Interview mit Dr. Jürgen Dürrwang "Cybersecurity ist kein nice-to-have mehr"

Anbieter zum Thema

ITK Engineering GmbH

CADFEM Germany GmbH

Schneider Electric GmbH

UberCloud

Je stärker industrielle Prozesse digital und vernetzt sind, desto größer wird die Gefahr durch Cyberangriffe. Penetration Tests erhöhen die Sicherheit von Produkten und Systemen. Dr. Jürgen Dürrwang (ITK Engineering) erklärt im Interview ihre Komplexität und den Nutzen von KI.

Digital Engineering Magazin (DEM): Herr Dr. Dürrwang, für Konstruktions- und Engineering-Unternehmen ist Cybersecurity so wichtig wie nie zuvor. Warum ist das aus Ihrer Sicht so?

Dr. Jürgen Dürrwang: Cybersecurity ist heutzutage nicht mehr verhandelbar. Das gilt für die Konstruktions- und die Entwicklungsbranche, aber auch für alle anderen Industriezweige. Grund sind die steigende Digitalisierung und Vernetzung: Entwicklungs- und Herstellungsprozesse laufen automatisiert ab, Maschinen interagieren untereinander in Echtzeit, Daten werden gesammelt und mit Künstlicher Intelligenz verarbeitet. All das erhöht die Anzahl potenzieller Einfallstore für Cyberangriffe. Cybersecurity und der Schutz vor solchen Angriffen sind also nicht mehr nice-to-have, sondern überlebenswichtig. Folgendes Zitat bringt das auf den Punkt: „Cybersecurity ist vergleichbar mit den Bremsen eines Autos: Sie macht einen langsamer, ehe sie dafür sorgt, dass man beschleunigen kann.“ Wer Cybersecurity also ernst nimmt, muss zuerst in Technologie, Expertise und Mindset investieren, um dann Wettbewerbsvorteile ausspielen zu können.

DEM: Welche Rolle spielen dabei Penetration Tests?

Dr. Jürgen Dürrwang: Sie sind ein zentrales Element einer durchdachten Cybersecurity-Strategie. Mit Penetration Tests identifizieren Experten Sicherheitslücken in Produkten oder einer IT-Landschaft, um sie rechtzeitig zu schließen. Dabei nutzen die Pentester Methoden, die auch ein Hacker anwenden würde, um das System zu penetrieren. Klassischerweise besteht ein Pentest aus Aufklärungsphase, Schwachstellenbewertung und abschließend der Berichterstattung. Oftmals geht es dabei aber nicht darum, Produkte und Systeme isoliert zu analysieren, sondern vielmehr im Gesamtsystem. So erfordern beispielsweise Pentests für einen Ladeinfrastrukturbetreiber auch Kenntnisse der IT-Infrastruktur einer Stadtverwaltung oder der IT-seitigen Konzeption von Fahrzeugen.

Wer Cybersecurity ernst nimmt, muss zuerst in Technologie, Expertise und Mindset investieren, um dann Wettbewerbsvorteile ausspielen zu können.

Dr. Jürgen Dürrwang

DEM: Aktuelle Regularien wie die NIS2-Richtlinie oder der Cyber Resilience Act definieren den Rahmen für Cybersecurity neu. Welche Auswirkungen hat das auf Ihre Arbeit? 

Dr. Jürgen Dürrwang: Durch die neuen Richtlinien müssen immer mehr Produkte sowie ganze Systeme Penetration Tests unterzogen werden. Wer also IT fokussiert testet, deckt nicht die gesamte Palette ab, schließlich braucht es Expertise im Testen eingebetteter Systeme, also mit Steuergeräten, Airbagsystemen oder medizinischen Robotern. Genau darin liegt eine Stärke von ITK Engineering: Unser Kerngeschäft ist die Entwicklung von Embedded-Geräten, sodass unsere Pentester neben der IT-Expertise auch über Embedded-Knowhow verfügen. Zusätzlich zu dieser Verknüpfung ist es für Unternehmen entscheidend zu wissen, welche ihrer Assets schützenswert sind, um den Umfang eines Pentests möglichst genau zu bestimmen. Hierbei sollten auch andere Security-Artefakte wie beispielsweise die Bedrohungsanalyse berücksichtigt werden.

DEM: Künstliche Intelligenz ist in aller Munde. Kann KI auch das Pentesting von Morgen beeinflussen?

Dr. Jürgen Dürrwang: Wir sprechen hier nicht erst über die Zukunft, sondern über das Heute. Künstliche Intelligenz (KI) ist bereits ein wichtiger Faktor für das Pentesting. In abgesteckten „Laborumgebungen“ gibt es erste Demonstratoren für KI-basierte Pentests, um fundierte Erfahrungen mit der KI zu sammeln. Dies ist besonders wichtig, da beim Einsatz von KI schon kleinere Unterschiede in den Konfigurationen zu false negativen Ergebnissen führen. Grundlage vieler Pentests ist die physikalische Interaktion mit dem Zielsystem, was mit einer KI nicht möglich ist. Und für „destruktive Tests“ bleibt eine KI nach wie vor unberechenbar. Ihre Stärken spielt KI aber als Assistenzsystem aus: hier hebt sie die Effizienz im Penetration Testing auf ein neues Level, beispielsweise, wenn man schnell Testskripte erstellen will, die dann vom Menschen ausgeführt werden. Große Vorteile verspricht KI auch dann, wenn große Datenmengen schnell interpretiert werden müssen.

DEM: Welche Rolle spielen Cloud-Dienste für Ihre Aktivitäten?

Dr. Jürgen Dürrwang: Cloud-Technologien bieten viele Vorteile, erhöhen aber auch die Gefahr von Cyberangriffen. So muss ein heutiges Auto nicht mehr vor Ort gehackt werden, sondern lässt sich direkt über die Cloud attackieren. Generell sind Cloud-Plattformen aber in gutem, relativ sicherem Zustand. Klassische Schwachstellen in der Software sind hier selten zu finden. Anfällig dagegen sind Schnittstellen von scheinbar sicherer Software, wo wir Fehlerkonfigurationen entdecken, so wie bei der Vergabe von Zugriffsrechten. Wirft man als Nutzer den Blick auf die Sicherheit der Cloud, gilt es immer, seine eigenen Applikationen zu testen, ohne dabei die Infrastruktur des Cloud-Anbieters anzugreifen.

DEM: Können Sie uns Einblicke in konkrete Erfahrungen aus Ihrem Arbeitsalltag geben?

Dr. Jürgen Dürrwang: Die Arbeit als Pentester ist sehr facettenreich und je nach Produkt und System, das es zu testen gilt, sehr unterschiedlich. Für uns besonders spannend sind hybride Systeme, also Systeme, die beispielsweise aus einem Backend Webservice, einer Smartphone App und einem im Fahrzeug verbauten ECU-Steuergerät bestehen. Genau diese Konstellationen sind für Angreifer sehr interessant, weshalb unserer Arbeit besondere Bedeutung zukommt. Auch in der Medizintechnik gibt es viele Ansatzpunkte, mit denen wir uns auseinandersetzen. Denken Sie nur an die sensiblen und vertraulichen Patienten- und Therapiedaten, die medizinische Geräte sammeln und über Cloudanwendungen auswerten. Entscheidend ist es, dass wir immer erst die einzelnen Komponenten auf ihre Sicherheit zu prüfen, ehe wir dann systemverbundene Schwachstellen zu Killchains verbinden. Es geht um den Blick aufs Gesamtsystem und darum, Penetration Tests für Embedded-, Web- und Mobile-Anwendungen aus einer Hand anbieten zu können.

DEM: Herzlichen Dank für das Gespräch, Herr Dr. Dürrwang!