Bekämpfung von Cybergefahren für die OT
TXOne: »Ausfallsicherheit hat in der OT oberste Priorität«
Wie stellt sich die Bedrohungslage für die OT in Deutschland dar, und welche Besonderheiten zeigt die OT- gegenüber der IT-Security? Mirco Kloss und Klaus Stolper vom OT-Security-Experten TXOne Networks informieren darüber sowie über Neuigkeiten im Produkt- und Lösungsportfolio des Unternehmens.
Markt&Technik: Vor kurzem hat Ihr Unternehmen die Version V2.1 seiner OT-nativen Netzwerk-Security-Lösung Edge V2.1 vorgestellt. Welche Neuerungen umfasst sie?
Mirco Kloss, Business Development Director DACH bei TXOne Networks: Edge V2.1 ist ein Update der Edge-Serie aus unserem Portfolio. Wir haben viel in die Usability investiert, damit die Lösung für die Kunden einfacher zu bedienen und zu handhaben ist. Außerdem wurde die Integration in die übergeordnete Plattform »SageOne« verbessert, was dem von Gartner so bezeichneten Prinzip der Cyber-Physical System Detection and Response (CPSDR) zugutekommt. Aus diesem Grund haben wir nun die Fähigkeit hinzugefügt, Netzwerk-Anomalien zu erkennen, was bereits in unserer Endpunkt-Lösung »Stellar« für Endpunkte vorhanden war.
Ist die Lösung also noch umfassender als zuvor?
Mirco Kloss: Ja. Wir betrachten unser Vorgehen als kontinuierliche Entwicklung unserer Produkte, um immer auf die Kundenanforderungen eingehen zu können.
Was brauche ich also, um meine Produktion wirklich gut zu schützen?
Mirco Kloss: Wenn wir uns das TXOne-Portfolio mal anschauen, dann bildet es alle wichtigen Elemente ab:
Die Edge-Serie sichert den Netzwerk-Bereich, etwa durch Netzwerk-Segmentierung, also Trennung von OT und IT, bis hinunter zur Mikro-Segmentierung, um einzelne OT-Systeme und Anlagen nochmal zu separieren, sowie durch virtuelles Patching durch OT-natives IPS, was vor allem wichtig ist für Altsysteme, die nicht mehr aktualisiert werden können. Auf diese Weise lassen sich Bedrohungen auf Netzwerkebene abfangen.
Daneben steht die Endpunkt-Lösung Stellar, damit unsere Produkte im Industrie-Endpunkt und im HMI laufen können. Übrigens wird die Lösung mittlerweile von Siemens in der offiziellen Kompatibilitäts-Liste für das Prozessvisualisierungssystem WinCC geführt.
Ihr Unternehmen bietet also auch eigene Hardware an, nicht nur Software?
Mirco Kloss: Das gilt für die Edge-Serie im Netzwerkbereich, ja. Die Edge-Geräte passen auch auf die typische Hutschiene. Die Endpunkt-Lösung Stellar ist natürlich eine Software-Lösung, die man aufspielt. Die Besonderheit bei uns: Stellar läuft sowohl auf Altsystemen wie etwa Windows XP als auch auf neuen. Somit bieten wir eine Oberfläche für alle Betriebssysteme. Außerdem ist Stellar sehr leistungsschonend unterwegs.
Angeblich ist im Maschinenbau ja wirklich noch viel an Windows XP und dergleichen vorhanden. Können Sie das bestätigen?
Mirco Kloss: Absolut. Das ist tatsächlich so, und wir sehen es immer wieder.
Was ist für die umfassende Absicherung der Produktion sonst noch erforderlich?
Klaus Stolper, Sales Director DACH bei TXOne Networks: Letztendlich ist OT-Sicherheit eine strategische Entscheidung der Unternehmensführung, ob und wie viel man in die OT-Sicherheit investieren will. Dann wird ein strategischer Plan erstellt, und den gilt es mit Technologie zu füllen. Das ist die Ausgangslage.
Mirco Kloss: Da passt unser »Portable Inspector« als nächstes Produkt gut ins Bild. Das ist ein USB-Stick, der sozusagen OT-Security to go liefert. In ihm befindet sich eine Scan-Engine, die ohne Installation eine Anlage prüfen kann, ob sie mit Schwachstellen oder Malware behaftet ist. Damit kann man schon so ziemlich alles mindestens erfassen, wenn man keine weiteren Lösungen im Einsatz hat, und Malware bis zu einem gewissen Niveau eigenständig bereinigen lassen, wenn man die Funktion freigibt. Mithilfe von drei Farben zeigt der Portable Inspector nämlich an, ob das Gerät sauber ist, ob Malware darauf liegt, die er selbst beseitigen kann, oder ob eine stärkere Lösung erforderlich ist.
Klaus Stolper: Es gibt außerdem die Situation, dass Unternehmen in bestimmten Maschinen nichts installieren oder mit ihnen in diese Richtung gehen dürfen, weil die Hersteller dies ausschließen, wenn die Garantie und damit Schadenshaftung bestehen bleiben soll. Das gilt vor allem in sensiblen Branchen, wie dem Gesundheitswesen und anderen KRITIS-Bereichen. Hier lässt sich der Portable Inspector gut nutzen, um die Maschinen dennoch zu scannen.
Mirco Kloss: Das ist richtig. Hier kommt uns aber die Mitgliedschaft im VDMA zugute, weil wir dort Gespräche mit den Branchen-Vertretern führen können. Was dabei immer wieder auffällt: Die Maschinenbauer sind offen, mehr externe Sicherheit zuzulassen, weil sie die Probleme erkennen. Das führt uns zum Thema der Regularien, und zwar der Maschinenbauverordnung, des Cyber Resilience Act (CRA) und der NIS-2-Richtlinie der EU. Mit allen muss sich der VDMA und müssen sich die Unternehmen befassen. Die Situation wird nämlich so sein, dass die Unternehmen ihre Systeme entsprechend schützen müssen, aber die Anlagenbauer verpflichtet sind, ihre Ab-Werk-Sicherheit zu erhöhen und die Lieferkette auf Einhaltung der Cybersecurity-Vorschriften zu prüfen.
Eigentlich sollte doch ohnehin jeder wissen, dass gewisse Sicherheitsstufen notwendig sind. Andererseits scheint es solche Regulierungen zu brauchen, um den Druck zu erhöhen und das Bewusstsein zu schärfen. Wie sehen Sie das?
Mirco Kloss: Meine etwas scharfe Standard-Antwort lautet hier: Hättet Ihr Euch mit den Standards und der Bedrohungslage beschäftigt, dann müssten die keine Regulierung schreiben und durchsetzen. Vor allem merkt man ja, dass der Fokus dieser Regeln sich verschoben hat, weil nun mit NIS-2 die Geschäftsführung ins Visier der Gesetzgeber rückt. Man will also die Cybersecurity auf diesem Weg auf die Ebene der Geschäftsführung hieven. Das ist logisch, denn auf den technischen Ebenen ist das Verständnis da, das merken wir ständig, aber das Budget muss die Geschäftsführung freigeben. Wenn wir dazu mal in unseren Annual Report schauen, worin wir auch deutsche Unternehmen befragt haben, dann kann man aus den Antworten ablesen, dass die Verantwortung zum C-Level wandert und Budgets geplant sind, um mehr umzusetzen. Wir sind da in Deutschland also auf einem besseren Weg als noch vor wenigen Jahren.
Klaus Stolper: Man muss natürlich bedenken, dass eine Geschäftsleitung einen anderen Blickwinkel einnimmt. Da geht es um Marktanteile, Wettbewerbsvorteile, Regress-Ansprüche. Das ist für uns natürlich eine Herausforderung, hier den richtigen Ton zu treffen, um denen zu erklären, dass OT-Sicherheit für ihre Ziele von Vorteil ist.
Außerdem schieben das doch bestimmt viele vor sich her, weil sie denken, dass die Aufwertung der OT-Sicherheit erstmal nur Geld kostet. Die Folge sind dann die Regularien. Was ist denn eines der wirklich starken Argumente, das sie den Leuten in den Unternehmen mitteilen?
Mirco Kloss: Es geht hauptsächlich darum, die Produktion am Laufen zu halten. Ausfallsicherheit ist das Ziel. Wenn man das Argument bringt, gehen die Augen auf, vor allem wenn man mal exemplarisch vorrechnet, was eine Stunde Ausfall in der OT kostet, verglichen mit dem Ärgernis, wenn die IT mal beeinträchtigt wird. Investitionsschutz ist da ein zweites Argument, also die Erklärung, dass man Altsysteme weiterhin betreiben kann, alte Maschinen und Anlagen nicht aussortieren muss. Es ist nicht notwendig, alte Systeme durch Refurbish oder Retrofit wieder tauglich zu machen. Man kann die Systeme mit unserer Lösung sicher laufen lassen, wodurch die langfristig angelegte Investition in solche Systeme geschützt ist.
Es ist also ein Irrglaube, zu sagen: Wenn man nichts macht, dann kostet es nichts?
Klaus Stolper: Genau, denn je länger man in puncto Cybersecurity nichts tut, desto mehr kostet es letztlich. Jeder Produktionsverantwortliche wird sagen, dass er sich eine Blechpresse von irgendeinem Hersteller für seine Karosserie-Fertigung für einige Millionen Euro kauft, den kleinen Elektronik-Anteil nicht weiter beachtet und die Maschine so lange produziert, wie sie eben funktioniert. Da schläft er nachts ruhig - 10 Jahre, 15 Jahre, 25 Jahre, 30 Jahre. Das ist eine Art von Technik, die so lange halten kann – und wirklich im Einsatz ist. Deshalb schaffen die dafür Verantwortlichen äußerst ungern neue Maschinen an, und sie wollen auch nicht an dem System herumbasteln, indem sie mal die Steuerungseinheit tauschen oder dergleichen. Warum sollten sie das aus ihrer Sicht tun? Die Maschine läuft doch. Aber weil heutzutage Produktionsumgebungen vernetzt werden, muss die Maschine auf digitaler Ebene geschützt werden, auch wenn sie sehr alt ist. Wir können das auch mit derart alten Systemen.
Ohne großen Aufwand für Integration und Retrofit?
Klaus Stolper: Richtig. Es ist so, dass viele Altsysteme eine Schwachstelle sind, weil sich die Mitarbeiter die Frage stellen, wie sie mit ihnen umgehen sollen. Moderne Maschinen werden ja mit modernen Sicherheitsmaßnahmen ausgeliefert, die alten aber sind gar nicht oder veraltet geschützt. Mit diesem Thema rennen wir also häufig offene Türen ein, weil jeder das Problem der alten Betriebssysteme kennt. Wenn wir dann erklären, dass wir Alt- und Neu-Systeme auf einer Oberfläche absichern, werden die Leute hellhörig.
Wie geht das konkret vonstatten, wenn man eine Windows-XP-Presse hat und sie sichern will als Maschinenbauer?
Mirco Kloss: Erstmal kann ich mit dem USB-Stick scannen. Dann könnte ich die Sicherheits-Software aufspielen – übrigens ohne die Maschine anhalten zu müssen für die Installation oder für Updates. Die Software kann dann die üblichen Prozesse kennenlernen, um danach Anomalien durch Ableitung zu erkennen. Zudem geht es ums Hardening und Whitelisting, um festzulegen, was zugelassen wird im Datenverkehr. Später kann man die Systeme in den Wartungsmodus versetzen, damit es, wenn das Wartungspersonal eintrifft, nicht zu ständigem Fehlalarm wegen Anomalien kommt. Anschließend könnte man die Software wieder in den Lernmodus versetzen. Darüber hinaus haben wir auf Kundenwunsch einen Notausschalter in die Software integriert. Das ist einzigartig – und es ist hilfreich, wenn die Software eine Störung verursachen würde, oder für die Fehlersuche, denn man kann einfach mal die Software abschalten, um zu sehen, ob der Fehler bestehen bleibt, weil bei der Fehleranalyse natürlich auch unsere Software unter die Lupe genommen wird. Das vereinfacht natürlich die Suche nach der Fehlerursache ungemein. Bislang wurde zwar keiner unserer Notausschalter aktiviert, aber die Produktionsleiter sagen uns, dass sie besser schlafen können, seit wir ihn integriert haben.
Wenn ich nun als Kunde zu Ihnen gehe und um Hilfe bitte, weil NIS-2 und CRA vor der Tür stehen: Was bieten Sie mir dann?
Mirco Kloss: In der OT handelt es sich immer um technische und organisatorische Maßnahmen, und wir kümmern uns um die technische und technologische Seite, um die Vorgaben zu erfüllen. Organisatorisch muss sich das Unternehmen selbst und mit Experten aufstellen, wobei wir dafür auch Partner und Reseller hätten.
Klaus Stolper: Die Partner bieten entsprechende Dienstleistungen an, etwa eine Analyse der OT-Infrastruktur, um Schwachpunkte zu finden. Danach kommt die Beratung, wie man die Analyse angehen kann, organisatorisch und technologisch. Diese Kombination kommt gut an, vor allem bei den großen Unternehmen, die oft Vorreiter sind. Der Mittelstand zieht dann nach – auch er wird langsam hellhörig.
Kloss: Ein Beispiel hierzu ist die Maschinenbauverordnung, die fordert, dass eine Maschine frei von Malware ausgeliefert werden muss. Da können wir mit dem USB-Stick »Portable Inspector« unterstützen. Er scannt einmal die Maschine. Dann druckt man den Bericht aus und legt ihn als Beleg für die Freiheit von Malware der ausgelieferten Maschine bei.
Klaus Stolper: Das zeigt auch die drei Wege, die wir beschreiten können, um Anlagen zu schützen: Wir können mit dem Endkunden sprechen, der seinen Maschinenpark schützen will, und wir können mit dem Hersteller der Maschinen sprechen, damit die Sicherheit ab Werk verbessert wird. Dann liefert er unsere Lösung gleich mit aus. Gleiches gilt natürlich für den Hersteller der Steuerungssysteme für die Maschinen. Der baut unsere Lösung dann gleich in seine Steuerung ein. Das unterstreicht nochmal, wie speziell die OT-Sicherheit ist und wie spezialisiert unser Unternehmen ist. Hier sei betont: Wir machen OT nicht neben der IT, sondern wir sind OT-nativ. Wir kümmern uns ausschließlich um OT-Sicherheit, und Ausfallsicherheit hat die oberste Priorität.
Das Interview führte Andreas Knoll.
Lesen Sie mehr zum Thema
