Erichs Klartext-Kolumne »Keine Blaupause für Security«

ERICH BROCKHARD 
Director Application bei EBV Elektronik und "Missionar" des deutschen Mittelstands beim Thema Industrie 4.0
ERICH BROCKHARD Director Application bei EBV Elektronik und "Missionar" des deutschen Mittelstands beim Thema Industrie 4.0

Dass das Thema Sicherheit bei Industrie 4.0 höchste Priorität hat, ist keine neue Erkenntnis. Es ist jedoch bemerkenswert, dass der Mittelstand immer wieder auf die eher allgemeinen Empfehlungen des Bundesamts für Sicherheit und Informationstechnik (BSI) hingewiesen wird

Zwei Wochen nach der Veröffentlichung des entsprechenden BSI-Dokuments wurde bekanntlich die Bundestag-IT gehackt.

Leider gibt es eben kein Patentrezept für Security. Tatsächlich muss jeweils individuell eine Bestandsaufnahme gemacht und ein Security-Konzept ausgearbeitet werden, das von der Infrastruktur und der individuellen Bedrohungslage abhängt. Ist es das Kopieren von IP in Asien? Ist es die Stilllegung der Produktion oder drohen sogar physische Schäden an meiner Anlage? Es werden viel zu wenig wirtschaftliche Analysen des Worst-Cases gemacht: Was kostet es mich, wenn ich gehackt werde und das Bedrohungsszenario eintritt?

Oft wird nach einer Blaupause für ein Security-Konzept gefragt, dieses gibt es aber nicht. Eine Blaupause wäre ein Käseglockenprinzip: Ich nehme die Firma XY, lege eine Käseglocke drüber und führe nur eine Leitung, die über Firewalls abgesichert ist, nach draußen. Dieses Prinzip gibt es nicht und wird es niemals geben. Wie bei dem OSI-Schichtenmodell braucht man vielmehr eine Art Zwiebelmodell mit unterschiedlichen Schichten, das individuell implementiert werden muss.

Viele Manager fragen auch nach einem ROI der Investitionen für die Umsetzung eines Security-Konzeptes. Diesen antworte ich Folgendes: Wenn man darauf hofft, dass ohne Schutzmaßnahmen nichts passiert, weil die letzten fünf Jahre nichts passiert ist und man hofft, dass in den nächsten zehn Jahren auch nichts passiert, kann man keinen ROI berechnen, dann hat man einfach nur Glück gehabt. Man möge sich aber vorstellen, was passiert, wenn ein kleine Störung aus Ihrem Haus dafür verantwortlich ist, dass die Produktion eines Multimilliarden-Dollar-Konzerns lahm gelegt wird, dann wäre der ROI offensichtlich. Die Naivität, »es wird schon gutgehen«, führt heute zu absurdesten Szenarien. Es ist ja unstrittig, dass man mit TPM-Modulen Embedded-PCs vergleichsweise gut absichern kann. Diese Module kosten zwischen 50 Cent und 2 Dollar.


Wenn heute Produzenten von Embedded-PCs sagen, ich spare mir diese 50 Cent ein, weil der Endkunde nicht bereit ist, diesen Aufpreis zu zahlen, habe ich dafür kein Verständnis. Und diejenigen, die doch noch 50 Cent ausgeben, nutzen die Funktionalität manchmal nur teilweise, weil sie an der Software und Dokumentation sparen wollen. So funktioniert das nicht! 
 
» Es wird schon gutgehen, ist naiv gedacht «


Ein sicherlich ganz wichtiger Punkt ist die Integration von Security in laufende Produktionsabläufe und die Migration von einer unsicheren in eine sichere Welt. Wenn man eine Steuerung austauscht, sollte man sich daher schon heute Gedanken machen, ob ausreichend Security implementiert ist. Das gilt natürlich erst Recht für die Steuerungs-Hersteller z. B. bei einem Plattformwechsel. Hier müssen modulare Konzepte her, damit man nicht alle Steuerungen wegwerfen muss. Klar ist, solange unsichere Komponenten im Einsatz sind, muss zur Not eine physikalische Trennung von IT und OT erfolgen, bis der Rest von OT ausreichend gesichert ist. Ich rate immer, mal durch die Fertigung durchzugehen und zu zählen, wie viele PCs, Notebooks und Tablets dort vorhanden sind mit – ggf. noch schwach oder gar nicht verschlüsseltem – WLAN und Bluetooth und wie viele offene USB-Anschlüsse existieren. Auf der anderen Seite kommen Mobilgeräte ja immer mehr zum Einsatz, um z. B. Services für Mehrwertdienste bereitzustellen. Natürlich hat man auch keinen Einfluss auf eine Firmware von Tablet-Herstellern. Hier könnte ein Markt für App-Hersteller entstehen wie bei den sicheren Banking-Apps. Um neue Services und Geschäftsmodelle mit Big-Data-Analyse bereitstellen zu können, bedarf es einer sicheren Cloud. Mittelständler haben Bedenken, bei Google oder Amazon z. B. ihre sensiblen Daten zu speichern.

Es gibt ja das amerikanische Legal Interception, wo die NSA und andere auf legalem Wege in die Router großer Hersteller eindringen dürfen. Davon sind vermutlich auch SAP oder IBM nicht befreit. Allerdings sind Cloud-Services für diese großen Anbieter wie IBM mit Watson oder SAP ein Geschäftsmodell. Daher wäre für diese Firmen ein Hack die größte anzunehmende Katastrophe und sie haben sicher bessere Lösungen als eine kleine Firma XY, die sich mit limitierten wirtschaftlichen Mitteln eine Inhouse-Cloud baut.

 
» Ich setze auf das Indus-trial Datacenter « 

Relativ große Hoffnungen setze ich in das Konsortium »Industrial Datacenter«. Ich verstehe nach wie vor nicht, warum sich die Bundesregierung dieses Themas nicht intensiver annimmt. Warum baut man nicht in Deutschland Rechenzentren auf und hält die Kommunikation in Deutschland, statt alles per Glasfaser in die USA zu schicken? Leider ist die Beratung der Bundesregierung meist lobbygetrieben und die einzelnen Interessengruppen wollen ihre Vorschläge und Standards durchsetzen. Das ist nicht zwangsläufig immer die geeignetste bzw. beste Lösung.

Es gibt also noch viele Fragen zu beantworten und Herausforderungen zu lösen. Nichtsdestotrotz gebe ich Ihnen Brief und Siegel: Die Lösungslieferanten, die schon heute Security-Konzepte vorsehen, werden die Gewinner von morgen sein. Schon in naher Zukunft werden diese Konzepte Vorzug vor den billigen, aber angreifbaren Lösungen, erhalten. Auch wenn das Ziel von Attacken nicht immer iranische Uranzentrifugen sein dürften wie beim Hack eines PLC-Herstellers, kann es sich kein Industriehersteller mehr leisten, sich in der vernetzten Welt auf die Hoffnung »es wird schon gutgehen« zu verlassen. (fr)