Angriffe auf Industrieanlagen und kritische Infrastrukturen sind zurzeit eines der Themen in den Medien. Wie groß ist die Gefahr wirklich?
Die Totschlag-Antwort auf diese Frage ist normalerweise der Stuxnet-Wurm, der unter anderem in iranischen Atomanlagen entdeckt wurde. Aber auch in Deutschland gab es schon Fälle von Computersabotage in Industrieanlagen, durch die ein massiver Schaden entstand. Am besten bekannt ist in diesem Zusammenhang vielleicht der Angriff auf einen Hochofen in Deutschland im Jahr 2014, der sich aufgrund der Manipulationen in einem nicht definierten Zustand befand. Wenn man bedenkt, dass man einen solchen Prozess nicht mal eben schnell herunterfahren kann, wird einem das Ausmaß vielleicht klarer. Aber ich denke, die bewusste Sabotage hat noch eine ganz andere Dimension. Die Auswirkungen eines gezielten Angriffs auf Kraftwerke in Deutschland oder allgemein im europäischen Verbundnetz hätte unter Umständen europaweite Folgen. Aus dieser Perspektive ist die Gefahr mehr als real. Dies wird ja auch aktuell vom BSI bestätigt, welches über großflächige Angriffe auf deutsche Energieversorger berichtet.
Welche Gefahren sehen Sie derzeit noch für die Industrie?
Suchmaschinen wie shodan.io, censys oder zoomeye erlauben jedermann die bequeme Suche nach Geräten. Gerät kann dabei ein Webserver oder eben auch ein HMI-System sein. Man muss also inzwischen davon ausgehen, dass, sobald man Anlagen oder Komponenten erreichbar macht, früher oder später jemand vorbeikommt und mal versucht zu spielen. Und alleine schon dieses nicht zielgerichtete Spielen kann fatal sein. Ganz abgesehen von den Akteuren, die zielgerichtet agieren – das ist dann eine ganz andere Liga.
Viele IT-Firmen greifen diese Themen auf und bemängeln die fehlende Sicherheit. Fehlt es wirklich an Sicherheit im industriellen Umfeld?
Die Diskussion um mangelnde Sicherheit halte ich für massiv gefährlich. Einem Anlagenbauer zu unterstellen, er verstehe nichts von Sicherheit, obwohl er seit über zehn Jahren dafür Sorge trägt, dass seine Maschinen keine Gefahr für Mensch und Umwelt darstellen, halte ich für vermessen. Wir haben im Deutschen leider den Nachteil, dass man den Begriff Sicherheit sowohl für Safety als auch für Security nutzen kann. Und im Bereich Safety kann man ruhigen Gewissens behaupten, dass die jeweils Verantwortlichen sehr genau wissen, was sie tun.
Und wie sieht es bei der Security aus?
Hier gibt es in der Tat Nachholbedarf. Das hat meines Erachtens aber nichts mit der oft unterstellten Ignoranz zu tun. Vielmehr war Security im Gegensatz zu Safety in der Vergangenheit nicht Bestandteil von Normen und Regularien zur Risikobewertung. Genau dies hat sich mit aktuellen Normen beziehungsweise Revisionen von Normen wie IEC61511 (Funktionale Sicherheit) oder den veröffentlichten Modulen der IEC62443 massiv verändert. Security ist dort elementarer Bestandteil geworden. Nichtsdestotrotz ist Security, manchmal ganz im Gegensatz zur Office-IT, kein Selbstzweck, sondern Mittel zum Zweck – und zwar im Kontext und Umfang des industriellen Bedarfs.
Betreiber beklagen sich oft über unpassende Lösungen aus dem Bereich der Office-IT. Spiegelt sich das für Sie auf Anbieterseite wieder?
Grundsätzlich sollte man zwischen Security-Produkten und der darin eingesetzten Technologie trennen. Viele in Office-IT eingesetzte Technologien machen auch im industriellen Umfeld durchaus Sinn. Nur deren Darreichungsform als Office-IT-Produkt bereitet oft Bauchschmerzen. Dinge, die im Office-IT-Umfeld selbstverständlich sind, zum Beispiel zentrale Verwaltung über jederzeit erreichbare Netze, automatische Updates und Co. können im Industrieumfeld kritisch sein. Hier kommen noch ganz andere Einschränkungen zum Tragen. Und Anbieter sind gut beraten, diese Anforderungen zu verstehen und zu adressieren. Oder, um es aus einer anderen Perspektive zu beleuchten: Je näher man netztechnisch an der Office-IT ist, umso mehr können auch Standard-Office-Produkte eingesetzt werden. In die andere Richtung sind immer mehr spezifische Anpassungen notwendig. Bis man letztendlich nur noch über Technologien spricht, die vom Entwickler angepasst bei der Produktentwicklung integriert werden.
Wie kann man die Zusammenarbeit zwischen IT und OT verbessern?
Um es auf den Punkt zu bringen: Verständnis! Beide Welten haben im Laufe der Zeit eigene Begrifflichkeiten und Vorgehensweisen entwickelt. Das heißt, auch wenn inhaltlich das gleiche gemeint ist, so wird es häufig mit anderen Begriffen und in einem anderen Kontext genutzt. An dieser Stelle sind aktuelle Normen wie die IEC62443 als Wörterbuch für Begriffe und Konzepte überaus nützlich. Diese erlauben es der IT, den Kontext und auch die Begrifflichkeiten zu verstehen. Dabei sehe ich diese Aufgabe bewusst bei der IT. Denn im industriellen Umfeld ist für mich die IT der Dienstleister, der die Sprache des Auftraggebers lernen muss - und nicht umgekehrt!
Weitere Beiträge zum Thema Industrial Security finden Sie in der A&D-Ausgabe 10-2018 ab Seite 71.