OT-Cybersecurity: Raus aus der Nische

Hier eine kleine Denksportaufgabe: Fünf Frösche sitzen auf einem Ast. Einer beschließt zu springen. Wie viele Frösche sitzen dann noch auf dem Ast? Vier? Falsch. Denn etwas zu beschließen, bedeutet noch lange nicht, dass man es auch tut. Diese Diskrepanz zwischen Wollen und Tun begleitet uns in vielen Bereichen unseres Lebens. Etwa beim Klimawandel: Wir wissen, dass wir handeln müssen, dennoch fällt es uns so schwer.

Womit wir bei der Cybersicherheit wären. Die meisten Unternehmen wissen heute: Es ist nur eine Frage der Zeit, bis man gehackt wird. Und doch tut man sich oft noch schwer mit der Umsetzung von Gegenmaßnahmen. Aber wie beim Klimawandel gilt auch bei der Cybersicherheit: Nichtstun ist gefährlich und rächt sich früher oder später. Bei der Cybersecurity eher früher.

Wobei man unterscheiden muss: In der Information Technology (IT), also bei Büro-PCs, Netzwerken und Rechenzentren, sieht die Lage besser aus als in der Operational Technology (OT), womit vor allem die Automatisierung von Fabriken und Gebäuden gemeint ist. Seit vielen Jahren ist unbestritten, dass man auf seinem PC einen Virenscanner haben und regelmäßig Updates machen sollte. In der OT entwickelt sich dieses Bewusstsein erst. Grund dafür ist CIA, womit kein US-amerikanischer Geheimdienst gemeint ist, sondern die drei wichtigsten Schutzziele der Informationssicherheit, sortiert nach ihrer Wichtigkeit: Confidentiality, Integrity, Availability (also Vertraulichkeit, Integrität, Verfügbarkeit). Experten für OT kann das Schweißperlen auf die Stirn treiben, da die Verfügbarkeit von Produktionsanlagen nicht gefährdet werden darf. Daher gilt also noch oft die umgekehrte Reihenfolge: AIC.

Das ist der Grund, warum OT-ler bei Automatisierungskomponenten Updates manchmal auf die lange Bank schieben. Geht das Update schief, steht die Produktion und während die Minuten bei der Fehlersuche verrinnen, verliert der Betrieb tausende, wenn nicht Millionen Euro. Nichtstun ist aber auch keine Option mehr, seit Hacker die Automation von Fabriken und kritischen Infrastrukturen wie Wasserwerken, Ölpipelines oder Krankenhäuser als Ziel ihrer Erpressungsversuche auserkoren haben. [BM1] Angriffe, die Versorgungsengpässe zur Folge haben, zeigen dies mit Nachdruck – wie kürzlich beim Vorfall bei Colonial Pipeline. Und Experten vermuten, dass mit den Geschehnissen im Ukraine-Krieg die Gefahr von Cyberattacken international weiter zunehmen wird.

„Zu Zeiten von Stuxnet lag das Sicherheitsniveau der OT zehn Jahre hinter dem Niveau der IT zurück“, stellt Stefan Woronka fest, Director Industrial Security Services bei Siemens, „und dieser Rückstand wird leider nur langsam aufgeholt.“ Das habe mehrere Gründe. Einer ist, dass die Produktionsverantwortlichen nicht schuld sein wollen, wenn es etwa infolge eines Sicherheitsupdates zu einem Stillstand kommt.

Eine weitere Ursache für den Rückstand der OT-Sicherheit sieht Stefan Woronka im Fachkräftemangel. „Experten für OT-Security sind noch rarer als IT-Experten.“ Einige Anbieter von Sicherheitstechnologien meinen, aus der Not eine Tugend machen zu können. Wenn es keine OT-Fachleute gibt, ersetzt man sie einfach durch IT-Fachleute. Klingt nach einem guten Plan, denn die OT wird durch Vernetzung der Maschinen und immer komplexere Softwarefunktionen der IT sowieso immer ähnlicher, also liegt es nur nahe, die einschlägigen IT-Methoden wie Virenscanner, Firewall etc. auch hier zu verwenden. „Das funktioniert aber nicht“, warnt Saman Farsian, Head of Cybersecurity OT Protection and Consulting bei Siemens. Für die OT-Security brauche es OT-Experten, die sich mit Automatisierungstechnologien auskennten. Die gibt es bei Siemens, das in den letzten Jahren große Anstrengungen unternommen hat, um seine eigenen Fabriken und die seiner Kunden zu schützen. Das Unternehmen setzt auf Konzepte wie Security by Design beziehungsweise Security by Default, Sicherheit wird also bereits ab Werk eingebaut und aktiviert. In Fabriken gibt es aber fast nie nur Siemens-Technik, außerdem sind viele Systeme Jahre, wenn nicht Jahrzehnte alt. Dafür entwickelt Siemens Technologien, die eine Bestandsaufnahme der zu schützenden Anlagen und ihrer Sicherheitslücken machen, und bietet maßgeschneiderte Lösungen an, um mehrere Schutzmauern um kritische Komponenten zu ziehen, die Angreifer kaum überwinden können.

Dabei müssen die Siemens-Experten auch darauf achten, die im jeweiligen Land und in unterschiedlichen Märkten geltenden Regeln zu erfüllen. „Weltweit unterscheiden sich viele der nationalen Gesetze“, so Stefan Woronka. Ein Umstand, der eine über Grenzen hinweg gute Cybersicherheit eher ausbremst, denn beflügelt. Genau hier setzt die Charter of Trust an, die Siemens auf der Münchener Sicherheitskonferenz 2018 initiiert hat.

Derzeit sind 17 Konzerne Mitglied, die in diversen Arbeitsgruppen Themen wie eine sichere Lieferkette oder Security by Default bearbeiten und dazu Mindestanforderungen definieren. Diese Mühen tragen erste Früchte: Die Regierungen von Australien und Japan haben die Mitglieder der Initiative gebeten, ihre eigenen Cybersecurity-Frameworks danach bewerten zu lassen, ob diese dem aktuellen Wissenstand entsprechen und anschlussfähig an internationale Standards sind.

Sowohl in der Charter of Trust als auch bei den Produkten und Services steht Siemens und seinen Partnern noch viel Arbeit bevor. Vor allem braucht es weitere Aufklärung der Kunden. Stefan Woronka: „Wir müssen die OT-Cybersecurity endlich aus ihrer Nische holen, indem wir die Risiken, aber auch die vielfältigen Möglichkeiten sich zu schützen noch klarer vermitteln.“

Bernd Müller

Bilder: 1-2 GettyImages; 3-4 Siemens AG