erst als sie 50.000 $ bezahlt haben, lief alles wieder. Das war Erpressung.
Das heißt, im Office-Bereich verändert sich das breite Angriffsszenario hin zu spezialisierten Angriffen. Bei Industriesystemen werden meist nicht nur komplett eigenentwickelte Lösungen eingesetzt, sondern auch zusätzliche Open-Source-Komponenten. Solche offene Software-Komponenten können zusätzlich Sicherheitslücken enthalten. Auch dies müssen die Hersteller von Industriesystemen berücksichtigen.
Wie kann man mit diesen Gefahrenpotenzialen, die man vielleicht auch gar nicht kennt, am besten umgehen?
Der große Unterschied zum bereits bekannten Thema Safety ist, dass sich Security kontinuierlich ändert. Bei der funktionalen Sicherheit wird zum Beispiel eine Maschine vom TÜV nach den Safety-Standardisierungen abgenommen und auch in zehn Jahren noch genauso sicher sein.
Bei Security ist es fundamental anders. Eine Lösung, die heute als relativ sicher betrachtet wird, kann schon in Kürze als relativ unsicher betrachtet werden, weil neue Entwicklungen ganz neue Angriffspotenziale eröffnen. Und deswegen müssen Unternehmen kontinuierlich am Ball bleiben. Das Stichwort ist der kontinuierliche Verbesserungsprozess bzw. PDCA, Plan-Do-Check-Act, eine Thematik, die auch in der IEC 62443 definiert ist.
Das ist für Siemens der führende Industrial-Security-Standard und beinhaltet einen kontinuierlichen Security-Managementprozess. Teile dieses Standards basieren auf der ISO/IEC 27000-Reihe. Das ist ein zum Beispiel auch schon bei Banken eingesetzter Standard für den Betrieb eines kontinuierlichen Security Managements.
Aber Fakt ist, dass die meisten Unternehmen keinen Notfallplan haben, wenn wirklich mal ein Angriff stattfindet.
Die Frage ist, wie weit man Security Management betreiben will. Es ist so, dass die IEC 62443 gewisse Prozesse definiert, wie man handeln soll, um kontinuierlich die Sicherheit zu erhöhen. Ein Teil davon ist das „Incident Handling“, das beschreibt was zu tun ist, wenn ein Vorfall passiert.
Man muss aber ganz konkret zwischen Hersteller und Betreiber unterscheiden. Denn wenn auf einem Industrie-PC ein Virenscanner einen Alarm anzeigt, stellt sich die Frage, wer ist zuständig? Ist es derjenige, der den Industrie-PC installiert und konfiguriert hat oder der aktuelle Schichtleiter? Oder wer ist zuständig, wenn das BSI, Forscher oder das Unternehmen selbst eine Sicherheitslücke in einem Produkt gefunden haben? Wie wird damit umgegangen? Werden Updates offen zur Verfügung gestellt und wie schnell passiert das?
Sie haben als eine Schutzmaßnahme den Virenscanner angesprochen. Aber diese erkennen nur Viren, die schon bekannt sind.
Der Virenscanner ist sozusagen die erste Stufe. Letztendlich gibt es aber auch erweiterte Möglichkeiten wie das „Whitelisting“. Hier wird festgelegt, dass nur bestimmte Applikationen, denen man traut, eine sogenannte Whitelist, zugelassen werden. Das ist im Industrieumfeld eine sehr weit verbreitete Technik, um zum Beispiel Windows-XP-Systeme, die schon seit mehreren Jahren keine Windows-Sicherheitsupdates mehr erfahren, soweit wie möglich abzusichern.
In der Summe braucht man immer die Kombination aus mehreren Maßnahmen. Denn wenn Sie sich heute die Security Reports anschauen, gibt es nicht nur Viren, die eigene Programme sind, sondern die zum Beispiel auch in PDF-Dokumenten eingebettet sind. Das heißt, wenn man ein PDF-Applikation in einer Whitelist freischaltet, zum Beispiel den Acrobat Reader oder ein anderes Tool, dann könnte trotzdem ein Angriff funktionieren. Und hier würde ein Virenscanner diese schädliche Signatur im PDF-Dokument erkennen.
Wieso wird Büro-IT in der Industrie eingesetzt? Diese Software war nicht für die Industrie gedacht und hat deswegen auch ganz andere Sicherheitsstandards.
Unsere Kunden verlangen danach. Zum Beispiel, das sie kein eigenes Betriebssystem wollen, welches nur spezielle Fachleute betreuen können. Hier besteht der Wunsch nach Standardsystemen, und das sind heutzutage in industriellen Anwendungen in der Mehrheit Windows-basierte Industrie-PC.
Im Zuge der Digitalisierung kann das auch Potenzial heben, etwa mit Standardkomponenten oder Komponenten-basierten Entwicklungen. Zum Beispiel können Standard-Komponenten verwendet werden, die über Interfaces zusammengeschaltet werden. Das sind oft Lösungen, die schon im IT-Umfeld eingesetzt worden sind.