"Wir brauchen Standards, die überschaubar sind"

Laut einer Cyber-Sicherheits-Umfrage des BSI im Jahr 2015 gaben von über 400 Befragten knapp 58 Prozent an, dass sie in den letzten zwei Jahren das Ziel von Hackern waren. Überrascht Sie das?
Man kann in jedem Fall davon ausgehen, dass die Dunkelziffer viel höher liegt. Das liegt daran, dass im Moment noch keine durchgehende Pflicht besteht, Security-Vorfälle zu melden. Das erklärt, warum Entscheidern heute die Notwendigkeit, in Sicherungsmaßnahmen zu investieren, noch nicht immer erkennen. Das kann sich mit der Meldepflicht des Sicherheitsgesetzes und der EU NIS Direktive ändern.

Eine 100-prozentige Sicherheit gibt es nicht. Trotzdem sollen in Zukunft Maschinen miteinander kommunizieren und vernetzt sein; was wiederum auch Einfalltore für Hacker liefert …
Und das gilt umso mehr, je mehr wir über Industrie 4.0 sprechen, wenn sich die Fabrikhallen unternehmensübergreifend öffnen und die auftragsabhängige und automatisierte Maschinenkommunikation neue Geschäftsmodelle ermöglicht. Industrie 4.0 basiert auf unternehmensübergreifender Vernetzung. Das bedeutet, wir müssen die Security miteinander verbundener, externer Maschinen also neue Geschäftsprozesse in den Griff bekommen.

Welche Security-Standards brauchen wir dann? Und brauchen wir diese überhaupt?
Standards sind super, weil sie eine Diskussion ersparen. In einem Standard ist festgelegt, welche Handlungsalternativen es gibt, welche Risiken damit verbunden sind und was die weltweiten Maßstäbe sind. Wir brauchen vor allem Standards, die überschaubar sind.

Ich bin davon überzeugt , dass wir dafür in Deutschland eine gute Basis haben. Man darf nicht erwarten, dass die Arbeitsgruppe 3 der Plattform Industrie 4.0 mit einer Lösung an den Markt kommt, in der alles ausdefiniert ist. Wir können aber ein neues Vorgehen im Bereich Sicherheit erarbeiten. Das wird dann über mehrere Iterationen zu einem guten Reifegrad heranwachsen, irgendwann adaptiert und dann zum Standard werden – möglicherweise sogar auf weltweiter Ebene.

Große Konzerne haben genug Geld, sich Sicherheitssysteme aufzubauen. Aber was machen kleine Mittelständler, die digitalisieren wollen? Wie können die sich schützen?
Es gibt zwei Möglichkeiten. Die eine Möglichkeit ist, die Security auszulagern. Entsprechende Leistungen werden einfach auf monatlicher Basis eingekauft, ohne dass ein neuer Mitarbeiter eingestellt werden muss. Mittelständler erhalten so eine hohe Kompetenz zu einem entsprechend angemessenen Preis und sparen Kosten.

Die zweite Möglichkeit besteht darin, dass man Systeme einsetzt, die einen gewissen Teil der Security-Arbeit automatisiert übernehmen. Der „Black Energy“ Angriff (Kompromittierung von Firmware-Updates auf der Hersteller-Webseite) hat uns gezeigt, dass Security in kritischen Bereichen nicht immer vollständig automatisiert umgesetzt werden sollte. Insbesondere in kritischen Prozessen werden wir immer einen Menschen brauchen, der Entscheidungen trifft.

Das ist wichtig, denn im schlimmsten Fall könnte es sonst passieren, dass etwa ein Notabschaltungsbefehl von einem anomaliebasierten Schutzzsystem als Angriff erkannt und unterbunden wird, da er ja nur höchst selten auftritt.
IBM hat nun konzeptionelle Ideen, bei denen wir eine unserer Security-Technologien mit der Watson-Technologie verbinden. Dadurch wären wir zum Beispiel in der Lage, einem Anlagenbetreiber pünktlich zu sagen, dass ein Ereignis zwei Angriffstypen entspricht. Ein Security-Experte kann heute die Vielzahl von Angriffsformen nur noch mit sehr viel Aufwand überblicken. Hier würden Expertensysteme wie Watson durchaus helfen. Watson ist ein kognitives System, das jegliche Daten verarbeiten kann. Über APIs (Application Programming Interface) wird Watson von Fachexperten zu den jeweiligen Themen trainiert.

Dieses System könnte mit einem Sicherheitsüberwachungssystem verbunden werden, untereinander kommunizieren und eine Frage über Watson an den Betreiber stellen. Etwa: ‚Hier sehe ich Bewegungen, die einem Standard nicht entsprechen und gefährlich aussehen. Was möchten Sie tun?‘ Der Anlagenbetreiber könnte daraufhin antworten, dass das eine Notabschaltung ist und dass das System diese in Zukunft blockieren, aber keinen Alarm abgeben soll.

Das heißt, Watson lernt, dass bestimmte Situationen nicht gefährlich sind?
Genau genommen lernt Watson nicht, sondern das dazugehörige Cognitive Intelligence System, dass im Hintergrund steht. Dieses Zusammenspiel könnte ein Game Changer für den gesamten Security-, speziell aber industriellen Bereich sein. Im Augenblick besteht nämlich das große Problem darin, dass heutige Security-Experten sich zwar mit der Office-IT auskennen, aber oft nicht mit Produktionsprozessen und deren Risiken. Außerdem müssen die Unternehmen verstehen, dass die Grenzen zwischen der Office- und der industriellen Infrastruktur sich bereits verwischen, was für Industrie 4.0 überhaupt eine Grundvoraussetzung ist.

Müssen beim Thema Security auch die Mitarbeiter mitgenommen werden? Denn oft werden Mitarbeiter als hohe Sicherheitslücken gesehen.
Das kann man auch ganz anders sehen, Mitarbeiter sind häufig die einzige und letzte Instanz, etwa neuartige Angriffe zu erkennen. Es gibt viele Beispiele vom deutschen Mittelstand, wo überhaupt nur durch einen aufmerksamen Mitarbeiter herrausgekommen ist, dass gerade ein Angriff läuft.

Ich kenne mindestens vier Fälle, wo ein aufmerksamer Mitarbeiter einen Fehler entdeckt hat, den kein IT-System erkannt hätte. Ich gehe einfach davon aus, dass zu einer normalen Sicherheitsschulung im Unternehmen oder zu einer Security-Schulung das Thema „Dinge, die man niemals tun sollte“ dazugehört.

Es liegt dann am Unternehmen, ob solche Prozesse sehr genau ausgeführt werden und ob die Schulungen für den Mitarbeiter einfach konsumierbar sind. Damit das passieren kann, muss letztendlich das Management diese Schulung unterstützen. Sie müssen dafür sorgen, dass die Mitarbeiter dafür freigestellt werden, um eine zweistündige Schulung zu bekommen. Damit ist es am Ende eine Management-Herausforderung.