Industrielle Sicherheit: Die Cyber-Wächter

Die Zahl der Angriffe auf kritische Infrastrukturen steigt, wie eine aktuelle Statistik des ICS-CERT, der amerikanischen Behörde zum Schutz von Cyber-Angriffen, belegt. Laut einer Studie der Unternehmensberatung KPMG in der Schweiz wurden 2016 rund 54 Prozent der Unternehmen Opfer von elektronischen Attacken. Dennoch: „Die steigende Anzahl an Cyber-Attacken ist ein Faktum, dem wir uns nicht verschließen können. Dies darf aber kein Grund sein, die Digitalisierung der industriellen Produktion nicht voran zu treiben. Eher sollten wir dazu übergehen, das Thema Cyber Security nicht als Kostenfaktor, sondern als Wettbewerbsvorteil zu sehen", betont Helmuth Ludwig, Chief Information Officer bei Siemens.

Das umfassende Sicherheitskonzept, Industrial Security, ist deshalb ein wichtiges Kernelement von Digital Enterprise, dem Lösungsansatz von Siemens auf dem Weg zu Industrie 4.0. Industrial Security erfordert fortlaufende Beobachtung und Anpassung neuer Sicherheitsmaßnahmen. Dafür sorgt bei Siemens unter anderem das Computer Emergency Response Team for Products (ProductCERT). „Das Vertrauen der Nutzer genießt nur, wer mit entdeckten Produktschwachstellen transparent umgeht", sagt ProductCERT-Leiter Klaus Lukas. Sein Team sichert die digitale Welt der Kunden mit einem dreistufigen Ansatz: Prävention, frühzeitige Identifikation und professionelle Behandlung von Sicherheitsschwachstellen in Siemens-Produkten.

Siemens-Produkte und -Lösungen enthalten auch einen Anteil an Drittanbieterkomponenten. „Die Angriffstechnologien und -methoden entwickeln sich weiter, daher kann sich bei einer gestern noch sicheren Komponente über Nacht die Sachlage ändern“, erklärt Oliver Hambörger, Sicherheitsexperte bei ProductCERT. Er und seine Kollegen halten daher ständig Ausschau nach neuen Informationen zu Sicherheitsschwachstellen. Sie schauen sich jede gemeldete Information genau an: Wird die Software in Siemens-Produkten eingesetzt und wenn ja, in welchen? Wie kritisch ist die Sicherheitsschwachstelle? Wenn nötig, werden die Updates der Drittanbieter-Komponente im Produkt oder in der Lösung dann direkt umgesetzt. Das ist jedoch nur ein Aspekt, denn durch die Digitalisierung wächst auch das Siemens-eigene Software-angebot ständig. 

Zugleich gilt es, die digitale Fabrik zu schützen. Updates, Patches und permanente Überwachung gehören daher zum unverzichtbaren Repertoire von Siemens für seine Produkte und sind wichtiger denn je, denn das Internet der Dinge wächst rasant. „Wir sind jederzeit bereit, neu entdeckte Produkt-Sicherheitsschwachstellen zu bearbeiten. Gefunden und uns gemeldet werden diese von Security Researchern, also IT-Experten in Universitäten oder bei IT-Sicherheitsdienstleistern, aber auch von Kunden, nationalen CERT-Organisationen oder Siemens-internen Stellen“, erläutert Rupert Wimmer, Sicherheitsexperte im ProductCERT.

Wo auch immer die Meldung herkam, das Vorgehen ist Routine: Wimmer und seine Kollegen tauschen sich intensiv mit dem Finder aus, um die Beobachtungen korrekt und vollständig nachzuvollziehen. Stellt sich heraus, dass es sich um eine neue Sicherheitslücke handelt, wird zusammen mit dem Produktverantwortlichen eine Taskforce einberufen, um schnellstmöglich eine Lösung zu erarbeiten. Die Arbeitsweise ist methodisch und sehr präzise. Ist für die Beseitigung der Schwachstelle ein Produkt-Update notwendig, verifizieren die Kollegen im ProductCERT vor der Veröffentlichung nochmals dessen Wirksamkeit. Danach wird ein Security Advisory auf der ProductCERT-Webseite veröffentlicht, um die Kunden über die Sicherheitslücke und deren Lösung in Kenntnis zu setzen.

„Professioneller Umgang mit Schwachstellen bedeutet, über deren Existenz und Gegenmaßnahmen zu informieren. Mit unseren Security Advisories setzen wir im industriellen Umfeld den Standard“, erklärt Lukas. Er ist davon überzeugt, dass dies angesichts der fortschreitenden Digitalisierung ein echter Vorteil ist, denn nur in der Transparenz gegenüber dem Kunden zeigt sich verantwortungsvolles Handeln. „Transparenz ist im Bereich Cyber-Security enorm wichtig. Und zwar in beide Richtungen: Dies betrifft sowohl Meldungen, die wir erhalten, als auch Meldungen, die wir herausgeben", sagt Lukas.

Oberstes Ziel ist natürlich, erst gar keine Sicherheitswarnungen ausgeben zu müssen. Für die Testabteilungen von Siemens sind Sicherheitstests vor der Auslieferung eigener Produkte daher ein essenzieller Schritt in der Qualitätssicherung.

„Wir arbeiten kontinuierlich daran, unseren Kunden unbesorgt die Digitalisierung ihrer Anlagen zu ermöglichen, sodass sie sich im Wettbewerb behaupten können“, erklärt Lukas. „Monitoring, Advisories und Testing gehören zur täglichen Routine im Umfeld der Cyber Security Response. So wie es für Betreiber chemischer Anlagen selbstverständlich ist, dass man adäquat mit Gefahrenstoffen umgeht. Unser Team ist 24 Stunden am Tag, sieben Tage die Woche für unsere Kunden im Einsatz.

Bildquelle: Siemens AG