Rhythmus für die Sicherheit

Im Postfach des Siemens-Sicherheitsexperten Thomas Pröll landet eine Mail, die sofort sein Interesse erweckt. Ein Security Researcher hat im Auftrag eines Kunden eine Industrieanlage getestet und mithilfe von Hackertools eine offenbar bislang unbekannte Schwachstelle in einer Siemens-Industriesteuerung entdeckt. Pröll ist für solche Schwachstellen zuständig – sein Team in München Neuperlach kümmert sich um das so genannte ‚Vulnerability Handling‘, der koordinierten Behandlung und Lösung von gemeldeten Schwachstellen. Taucht eine neue Schwachstelle auf, müssen Pröll und seine Kollegen sich sofort darum kümmern.

Die Schäden, die Cyberangriffe anrichten können, sind immens: Spionage, Erpressungsversuche, Maschinenausfall. Es gibt daher nicht vieles, was Sicherheitsexperten mehr fürchten als IT-Schwachstellen. Laut einer Umfrage des Weltwirtschaftsforum 2018 sehen Manager in führenden Industriestaaten Cyberangriffe als das größte Risiko für ihre Unternehmen an. Bei Siemens wurde deshalb im Oktober 2018 die Organisation ‚Cybersecurity‘ gegründet, die verschiedenste Aufgaben zum Schutz der IT-Infrastruktur, der Produkte und damit der Kunden bündelt.

Vorfälle bei der Produktsicherheit werden dabei vom ProductCERT (Product Computer Emergency Response Team) adressiert, zu dem auch Prölls Vulnerability Handling-Team gehört. Keine leichte Aufgabe, denn obwohl Siemens-Produkte erst auf den Markt gelangen, nachdem sie auch digital auf Herz und Niere geprüft wurden, entwickeln sich die Angriffstechnologien und -methoden ständig weiter. Ein gestern noch sicheres Produkt kann über Nacht zum Risikofaktor werden.

„Wir nehmen daher jeden Hinweis auf eine Sicherheitslücke sehr ernst und untersuchen jede einzelne Meldung“, sagt Klaus Lukas, Leiter des ProductCERTs. „Mit der Veröffentlichung unserer Advisories schaffen wir bei unseren Kunden Klarheit und Vertrauen. Der verantwortungsvolle und transparente Umgang mit Schwachstellen ist ein essenzieller Schritt auf dem Weg zur Digitalisierung." Und Joanna Burkey, Leiterin der Siemens Cybersecurity Defense bei Siemens, fügt hinzu: "Diese Transparenz ist ein wichtiges Paradigma für Siemens, das wir uns auch mit der Charter-of-Trust auf die Fahnen geschrieben haben. Wer bei der Cybersecurity führend sein will, muss diese Paradigmen auch im täglichen Leben anwenden".

Pröll und seine Kollegen sind deshalb gut vernetzt in der Sicherheitsbranche. Sie reisen regelmäßig zu den weltgrößten Hacker-Konferenzen, wie BlackHat oder  DefCon in Las Vegas sowie zu anderen Treffen von Hackern der guten Art. Diese gute Vernetzung hilft, Hinweise von Security Researchern, IT-Experten in Universitäten oder bei IT-Sicherheitsdienstleistern zu erhalten, aber auch von Kunden, nationalen CERT-Organisationen oder Siemens-internen Stellen. Auf diesem Wege kommen fast täglich Meldungen möglicher Schwachstellen zu Siemens-Produkten beim Vulnerability Handling-Team herein. Den Meldenden wird dann in der "Hall of Thanks" öffentlich auf der ProductCERT-Webseite für deren Engagement gedankt.

Wo auch immer eine Meldung herkommt, das Vorgehen ist Routine: Pröll und seine Kollegen tauschen sich intensiv mit dem Finder aus, um die Beobachtungen korrekt und vollständig nachzuvollziehen. Stellt sich heraus, dass es sich um eine neue Sicherheitslücke handelt, wird zusammen mit dem Produktverantwortlichen eine Task Force einberufen, um schnellstmöglich eine Lösung zu erarbeiten. Die Arbeitsweise ist methodisch und sehr präzise. Ist für die Beseitigung der Schwachstelle ein Produkt-Update notwendig, verifizieren die Kollegen im ProductCERT vor der Veröffentlichung nochmals dessen Wirksamkeit. „Und dann wird diese Meldung für den nächsten ‚Security Advisory Day‘ eingeplant“, sagt Pröll. „Immer am zweiten Dienstag im Monat, demselben Tag, an dem auch Microsoft traditionell Patches für seine Schwachstellen publiziert.“

Der ‚Security Advisory Day‘ markiert einen weiteren Meilenstein auf dem Weg von Siemens als einst traditionellem Hardware-Konzern zu einem Unternehmen, in dem die Digitalisierung der Taktgeber ist. „Die Vorteile für unsere Kunden sind dabei klar“, sagt Pröll. „Sie wissen, wann die Advisories kommen und können ihre Ressourcen entsprechend einteilen. Gleichzeitig hilft es uns intern bei Siemens – es gibt allen einen klaren Fahrplan vor, an dem wir uns orientieren können.“

So beginnt der ‚Security Advisory Day‘ bei Siemens bereits einen knappen Monat vor der eigentlichen Veröffentlichung – alle relevanten Stellen in Siemens und jeder in Prölls Team wird informiert, wann die Meldungen für den nächsten Advisory Day fertig sein müssen. Am Donnerstag vor dem Advisory Day folgt dann die internationale Abstimmung: Siemens informiert Behörden – etwa das ICS (Industrial Control Systems) CERT in den Vereinigten Staaten, die diese Meldungen ebenfalls in ihre Advisories integrieren können oder das CNCERT, welches die Meldungen in deren chinesische Advisories einarbeitet. Dann steht der weltweit zeitgleichen Publikation des monatlichen Advisories nichts mehr im Wege.  Natürlich gilt: ist eine Schwachstelle besonders kritisch, gibt es auch außertourlich eine Meldung. ‚Hot Fix‘ nennt sich das dann. „Aber auch hier hilft der ‚Security Advisory Day‘“, sagt Pröll. „Denn wenn Kunden außertourlich von uns hören, ist ihnen klar, dass etwas Besonderes vorliegt.“

11.06.2019

Hubertus Breuer

Bildquellen: Siemens AG