Oliver Narr und Stefan Woronka von Siemens, Bild: ke NEXT

Glaubt man Sicherheitsexperten, so gibt es nur zwei Arten von Firmen: Die, die wissen, dass sie gehackt wurden, und solche, die es noch nicht wissen. Was in Sachen Security zu beachten ist, erklären Oliver Narr und Stefan Woronka von Siemens. Bild: ke NEXT

Ist das Thema Sicherheit im Sinne von Security denn im Tagesgeschäft von Automation und Industrie überhaupt relevant?

Oliver Narr: Es gibt momentan mehrere Treiber, die das Thema voranbringen. Zum einen ist die Wahrnehmung für Vorfälle in den letzten Jahren wesentlich größer geworden. In den Medien werden Fälle von Hacking oder Erpressersoftware wesentlich breiter kommuniziert. Das führt natürlich auch zu einem Umdenken in der Industrie. Darüber hinaus kommt das ganze Thema Standardisierung voran. Mittlerweile gibt es für die Security, nicht nur für Banken und Office, sondern im Industriekontext, mit der IEC 62443 einen Standard, ein sehr umfassendes Werk, das wirklich gute Handlungsempfehlungen bietet. Das ist ein weiterer Treiber.

Und natürlich gibt es durch staatliche Regulierungen einen gewissen Druck, sich mit dem Thema zu beschäftigen. In Deutschland ist es das IT-Sicherheitsgesetz, aber es gibt ähnliche Bestrebungen zum Beispiel in China. Das heißt, unsere Kunden, die Maschinen- und Anlagenbauer sowie deren Kunden, das produzierende Gewerbe, müssen sich mit dem Thema auseinandersetzen.

Stefan Woronka: Die zunehmende Konnektivität innerhalb des Unternehmens ist natürlich auch ein Grund, der Betreiber dazu veranlasst, das Thema Sicherheit zu überdenken. Vielfach kommt dann nämlich nicht nur der produzierende Zweig einer Firma ins Spiel, sondern auch die IT, und dort gelten schon seit Jahren bestimmte Vorstellungen, wie man das Thema Security angeht. Und wenn diese Welten aufeinanderprallen, dann entstehen Fragen.

Security-Norm IEC 62443, Grafik: Siemens
Die Security-Norm IEC 62443 legt die Aufgaben für Hersteller, Automatisierer und Betreiber fest. Siemens bietet in allen Bereichen Produkte und Dienstleistungen, sogar TÜV-zertifiziert. Grafik: Siemens

Sind die Unternehmen denn tatsächlich schon so weit mit der Vernetzung oder ist Industrie 4.0 eher ein Marketing-Hype?

Stefan Woronka: Es hat sich deutlich gewandelt, gerade die großen und mittleren Unternehmen pflegen zunehmend einen sehr effizienten Datenaustausch, auf der einen Seite von Produktionsdaten in die Büroumgebungen, aber natürlich auch aus den Büros zurück in die Produktion. Und wir als Siemens, als Komponentenhersteller, fördern das natürlich auch mit dem Thema Totally Integrated Automation.

Oliver Narr: Für den Maschinenbau im europäischen Raum sind Digitalisierung und Vernetzung zudem eine Riesenchance, sich vom Wettbewerb global abzusetzen. Eben nicht nur die eine Maschine zu liefern, sondern auch noch Services und Mehrwerte on top. Damit ist das Thema zwangsläufig securityrelevant.

Es gab ja in der letzten Zeit vermehrt Verschlüsselungs-Trojaner, die sogar Flughäfen und Krankenhäuser beeinträchtigt haben. Glauben Sie, dass künftig gezielte Angriffe auf die Industrie zunehmen werden?

Oliver Narr: Also bei den genannten Fällen, die Sie gerade ansprechen, da ist glaube ich kein gezielter Angriff passiert. Dieser Ransomware ist es erst mal egal, auf welchem Rechner sie landet. Das heißt, da haben wir in der Regel keinen proaktiven Zugriff. Aber natürlich kann es Fälle geben, wo Wettbewerber versuchen, Informationen auf unlauterem Weg zu erhalten. Oder dass jemand gezielt Unternehmen mit einer Verschlüsselungssoftware erpressen will. Die Fälle gibt es auch, darüber wird aber wenig gesprochen. Die öffentlich gewordenen Fälle in Krankenhäusern oder Bahninfoterminals waren aber letztendlich eher Zufall.

 IOT-Operating-System, Bild: ke NEXT
Über das cloudbasierte, offene IOT-Operating-System von Siemens lassen sich die Security-Reports in einer App weltweit betrachten. Bild: ke NEXT

Stefan Woronka: Wobei es schon wichtig ist, Kunden dabei zu helfen, zu identifizieren, welchen Bedrohungsszenarien sie eigentlich ausgesetzt sind. Es gibt durchaus Branchen, die unterschiedliche Bedrohungsszenarien haben, und dann haben natürlich für jeden Kunden spezifisch gewisse Angriffsszenarien mehr oder weniger Relevanz. Es gibt sicherlich Branchen, wo ein Schutz gegen einfache Feld-Wald-und-Wiesen-Angriffe ausreicht, wo der Kunde nur einen Minimumschutz aufsetzen muss, so wie es das IT-Sicherheitsgesetz fordert. Und dann wird es sicherlich Branchen geben, wo man definitiv deutlich mehr tun muss, um auch hochspezialisierte Angriffe zu erkennen und abzuwehren.

Sie hatten vorher die Normung erwähnt. Sind die Security-Normen analog zur Safety-Welt verbindlich? Und wie können die Normen den Maschinenherstellern oder Betreibern helfen?

Oliver Narr: Die Normenreihe IEC 62443, die für Hersteller, Integratoren und Betreiber Empfehlungen definiert, ist im gesetzgeberischen Sinne erst mal nicht verbindlich. Das ist ein klarer Unterschied zur Safety, zur Maschinenrichtlinie. Allerdings ist Security für die Industrie keine Kernkompetenz. Wir erleben, wenn wir mit unseren Kunden reden, dass jede Empfehlung, jeder Hinweis darauf, wie ein hohes Security-Niveau zu erreichen ist, dankbar aufgenommen wird. Mit der Norm haben wir nun ein Dokument, das für alle Teilnehmer einen Rahmen definiert. Ich kenne international nichts, was ein ähnliches Niveau hat von der Ausarbeitung, was auch so anerkannt ist. Von daher hat die Norm eher den Charakter eines Defacto-Standards.

Stefan Woronka: Spannend ist, dass sich doch einige der Regulierungen auf die IEC 62443 beziehen und sie damit natürlich dann verbindlich machen. Die FDA hat das beispielsweise in ihre Unterlagen mit aufgenommen und referenziert auf die IEC 62443. Entsprechend halten wir das Thema für sehr wichtig. Daher haben wir auch unseren Entwicklungsprozess für Automatisierungskomponenten zusammen mit dem TÜV Süd zertifiziert, um zu zeigen, dass unsere Produkte, und ich spreche jetzt von allen Produkten, nicht nur Security-Produkten, genau den Empfehlungen der IEC 62443 entsprechen.

Was bedeutet das im Detail?

Oliver Narr: Wir beachten bei der Entwicklung aller Automatisierungsprodukte, jeder SPS, jedes Controllers, den Security-Aspekt. Gibt es die Möglichkeit für unterschiedliche Benutzerprofile, gibt es Passwortschutz oder Zwei-Faktor-Authentifizierung?

Ein weiteres wichtiges Element ist zum Beispiel, dass Security-Updates zur Verfügung gestellt werden. Wenn man in den Medien liest, dass Webcams, Fernseher oder Smart-Home-Devices zu Botnetzen vereint werden und große DDoS-Attacken fahren, dann liegt das auch daran, dass diese Geräte nicht gepatched werden, es keine Updates für sie gibt. Laut IEC 62443 muss auch die Versorgung mit Updates sichergestellt sein.

Stefan Woronka: Über die sicheren Komponenten hinaus bieten wir dann sowohl für Integratoren als auch für Betreiber Unterstützung für den sicheren Aufbau und Betrieb von Anlagen und Maschinen. Das fängt mit Assessments an, um erst mal Transparenz reinzubekommen, wie gut ein Integrator oder Betreiber unterwegs ist in Bezug auf die Norm. Danach werden gemeinsam mit ihm Maßnahmen definiert, was er denn tun müsste, um die Norm so zu erfüllen, dass ein bestimmter Sicherheitslevel erreicht wird. Zuletzt unterstützen wir bei der Implementierung der Maßnahmen, vom Einrichten der Zwei-Faktor-Authentifizierung über das Anschalten der Schutzstufen und die Netzwerksegmentierung bis zum Implementieren von zusätzlicher Security-Software wie Antivirus- oder Whitelisting-Programmen.

"Wir helfen Kunden im...

... Rahmen unserer Managed Services beim Security Monitoring. Wir beobachten, wie der Status der Security in den einzelnen Anlagen ist.“

Stefan Woronka, Leiter Produktmanagement für Plant Security Services bei Siemens