Warum veröffentlicht Siemens so viele Schwachstellen?

Cybersicherheit bei Siemens

Die Siemens AG veröffentlicht monatlich ‚Security Advisories’ zu Sicherheitslücken in Siemens-Produkten. Die Zahl der bekannten Schwachstellen steigt dabei von Jahr zu Jahr. Doch das ist kein Mangel, sondern ein Qualitätsmerkmal – denn eine erfolgreiche Digitalisierung der Industrie kann ohne umfassende Cybersicherheit nicht gelingen.

Eine in die Jahre gekommene Zementfabrik. In ihren Öfen wird Kalkstein in unterschiedlichen Korngrößen mit Aluminiumoxid, Hüttensand, Gips oder Bauxit gebrannt, dann gemahlen mithilfe von Förderbändern, Gebläsen und Waagen in Säcke abgefüllt und anschließend auf Paletten verpackt. Jetzt soll die Anlage durch eine modernere Fabrik ersetzt werden, die nicht nur energiesparend und wartungsarm läuft, sondern auch verschiedenste Zement-Rezepturen automatisiert und reibungslos herstellt.
 

Doch welche Steuerung soll für die Anlage eingesetzt werden? Als der Vorschlag aufkommt, Steuerungen von Siemens einzusetzen, runzelt der Betreiber seine Stirn – denn ein Blick auf Webseite des Unternehmens verrät ihm, dass das Unternehmen in den letzten Jahren doch immer öfter Benachrichtigungen zu Sicherheitslücken verschickt, die zeitnah gepatcht werden müssen. Da schleicht sich das ungute Gefühl ein, das Produkt sei unsicher und mache zudem viel Arbeit – im Gegensatz zu manchem Wettbewerber. 

Heute sicher, morgen vielleicht schon eine Schwachstelle

Doch das Gegenteil ist der Fall. Je weiter Technologien vernetzt sind – von Kraftwerken über Schienenverkehr bis hin zur Medizintechnik –, desto wichtiger ist es, Betriebssysteme und Softwareapplikationen ständig zu prüfen und auf dem neuesten Sicherheitsstand zu halten. Ähnlich ist es bei Handys und Notebooks, deren oft monatliche Softwareupdates wir dankbar akzeptieren. Nicht viel anders ist der Umgang mit Software-Schwachstellen eine wichtige Voraussetzung für die erfolgreiche Digitalisierung der Industrie. 

Mit der Digitalisierung der Industrie wird die Suche nach Schwachstellen zu einer Notwendigkeit. Deshalb ist ein professioneller Umgang mit Schwachstellen der Schlüssel, um das Vertrauen der Kunden zu gewinnen.
Karen Gaines, Head of Siemens Cybersecurity Defense

Das Resultat: 2020 meldete Siemens, dessen Gesamtportfolio rund 41.000 Produkte umfasst, über einhundert Schwachstellen inklusive dazugehöriger Lösungen. Tendenz steigend. Damit ist Siemens unter den großen industriellen Unternehmen Vorreiter. Aber bei Weitem kein Rekordhalter. Zum Vergleich: Größere Softwareunternehmen mit deutlich weniger Produkten als Siemens kommunizierte im selben Zeitraum über 1.000, obwohl auch sehr hohe Standards für die Entwicklung sicherer Produkte haben. Das Beispiel zeigt: Die Zahl der bekannten Schwachstellen steigt schlicht mit zunehmender Digitalisierung und dem verstärkten Bemühen um Cybersicherheit. Karen Gaines, Leiterin von Siemens Cybersecurity Defense, die vor ihrem Wechsel zu Siemens im Jahr 2020 für Microsoft und AWS tätig war, bestätigt dies: "Mit der Digitalisierung der Industrie wird die Suche nach Schwachstellen zu einer Notwendigkeit. Deshalb ist ein professioneller Umgang mit Schwachstellen der Schlüssel, um das Vertrauen der Kunden zu gewinnen."

Das ProductCERT ist weltweit vernetzt

Für Sicherheitslücken ist bei der Siemens AG das ProductCERT (Product Computer Emergency Response Team) zuständig. Es kümmert sich um den Eingang, die Bewertung, interne Koordination und allmonatliche Veröffentlichung von Sicherheitsproblemen in einem so genannten ‚Advisory‘ mit. Genauer gesagt, am Security Advisory Day, dem zweiten Dienstag im Monat, demselben Tag, an dem auch Microsoft traditionell Patches für seine Schwachstellen publiziert – da lassen sich für die IT-Verantwortlichen zwei Fliegen mit einer Klappe schlagen. Eine 100-prozentige Sicherheit für Software gibt es nicht. Denn natürlich gelangen Siemens-Produkte erst auf den Markt, nachdem sie digital auf Herz und Niere geprüft wurden. Das sich anschließende intensive Cybersicherheit-Monitoring über den gesamten Lebenszyklus eines Produkts hinweg wiederum bedeutet, dass regelmäßig neue Schwachstellen entdeckt werden. Auch entwickeln sich Angriffstechnologien und -methoden ständig weiter. Eine gestern noch sichere Komponente kann so über Nacht zur Schwachstelle werden.

Das Siemens ProductCERT kümmert sich dabei nicht nur um eigene Produkte, sondern auch in ihnen verbaute Komponenten von Drittanbietern oder Open Source Software-Anwendungen, die Teil von Siemens-Produkten sind – und das entlang der gesamten Supply Chain. Damit schafft das Unternehmen nicht nur einen durchgängigen Schutz für seine Produkte, sondern auch Transparenz. „Unser Ziel ist es, Schwachstellen so schnell wie möglich zu entdecken - und das am besten in der frühen Entwicklungsphase eines Produkts.“, sagt Klaus Lukas, Principal beim Siemens ProductCERT. „Auf diese Weise stellen wir sicher, dass die Sicherheit von Anfang an auf dem festgelegten Niveau ist.“ Intensive interne Tests decken Schwachstellen auf. Zum Testen der Siemens-Produkte werden verschiedene Methoden eingesetzt, unter anderem eine Plattform namens „SiESTA" (Siemens Extensible Security Testing Appliance). Sie kann direkt an Geräte oder Server angeschlossen werden, um automatisch mit verschiedenen Sicherheitstools Tests durchzuführen. Das ProductCERT-Team ist auch mit Security Researchern, IT-Experten in Universitäten oder bei IT-Sicherheitsdienstleistern bestens vernetzt.  Und auch von Kunden, nationalen CERT-Organisationen oder Siemens-internen Stellen erhält es Hinweise. 

Vollautomatisches Patch-Management

Auf diesem Wege landet im Schnitt pro Tag eine Meldung beim ProductCERT. Sie wird im Team überprüft und bewertet. Ist für die Beseitigung der Schwachstelle ein Produkt-Update notwendig, verifizieren die Kollegen im ProductCERT dessen Wirksamkeit. „Und dann wird die Meldung für den nächsten ‚Security Advisory Day‘ eingeplant“, sagt Lukas. „Bei kritischen Fällen geht eine Meldung natürlich außertourlich raus.“
 

Und so schwierig – oder gar unmöglich – es erscheinen mag, dauerhaft die ständig wachsende Zahl an Schwachstellen zu bewältigen, weist auch hier die Digitalisierung den Weg. Ähnlich wie bei konventioneller Software kann die Handhabung von Schwachstellen bei industriellen Produkten automatische Prozesse nutzen, um die Sicherheit zu erhöhen. So ist es heute in einigen Fällen bereits möglich, diese Informationen maschinenlesbar zu übermitteln. Patches müssen Produkten dann nur noch zugeordnet werden. Der nächste Schritt ist, Patches ohne menschliches Zutun automatisch einzuspielen. "Dann müssen die Kunden keine Zeit mehr für das Patch-Management aufwenden - und trotzdem wird ihre Sicherheit automatisch erhöht", sagt Lukas.
 

Bis es soweit ist, müssen sich die Betreiber der Zementfabrik noch mit den regelmäßig in ihrem Posteingang eintreffenden ‚Advisories‘ beschäftigen – und die Patches einspielen. Doc so können sie beruhigt sein, dass ihre Anlage, die sie tagtäglich nutzen, was Cybersicherheit angeht, auf dem neuesten Stand ist. 

28.10.2021

Hubertus Breuer