Sicherheitsstrategien im Cyberspace
Wir befinden uns mitten im Zeitalter der Digitalisierung und Industrie 4.0. Im Zuge dieses digitalen Wandels verändern sich nicht nur Märkte und Möglichkeiten, es ergeben sich viele Chancen – für Regierung, Wirtschaft und Öffentlichkeit. Es werden neue Denkansätze ermöglicht, die dazu führen, dass Prozesse effizienter, kalkulierbarer, sicherer und flexibler aufgesetzt und ausgeführt werden. Produktionen lassen sich flexibler und ausfallsicherer gestalten und dabei gleichzeitig besser dokumentieren. Viele Qualitätsstandards können beziehungsweise müssen aber auch weiter nachhaltig optimiert werden.
Die Digitalisierung und das Internet of Things sind in allen Lebens- und auch Industriebereichen auf einem rasanten Vormarsch, was auch die derzeitige Entwicklung zeigt: Waren im Jahr 2017 rund 8 Milliarden Geräte mit dem Internet verbunden, werden es im Jahr 2020 – Prognosen zufolge – über 20 Milliarden sein. Die Intelligenz und Vernetzung von Geräten und Systemen bietet heute bereits die Möglichkeit, das volle Potenzial von Daten auszuschöpfen und in echten (Mehr-)Wert für Unternehmen, Mensch und Umwelt zu wandeln. Dadurch kann letztlich unsere gesamte Gesellschaft davon profitieren.
Doch das Potenzial der digitalen Transformation kann sich nur dann vollständig entfalten wenn es gelingt, hohe Sicherheitsstandards für die wertvollen Daten, Anlagen und die vernetzten Systeme zu erreichen. Cyber Security ist eine der großen Herausforderungen unserer Zeit. Allein im Jahr 2016 belief sich der Schaden durch Attacken aus dem Internet weltweit auf mehr als 500 Milliarden Euro. Cyber-Attacken sind inzwischen längst ein globales Problem und sie folgen unterschiedlichen Zielen, von rein kriminellen Aktivitäten, über Industriespionage und -sabotage im großen Stil, bis hin zu militärischen Operationen.
Wir haben Merle Maigre zu dem Thema befragt, in ihrer – zum Zeitpunkt des Interviews noch amtierenden Funktion – des Director of NATO Cooperative Cyber Defence Centre of Excellence.
Mrs. Maigre: Die Vorteile der Digitalisierung werden zwar allgemein geschätzt. Es werden jedoch auch Risiken befürchtet. Wie hoch sind diese Risiken wirklich?
Merle Maigre: Wir haben die Digitalisierung als die neue Normalität schätzen gelernt. Ein Teil dieser Normalität, die die Menschen jedoch nicht so leicht akzeptieren, ist die Tatsache, dass Technologie grundsätzlich nicht perfekt ist. Dinge gehen kaputt, andere werden missbraucht und manches wird gepatcht. Außerdem verändern sich Technologien und Bedrohungen im Cyberspace ständig. Unsere Abhängigkeit vom digitalen Lebensstil kennt keine geografischen Grenzen und macht keinen Unterschied zwischen zivilen oder militärischen, privaten oder öffentlichen Bereichen. Jede Technologie oder jedes System ist ein potenzielles Ziel für Cyberangriffe.
Während sich Unternehmen und Branchen mehr mit Cyberkriminalität und Spionage aus wirtschaftlichen Gründen befassen müssen, verteidigen sich Nationen und internationale Organisationen wie die NATO gegen wachsenden Bedrohungen durch staatliche Akteure im Cyberspace. Vorfälle wie WannaCry und NotPetya zeigten, wie sich ein Cyber-Angriffs innerhalb weniger Stunden oder sogar Minuten weltweit lähmend und schädigend auf Einzelpersonen und Organisationen auswirken kann. Es gibt fast wöchentlich Nachrichten über kritische Datenschutzverletzungen aus der ganzen Welt. Meldungen über Softwarefehler und Schwachstellen, die solche Vorfälle erst ermöglichen, sind alltäglich. Es vergeht kaum ein Tag ohne neue Entdeckungen und daraus folgende Patches.
Cyber-Operationen sind zu einem Standardbestandteil politischer und militärischer Aufklärung und Information geworden. Eine wachsende Sorge für Nationen sind mögliche gezielte Angriffe auf unsere kritische Infrastruktur.
Investitionen in digitale Innovation müssen Hand in Hand mit einem ernsthaften Engagement für Cybersicherheit gehen.Merle Maigre
Angesichts der Interdependenzen im Cyberbereich müssen Staaten Maßnahmen ergreifen, um lebenswichtige Dienste, kritische Informationsinfrastrukturen und militärische Systeme zu schützen.
Dabei sind die Risiken der Digitalisierung nicht notwendigerweise höher als die Rückführung (unserer Gesellschaften) auf Low-Tech. Sie sind anders und wir befinden uns immer noch in der Lern- und Anpassungsphase einer digitalen Gesellschaft – eine Herausforderung, die die rasante Entwicklung der Digitaltechnik zweifellos verschärft. Aber mit den zunehmenden Fähigkeiten der Akteure verbessern sich auch die Möglichkeiten zur Abwehr von Cyber-Angriffen.
Unternehmen sind schon seit Beginn der Automatisierung potenziellen Cyberangriffen ausgesetzt. Mittlerweile sind industrielle Produktionssysteme nicht nur weitgehend digitalisiert, sondern auch zunehmend vernetzt. Werden sie durch das industrielle Internet der Dinge noch leichter angreifbar sein?
Merle Maigre: Methoden und Mittel für Cyberattacken entwickeln sich mit der fortschreitenden Technologie. Dies bedeutet nicht notwendigerweise, dass Angriffe einfacher werden, denn mit zunehmend komplexeren industriellen Systemen werden auch sie aufwendiger.
Das hat dazu geführt, dass sich Experten für Cybersicherheit bei der Bewältigung der Risiken bei der Bereitstellung lebenswichtiger Dienste vor allem auf konstruktive Sicherheit konzentrieren. Im Falle einiger kritischer Dienste scheint jedoch ein eher konservativer Ansatz sinnvoller – nicht jedes System und Gerät muss vernetzt sein. Darüber hinaus machen sowohl Nationen als auch private Institutionen Fragen der Technologie zunehmend zu Managemententscheidungen, um zu vermeiden, dass alles als „technisches Detail“ an die IT-Abteilung oder den Support delegiert wird. Es ist zu hoffen, dass dieser Ansatz auf lange Sicht eine Nachfrage nach sichereren Produkten auslöst. Derzeit konzentriert sich das Angebot auf dem Markt eher auf den Komfort und die Bequemlichkeit des Endanwenders.
Keine dieser Lösungen ist ein Königsweg gegen Störungen, aber ihre Kombination trägt zu einer erhöhten Widerstandsfähigkeit bei.
Können in kritischen Bereichen wie Militär, Regierung und Industrie besondere Vorkehrungen getroffen werden? Wie tragen einzelne Akteure wie beispielsweise Unternehmen zu den neuen Sicherheitsmaßnahmen bei?
Merle Maigre: Militärs, Regierungen und Industrie müssen die Interdependenzen im Cyberspace erkennen und zuverlässige Wege für den Informationsaustausch, gemeinsame Schulungsbemühungen und andere praktische Kooperationsinitiativen entwickeln, um eine widerstandsfähigere Verteidigungsstrategie und ein entsprechendes System aufzubauen. Dabei beginnt alles mit einer grundlegenden Cyberhygiene – jedes Unternehmen, jede Institution und jede Privatperson muss sich der grundlegenden Maßnahmen bewusst sein – und endet mit der nationalen Cyber-Verteidigungsstrategie.
Locked Shields ist zum Beispiel seit 2010 ein einzigartiges Beispiel für den interdisziplinären Ansatz und die praktische Zusammenarbeit gleichgesinnter Nationen, auf die CCDCOE stolz ist. Dabei handelt es sich um die weltweit größte und komplexeste internationale Übung zur Verteidigung von Cyber-Attacken in Echtzeit. Die jährliche Veranstaltung ist eine einzigartige Gelegenheit für nationale Cyber-Verteidiger, den Schutz nationaler IT-Systeme und kritischer Infrastrukturen unter dem hohen Druck einer schwerwiegenden Cyber-Attacke zu üben.
Dieses Jahr beinhaltete die Übung eine kritische Infrastruktur, von der unser gesamter moderner Lebensstil abhängt: Energieversorgung, sauberes Wasser und Notfallkommunikation. Die Übung schult die Teams darin, nicht vertraute Umgebungen zu schützen und trotz unvollständiger Informationen die richtigen Entscheidungen zu treffen – also genau die Situation, mit der Spezialisten für Computer-Notfälle in der Realität konfrontiert sind. Die Systeme, auf denen unsere kritische Infrastruktur läuft, werden ständig weiterentwickelt. Wir müssen deren Ausfallsicherheit und Verteidigung regelmäßig testen, während sich unsere Verteidiger regelmäßig Austausch und Zusammenarbeit mit Verbündeten pflegen. Es wäre unmöglich, eine derart komplexe Übung ohne den wertvollen Beitrag von Industriepartnern zu arrangieren. Wir arbeiten daher mit Partnern aus der Industrie zusammen, die spezialisierte Fähigkeiten und Technologien zur Verfügung stellen, wie sie auf der ganzen Welt verbreitet sind und das beste Fachwissen der jeweiligen Branchen repräsentieren. So erlauben zum Beispiel Softwarelösungen von Siemens, 4G Public Safety Systems von Ericsson und Drohnen von Threod Systems den Teilnehmern der Übung, sich mit diesen wichtigen Geräten und Softwarelösungen vertraut zu machen.
Man kann davon ausgehen, dass jedes vernetzte digitale Gerät und System Sicherheitslücken aufweist, die erkannt und minimiert werden müssen.
Ein großes Sicherheitsproblem im digitalen Zeitalter ist die große Anzahl unterschiedlicher und ständig neuer Bedrohungen. Was können Unternehmen tun, um sich gegen die verschiedenen Arten von Cyberangriffen zu verteidigen? Wie können Experten auch über internationale Standards wie IEC 62443 hinaus immer auf dem neuesten Stand sein?
Merle Maigre: Wir sollten den Aufbau von Gemeinschaften anstreben, sowie Vertrauen und Sozialkapital zwischen Staat und Privatwirtschaft aufbauen. Bereits vor etwa 20 Jahren gab es zum Beispiel unter den estnischen Banken eine gemeinsame Übereinkunft, zwar im Bereich ihrer Dienstleistungen miteinander zu konkurrieren, nicht jedoch, was die Cybersicherheit angeht. In der Praxis bedeutete dies, dass sowohl Fachwissen als auch Informationen ausgetauscht wurden.
Wenn weiterer schwerwiegender Vorfall eintritt werden sich sowohl Vertrauensbeziehungen als auch zuverlässige Mechanismen zum Informationsaustausch, sowie die Stärkung des schnellen Informationsaustauschs innerhalb der gesamten Gemeinschaft als Vorteil erweisen.
Welche grundlegenden Maßnahmen müssen bei einem ernsthaften Angriff ergriffen werden, um zu verhindern, dass ganze Fabriken stillgelegt werden?
Merle Maigre: Absicherung, Patches und Aktualisierung von Systemen sowie die Entwicklung von Sicherheitsprozessen, zusammen mit kontinuierlicher Schulung und regelmäßiger Übung sind unerlässlich, um potenzielle Sicherheitslücken zu schließen. Wenn ein ernsthafter Angriff stattfindet, könnte das Opfer versucht sein, das Ausmaß des Schadens geheim zu halten und den Vorfall selbst zu bewältigen. Starke Partnerschaften und vertrauenswürdige Verbündete können jedoch wertvolle Unterstützung leisten. Es ist wichtig, diese Allianzen, Kooperationspraktiken und Koalitionen bereits vor dem Auftreten eines Problems zu entwickeln.
Wie sieht die Zukunft der Abwehr von Cyber-Attacken aus? Bedeutet es, Kompetenzzentren wie das CCDCOE oder ein weltweites Expertennetzwerk zu bilden? Können auch auf künstlicher Intelligenz basierende Technologien in diesem Zusammenhang verwendet werden?
Merle Maigre: Als NATO Cooperative Cyber Defence Center of Excellence sind wir fest davon überzeugt, dass in diesem sich ständig verändernden und herausfordernden Umfeld einem interdisziplinären Ansatz in Verbindung mit vertrauensbildenden Maßnahmen und der Zusammenarbeit gleichgesinnter Nationen eine Schlüsselrolle zukommt. CCDCOE bietet seinen Mitgliedsstaaten, der NATO und der Gemeinschaft einen umfangreichen Zugang zu einem Pool hochrangiger Experten, die gemeinsame Forschung, Trainings und Übungen betreiben. Dabei entstehen immer wieder neue Untersuchungsbereiche.
Unsere Forscher beschäftigen sich bereits mit Aspekten der Cybersicherheit bei der Entwicklung automatisierter Systeme und KI.
Ganzheitlicher Schutz von Industrieanlagen
Bei Siemens wird dem Thema Industrial Security eine besondere Rolle zugeschrieben. Gemeinsam mit Partnern und Kunden wird kontinuierlich an ganzheitlichen Sicherheitskonzepten gearbeitet, die Daten, Prozesse und Anlagen gegen Angriffe von außen schützen und verteidigen. „Die lukrative Digitalisierung ist nur erfolgreich, wenn Kunden auf die Integrität der Daten bauen können,“ meint Natalia Oropeza, Leiterin der neuen Unternehmensabteilung Cybersecurity bei Siemens.
„Defense in Depth“
Zu diesem Zweck nutzt Siemens eine tiefengestaffelte Verteidigung – „Defense in Depth“ – als übergreifendes Schutzkonzept, das nach den Empfehlungen der ISA99/IEC 62443, dem führenden Standard für Security in der industriellen Automatisierung, arbeitet. Mit den auf Defense-in-Depth-basierten Lösungen und einem integrierten Produkt- und Serviceangebot unterstützt Siemens die Industrie bei der zuverlässigen Umsetzung notwendiger Maßnahmen.
Es sind im Wesentlichen drei Stufen. Sie beginnen mit der grundlegenden Anlagensicherheit, das heißt mit physischem Zugangsschutz, ergänzt um organisatorische Maßnahmen wie Security-Policies und Überwachung der Anlagen auf Anomalien hin, die auf Angriffe hinweisen können. In der nächsten Stufe, der Sicherung von Netzwerken, kommen Firewalls und die Verschlüsselung der Datenübertragung zum Einsatz. Zu guter Letzt steht die Systemintegrität im Fokus, also der Schutz der einzelnen Endgeräte und Systeme gegen unbefugte Zugriffe und Veränderung.
Mit diesem Schutzkonzept müssen von Angreifern immer mehrere Hürden überwunden werden. Das ist deutlich schwieriger und aufwendiger, als lediglich einzelne Sicherheitsmaßnahmen auszuhebeln.
Maßgeschneiderte Lösungen für die Prozessindustrie
Auch das Prozessleitsystem SIMATIC PCS 7 bietet diese integrierten, umfassenden Sicherheitslösungen. Sie sind für die speziellen Erfordernisse von Prozessanlagen maßgeschneidert. Das Sicherheitskonzept steigert wirksam den Schutz, senkt Risiken, hilft bei der Vermeidung von Sicherheitsvorfällen und steigert auf diese Weise die Anlagenverfügbarkeit.
Seine Stärke liegt darin, dass verschiedene Security-Maßnahmen im Anlagennetzwerk in Kombination zusammenspielen. Dafür können Anlagen aus abgeschlossenen Sicherheitszellen aufgebaut werden, die zusammen letztlich ein geschlossenes System ergeben, das die Definition der ISA99 zur Security bei Fertigungs- und Prozessleitsystemen erfüllt.
Zudem hat das Prozessleitsystem im November 2016 eine offizielle Zertifizierung des TÜV SÜD erhalten, die die Konformität mit den Security-Standards IEC 62443-4-1 und IEC 62443-3-3 bestätigt.
Gemeinsam gegen gemeinsame Gegner
Durch sein einzigartiges Portfolio aus technischem Know-how im Bereich Cyber Security für Fabriken und Anlagen über Stromnetze bis hin zur Gesundheitsversorgung ist Siemens bestens aufgestellt, um Vordenker auf dem Gebiet zu sein. Aus diesem Grund hat der Konzern gemeinsam mit der Münchner Sicherheitskonferenz (MSC) und anderen Industriegrößen wie IBM, Daimler, Dell, Cisco, der Deutschen Telekom und einigen weiteren namhaften Konzernen und Partnern die „Charter of Trust“ ins Leben gerufen.
Die Charta enthält zehn Prinzipien, die unsere digitale Welt sicherer machen sollen, und gibt drei wichtige Ziele vor: Daten von Einzelnen und Unternehmen zu schützen, Schaden von Personen, Unternehmen und Infrastrukturen abzuwenden und ein zuverlässiges Fundament zu schaffen, in dem das Vertrauen in eine vernetzte digitale Welt verankert werden kann.
Das dies gelingt, zeigen erfolgreiche Lösungen mit Siemens Sicherheitstechnologie, beispielsweise für das F&E-Center Mittlerer Osten von DowChemical zum Schutz seiner Forschungsaktivitäten.
