Symantec-Interview: Cyber-Security in der Industrie

DEM: Norton Antivirus verbinde ich mit meinem heimischen PC – haben Sie einen schweren Stand bei den neuen Industrie-Kunden aus der Produktion?

Olaf Mischkovsky: Norton Antivirus ist zahlreichen Privatkunden ein Begriff. Unsere Geschäftskunden kennen Symantec aber auch mit unseren Business-Anwendungen für Büro und Industrie. Also sehen uns viele Industrieunternehmen bereits als IT-Sicherheitsexperten. Wir haben festgestellt, dass wir einer der ersten Anlaufpunkte für diese Unternehmen sind, wenn Sicherheitsprobleme auftauchen. Das kann beispielsweise ein konkreter Angriff auf das Unternehmen sein. Wir haben für solche Fälle Teams, die mit dem Unternehmen zusammen versuchen herauszufinden, woher der Angriff kam und welche Ziele verfolgt werden.

DEM: Um solche Angriffe abzuwehren, kann man da die Sicherheitstechnik aus der Bürowelt einfach auf die Industrie- und Produktionsumgebung übertragen?

Olaf Mischkovsky: Es gibt fürs Büro ausgereifte Technologien, die dort sehr gut funktionieren. Prinzipiell lassen sich diese Technologien in die Produktion übertragen. Die Frage ist „nur“, ob diese Übertragung jeweils sinnvoll ist und ob die Maßnahmen in dieser Umgebung ausreichen. Ein in der Bürowelt funktionierendes Beispiel ist das Patch Management, sprich: Wir arbeiten dort sehr erfolgreich mit Sicherheits-Updates. Allerdings ist es nicht möglich, die Sicherheitsmaßnahmen aus dieser Umgebung direkt auf die Produktion zu übertragen. Ein Grund dafür ist, dass die Rahmenbedingungen deutlich anders gelagert sind. Die Maschinen und Anlagen laufen oft 24 Stunden, 7 Tage die Woche und 365 Tage im Jahr. Jeder, der einmal ein Patch auf einen PC gespielt hat, weiß, dass im Anschluss die Systeme durchstarten müssen. Bei Produktionsstätten ist dies deutlich komplizierter: Die Anlagen wurden an einem bestimmten Zeitpunkt zugelassen. Das heißt: Wird ein Patch installiert, zieht dies eine Reihe von Tests und Freigaben mit sich, bevor die Maschinen wieder produzieren dürfen. Als Hersteller von Endpoint-Security-Lösungen sind wir zudem häufig mit der Einstellung konfrontiert, dass auch der Nutzer in der Produktion eine solche Lösung „von der Stange“ für seine Systeme erwartet. So einfach ist es aber in der komplexen heterogenen Produktionsumgebung nicht.

DEM: IT-Systeme sind ja in der Produktion kein neues Thema. Warum kommt jetzt erst die Diskussion um deren Sicherheit ins Rollen?

Olaf Mischkovsky: Das ist richtig, IT ist auch in der Produktion kein neues Thema. Aber früher waren es meist proprietäre Stand-alone-Systeme, die nicht auf einem Standardsystem basierten. In den letzten fünfzehn Jahren schwenkt die Industrie zunehmend auf Standardsysteme um. Öffnet man heute einen Industrie-PC, stecken dort weitgehend Komponenten, die auch in einem Standard-Office-PC arbeiten und oft laufen die gleichen Betriebssysteme auf der Standard-Hardware. Das macht das Ganze kritisch, denn damit werden die zahlreichen Bedrohungsszenarien aus der Office-Welt auch in der Produktionsumgebung relevant.
Hinzu kommt, dass die zunehmende, umfassende Vernetzung sämtlicher Systeme die frühere Isolation der Produktionssysteme aufbricht. Das bringt zahlreiche Vorteile mit sich, um schneller auf den Markt reagieren zu können. Bei allen Vorzügen sind die Anlagen dadurch aber anfälliger für Angriffe. Heute brauchen Sie mitunter nicht mehr physisch in ein Unternehmen einbrechen, um relevante Informationen zu stehlen oder um einen Produktionsroboter zu manipulieren.

DEM: Sie sprachen eingangs von umfassenden Sicherheitskonzepten. Was machen Sie, wenn Sie in eine Firma kommen mit dem Auftrag, sichern Sie dieses Unternehmen gegen Cyber-Angriffe ab?

Olaf Mischkovsky: Zunächst machen wir uns in Form einer Ist-Analyse ein klares Bild. Es gibt verschiedene Sicherheits-Level, die man erreichen kann. Auch ist Cyber-Angriff nur ein Oberbegriff für mehrere konkrete Vorfälle. Darunter fällt das Stehlen von wichtigen Daten, das Herbeiführen von Produktionsstillständen oder die Manipulation der Produktintegrität.

DEM: Entschuldigen Sie, was meinen Sie mit Produktintegrität?

Olaf Mischkovsky: Stellen Sie sich vor, Sie haben die Aufgabe, Fleisch zu portionieren. Also schreiben Sie eine Steuerungsdatei, die definiert, dass wir Einheiten von 250 Gramm möchten. Nun ändert der Angreifer die Integrität dieser Datei, indem er einfach eine Null an die 250 Gramm anhängt. Wir bekommen also 2,5 Kilogramm Portionen – das Zehnfache der gewünschten Menge – aus der Maschine. Der Angreifer hat die Verfügbarkeit der Anlage nicht geändert, nur entspricht das Produkt nicht mehr Ihren Erwartungen beziehungsweise Vorgaben.

DEM: Wir waren beim Auftrag, ein Unternehmen abzusichern, stehengeblieben…

Olaf Mischkovsky: Die erwähnte Ist-Analyse schließt auch eine Inventarisierung der Produktionssysteme ein. Allein da kommt in der Produktion schon häufig ein Aha-Effekt, wenn man sieht, wie viele Systeme hier im Einsatz sind. Anschließend schaut man sich das Bedrohungspotenzial an, dem das jeweilige Unternehmen und die Branche, in der es agiert, ausgesetzt ist. Darauf basierend kann ich dann das jeweilige Risiko bewerten. Dann kommt noch die Frage nach dem Budget – es bringt nichts, wenn das Konzept völlig überdimensioniert ist. Das ist ein sehr strukturiertes Vorgehen mit ungemein vielen Quellen. Wenn die Randbedingungen klar sind, erarbeiten wir die Konzepte gemeinsam mit dem jeweiligen Unternehmen.

DEM: Ein einzelnes Produkt wie eine Anti-Virenlösung reicht in der Produktion also in der Regel nicht. Was beinhaltet solch ein umfassendes Sicherheitskonzept?

Olaf Mischkovsky: Nein, ein Produkt, eine Anti-Virenlösung beispielsweise, reicht in der Regel nicht, um eine Produktionsumgebung umfassend zu schützen. Ein Konzept besteht aus einer Kombination verschiedener Methoden, Strategien und Produkte, die den speziellen Anforderungen eines Unternehmens entsprechen. Auf Basis der Ist-Analyse lassen sich sinnvolle Komponenten auswählen. Zum Beispiel Verschlüsselungs- und Authentifizierungslösungen, Firewalls und so weiter. Aber nicht nur Technologie ist wichtig. Essenziell ist immer das Verständnis der Nutzer. Hier gibt es meist Nachholbedarf. Mitarbeiter in der Büroumgebung sind heute auf die Gefahren konditioniert und wissen weitgehend mit den Sicherheitsmaßnahmen umzugehen – aber kennen auch die Mitarbeiter in der Produktion die Security-Strategie? Wir stehen an einem ähnlichen Punkt wie bei Safety vor etwa 15 Jahren. Beim Arbeitsschutz wissen die Mitarbeiter mittlerweile Bescheid. Mit dem Thema Security müssen wir diesen Stellenwert erst noch erreichen.

DEM: Wenn ich weiß, meine Maschine ist potenziell gefährdet, wie gehe ich vor?

Olaf Mischkovsky: Wenn man richtig an das Thema Security herangeht, ist die Sicherheit gewährleistet. Es gibt bewährte Prozesse und Methoden, um solche Szenarien abzusichern. Trotzdem: Die Zahl der gezielten Angriffe auf Industrieanlagen und kritische Infrastrukturen nimmt stetig zu. Es gibt mittlerweile einen Gesetzesentwurf und damit Überlegungen der Bundesregierung, nach dem Angriffe auf kritische Infrastrukturen gemeldet werden sollen. Allerdings ist der Ausgang dieser Diskussion offen. Die meisten Angriffe sind politisch oder wirtschaftlich motiviert. Für eine Attacke auf eine Produktionsstätte sind vorab Investitionen notwendig, daher finden sie geplant statt. Auf Basis dieses Wissens sollte Sicherheit bereits Bestandteil bei der Planung einer Anlage sein. Schwierig wird es, ein System erst zu entwickeln und dann zu versuchen, es im Nachhinein sicher zu machen.

DEM: Dann wäre es ja sinnvoll, mit den Herstellern der Industrie-Ausrüstung zusammenzuarbeiten – existieren solche Kooperationen?

Olaf Mischkovsky: Symantec arbeitet eng mit einer Reihe von Unternehmen zusammen, aber wir haben keine Kooperationen in dem Sinne, dass eine dieser Firmen unsere Lösungen direkt einsetzt.Wir engagieren uns gemeinsam mit diesen Firmen in unterschiedlichen Gremien, beispielsweise der Verbände VDI/VDE. Dort suchen wir gemeinsam mit den Industrieausrüstern nach den besten Strategien, um die Anlagen gegen Angriffe zu schützen.

DEM: Herr Mischkovsky, vielen Dank für dieses Gespräch!