Aufmerksamkeit schützt vor Hackern

Hat das Bewusstsein für Cybersecurity zugenommen?

Gernhard: Es hat zugenommen, aber nicht in dem Ausmaß, den ich damals beim Start des Arbeitskreises Security im Jahr 2012 erwartet habe. Es besteht nach wie vor dringender Handlungsbedarf, denn Deutschland und die EU werden mit Gesetzen und Regelungen Maßnahmen zum besseren Schutz, auch der Produktion, vor Cyberangriffen einfordern. Ein Mittel zum Zweck ist der Einsatz von zusätzlicher Informationstechnik (IT). Ohne das dazugehörige Wissen und die organisatorischen Fähigkeiten wird das allein nicht ausreichen, um für eine Erhöhung der Sicherheit zu sorgen. Hilfreich in diesem Zusammenhang sind die Bemühungen im Kontext von Industrie 4.0, aber dort ist Cybersecurity leider auch nur ein Thema von vielen.

Was empfehlen Sie einem Einsteiger?

Gernhard: Einfach anfangen und Vorsorge treffen, sowohl technisch als auch organisatorisch. Das ist genauso wie bei der alljährlichen Grippe-Epidemie. Das Risiko, sie zu bekommen, ist nun mal ohne Grippeschutzimpfung höher. In der vernetzten Welt ist keiner mehr vor einer Cyberattacke sicher. Hier muss ein Sinneswandel stattfinden.

Welche Maßnahmen sollten Unternehmen ergreifen, die sich mitten in der digitalen Transformation – Stichwort Industrie 4.0 – befinden?

Gernhard: Es ist eine klare und eindeutige Managementaufgabe. Die Verantwortlichen müssen die Risiken, die durch die Vernetzung drohen, ganz klar erkennen und Maßnahmen definieren. Mit Blick auf die Verfügbarkeit der Produktionstechnik müssen sie verstehen, dass ihnen erhebliche Schäden drohen. Davor ist auf Grund der Vernetzung niemand gefeit. Man findet immer wieder Nachrichten in der Fachpresse, beispielsweise dass Cyberattacken die IT einer Spezialfirma für Sicherheits- und Steuerungstechnik weitestgehend lahmlegte. Das Unternehmen hat diesen Vorfall publik gemacht. Das ist für mich richtig und wichtig.

Die Offenheit in Sachen Cyberattacken ist derzeit eher die Ausnahme: Inwiefern können Netzwerke wie der von Ihnen geleitete VDMA-Arbeitskreis Security dabei helfen – indem man untereinander offen über Cyberattacken spricht?

Gernhard: Wir gehen das Thema proaktiv an, indem wir die Risiken klar adressieren und Hilfestellungen zu den vielfältigen Fragen bieten. Mir geht es insbesondere darum, dass wir über Verbandsgrenzen hinweg gemeinsam für Transparenz sorgen. Eine gute Ausgangsbasis bietet auch die Plattform Industrie 4.0.

Manche Firmen beginnen nun ganz gezielt, bei ihren Mitarbeitern das Bewusstsein für Betrugsszenarien zu wecken. Was halten Sie von dem neuen Zauberwort Cyberresilienz?

Gernhard: Das ist der richtige Weg, denn Aufmerksamkeit bietet für diese Bedrohungsart den besten Schutz. Das ist eine Fähigkeit, die jeder Anwender von Cybertechnologien besitzen sollte.

Wie beurteilen Sie den Stand der Sicherheits-IT?

Gernhard: Vergleichen wir es mit dem Verkehr. Ein Autofahrer brauchte im Jahr 1920 ein ganz anderes Risikobewusstsein als ein heutiger Pkw-Lenker, dessen Fahrzeug eine deutlich geringere Aufmerksamkeit erfordert, weil es ihm vieles abnimmt. Fahrzeuge und Infrastruktur machen das Autofahren heute sehr viel risikoärmer. Im Vergleich dazu ist der Reifegrad unserer gegenwärtigen IT in Bezug auf ihre inhärenten Risiken auf dem Stand eines Autos von 1920. Es erfordert vom Benutzer eine hohe Aufmerksamkeit und vielfältiges Wissen. Awareness oder auf gut Hessisch „uffpasse!“ ist aktuell ein zentrales Thema.

Ist das nicht Angstmacherei?

Gernhard: Es ist keine Angstmacherei. Beispielhaft werden Szenarien im Roman Blackout von Marc Elsberg durchgespielt. Die technischen Aspekte darin sind eben keine Fiktion, sondern entsprechen den Realitäten und sind nur von ihm romanhaft und spannend verpackt worden. Hier wurde ja auch der Gesetzgeber mit dem IT-Sicherheitsgesetz (Kritis) aktiv, das sich gerade in Überarbeitung befindet.

Der IT-Experte Peter Turczak sagte, er würde in eine Cloud niemals Daten ablegen, ohne die der Betrieb stillstehen würde. Unternehmen benötigen jedoch Daten für die Umsetzung von Industrie 4.0 und müssen sie sicher speichern. Was gehört in die Cloud und was nicht?

Gernhard: Der IT-Kollege spricht die zentrale Forderung der Betriebstechnik oder Operational Technology, also OT, nach Verfügbarkeit an. Als Nachrichtentechniker sehe ich immer den Wettbewerb zwischen Bandbreite, Rechnerleistung vor Ort und natürlich den Kosten. Die Cloud bietet vielen eine zentralisierte Anwendung mit viel Rechenleistung, wenn die Bandbreite stimmt. Der Anwender muss die Art des Cloud-Einsatzes mit Blick auf seine Risikobereitschaft und Verfügbarkeitsanforderungen und seinen technischen und organisatorischen Fähigkeiten abwägen. Eine andere wichtige Frage ist das Vertrauen beziehungsweise die Vertrauenswürdigkeit des Anbieters und deren Sicherstellung.

Es ist also eine Vertrauensfrage?

Gernhard: Genau, ich muss mich fragen, wem ich wie vertraue. Reichen im gegebenen Rechtsraum technische Maßnahmen, Verträge und Zertifizierungen von beteiligten Dienstleistern aus?

Während der METAV 2020 verfügen die meisten Werkzeugmaschinen über Internetanschluss. Worauf sollten Messebesucher achten?

Gernhard: Es handelt sich hoffentlich nicht um einen offenen Internetanschluss, sondern um eine, auch hier wieder, vertrauenswürdige Verbindung. Fragen Sie hierzu nicht nur nach der technischen Lösung, sondern auch nach den organisatorischen Fähigkeiten des Anbieters. Technisch bieten sich private VPN-Netze mit entsprechender vertraglicher Absicherung an.

Wie kann sich der Messebesucher vorbereiten?

Gernhard: Hilfe bietet die Norm ISO/IEC 62443, die im Teil 2 bis 4 mit den Anforderungen an das IT-Sicherheitsprogramm von Dienstleistern für industrielle Automatisierungssysteme den Rahmen vorgibt, worauf er bei Angeboten achten sollte. Ansonsten sind Regelungen und Standards, auch wenn sie oft etwas spröde sind, hilfreich und zielführend.