TÜV Rheinland »In Sachen Cyber-Sicherheit gibt es reichlich Luft nach oben«

Frank Melber, TÜV Rheinland: »Netztrennung und Netzsegmentierung ist das Allerwichtigste.«
Frank Melber, TÜV Rheinland: »Netztrennung und Netzsegmentierung ist das Allerwichtigste.«

Auf dem Weg zu Industrie 4.0 müssen industrielle Steuerungssysteme besser als derzeit üblich gegen Cyber-Angriffe abgesichert werden. Erprobte Strategien und Lösungen gibt es zuhauf - man müsste sie nur auch in der Produktion anwenden.

Laut Frank Melber, Spezialist für die Abwehr gezielter komplexer Angriffe (APT) und Head of Business Development IT Security bei TÜV Rheinland, wären die Hürden für Hacker schon deutlich höher gelegt, wenn erprobte Strategien und Lösungen der Informationssicherheit auch in der Produktionsumgebung häufiger in die Tat umgesetzt würden. Im Interview informiert er über Sicherheitsdefizite und Lösungsmöglichkeiten in Industrieumgebungen.

Markt&Technik: Wie würden Sie das aktuelle IT-Sicherheitsniveau in der deutschen Industrie beschreiben?

Frank Melber: Es gibt je nach Produktionszweig bzw. Branchen sicherlich Unterschiede, aber vielfach ist reichlich Luft nach oben. Oft sind in der Produktions-IT nur wenige oder gar keine IT-Security-Maßnahmen umgesetzt. Selbst grundlegende Best-Practices wie die konsequente Netztrennung und Kontrolle der Netzwerkübergänge sind häufig nicht realisiert.
 
Wie ist das zu erklären?

Industrielle Steuerungssysteme wurden zu einem Zeitpunkt entwickelt, als Cyber-Sicherheit noch nicht die heutige Relevanz hatte. Solange die Systeme proprietär und nicht mit anderen Systemen vernetzt waren, war es nicht so problematisch, dass die verwendeten Protokolle in Industrienetzwerken zwar robust, aber nicht sicher waren. Die zunehmende Vernetzung und mangelnde Absicherung öffnet Angreifern jedoch Tür und Tor. Umso wichtiger ist es, wirksame Kontrollmechanismen zu etablieren. Unserer Ansicht nach haben aber viele Unternehmen ihre Risiken besonders im Bereich der Produktions-IT noch nicht vollständig bewertet.
 

Wie sollten Unternehmen vorgehen?

Um zu einer wirksamen Cyber-Security-Strategie zu kommen, sollten Unternehmen zunächst ermitteln, auf welchem Niveau sie sich in punkto Informationssicherheit bewegen. Dabei sind alle Netze, also die klassische Office-IT und die Produktions-IT, in die Bestandsaufnahme einzubeziehen; gleiches gilt für die bereits ergriffenen technischen wie organisatorischen Maßnahmen. Wichtig ist natürlich, dass man sich darüber im Klaren ist, was es im Unternehmen zu schützen gilt, aber das ist ja ein grundsätzliches Gebot des Risiko-Managements.
 
Welches sind nach Ihrer Erfahrung die typischen Sicherheitsdefizite in der Produktions-IT?

Immer wieder treffen wir auf mangelnde Netztrennung oder auch Netzsegmentierung. Die Frage ist: Wo hat die Produktions-IT Schnittstellen in andere, mit dem Internet verbundene Netze? Über diesen Weg haben es Angreifer vergleichsweise einfach, nicht oder kaum geschützte Produktionsanlagen zu stören oder sie gezielt und dauerhaft zu manipulieren. Sind Office-IT und Produktions-IT getrennt, ist zu prüfen, über welche technischen Maßnahmen die Netzwerktrennung erfolgt ist. Eine klassische »Port Firewall« reicht je nach Angriffsvektor möglicherweise nicht aus.
 
Eine Schnittstelle sind aber auch Remote-Zugänge, die System-Hersteller oder Anlagenbetreiber zu Diagnose und Wartung der Anlagen nutzen ...

Richtig. Weil über Remote-Zugänge Produktionssysteme vielfach direkt oder indirekt über das Internet erreichbar sind, steigt damit das Risiko einer Manipulation. Hinzu kommt: Der Zugriff auf die Produktionssysteme erfolgt oft von einem System, das nicht vom Unternehmen selbst kontrolliert wird, sondern das sich unter der Hoheit eines Dienstleisters befindet. Und dieser pflegt möglicherweise weniger strenge Sicherheitsvorgaben als man selbst. Im Ernstfall kann dies die eigene Sicherheitslage beeinflussen und auch Compliance-Fragen berühren.