Experteninterview
2030 gibt es keine Industriekomponenten ohne Konnektivität mehr
Bevor Prof. Dr. Thomas Brandstetter als Inhaber von Limes Security, Professor für IT-Sicherheit und SANS-Trainer für ICS-Kurse arbeitete, war er u.a. offizieller Incident Response Manager von Siemens in der Stuxnet-Krise. Wir befragen ihn zu IIoT-Entwicklungen, Security-Threats und Schutzmaßnahmen.
SmarterWorld: Das sogenannte Industrial IoT verändert die Produktionsprozesse und erfordert einen engeren Austausch zwischen IT und OT. Aus Ihrer Sicht als Sicherheitsexperte: Wie bewerten Sie diese Entwicklung?
Thomas Brandstetter: Aus meiner Sicht ist diese Entwicklung sehr positiv, denn aus der Kombination heraus lassen sich bestimmte Fragen überhaupt erst klären. Security und IT sind kein Selbstzweck, sondern dient Unternehmensprozessen. Ob eine technische Security-Schwachstelle wirklich Relevanz für die industriellen Prozesse hat, kann ein Security-Experte alleine in der Regel nicht beantworten, hier braucht es das Wissen von Leuten aus der OT.
Warum denkt jeder, dass das IIoT verwundbar ist? Welche Cyberbedrohungsszenarien involvieren derzeit IIoT? Wie gefährlich ist die Situation aktuell? Würden Sie außerdem bezüglich der IIoT-Risiken zwischen IT und OT unterscheiden?
Ich denke, die Einschätzung kommt daher, dass viele Sicherheitsrisiken zwar auch in älteren Industrieanlagen prinzipiell schon bestanden haben, aber erst durch die starke Vernetzung unter Zuhilfenahme von Standardprotokollen und die Durchdringung mit Softwaresystemen wirklich praktisch relevant werden. Es gibt schon heute Produkte im Bereich Sensorik/Aktuatorik, die mit Software und Standardkommunikationsprotokollen ausgestattet sind. Falls diese Produkte am Markt angenommen werden und die Verwendung klassischer Sensorik mit Direktverkabelung abnimmt, wird eine moderne Fabrik zukünftig aus vielen Tausenden solcher Smart Sensors bestehen. Haben diese Smart Sensors Softwareschwachstellen, die sich remote ausnutzen lassen, wie es im IoT-Bereich mit Webcams und digitalen Videorekordern und dem Mirai Botnetz schon der Fall war, wäre es denkbar, dass ein Angreifer diese Smart Sensors kapert und gegen den Anlagenbetreiber einsetzt.
Welche Empfehlungen geben Sie Produktionsunternehmen, die ihre IIoT absichern wollen, ohne ihre Produktionsprozesse völlig neu aufsetzen zu müssen?
Ich bin der Meinung, dass wir uns immer noch in der Honeymoon-Phase der Konnektivität befinden, das heißt, dass immer mehr industrielle Komponenten mit Netzwerken verbunden werden, einfach weil es geht und als toll empfunden wird, an Daten zu kommen, vielleicht ohne Rücksicht auf (Sicherheits-)Verluste. Ich denke, dass auch heute schon bewusster Entscheidungen getroffen werden sollten, was tatsächlich eigene Softwarestacks und Netzwerkzugang erhalten soll, und was davon vielleicht besser doch noch isoliert bleiben sollte. Für Unternehmen, die diesen Schritt gehen, empfehle ich, sich von Experten beraten zu lassen, inwieweit sich dadurch die Angriffsoberfläche ihrer industriellen Kernprozesse verändert, um gegebenenfalls Maßnahmen zu deren Schutz einleiten zu können. In klassischen Industrienetzwerken ist es gut möglich, ein Verständnis über das typischerweise recht statische Normverhalten im Netzwerk zu erlangen und damit Auffälligkeiten rasch erkennen zu können. Mit steigender Komplexität der Netzwerke, die voll mit IIoT sind, erschwert sich dieses Baselining, da die Netzwerke voraussichtlich an Dynamik gewinnen werden.
Wie werden die flexiblen, agilen Produktionsprozesse in einer voll vernetzten IIoT-Welt aussehen? Wie werden diese im Jahr 2020 abgesichert sein?
Ich denke, in drei Jahren werden die Produktionsprozesse noch nicht so dramatisch umgestellt sein, dass sie völlig anders aussehen als bisher. Für 2030 könnte ich mir aber durchaus vorstellen, dass es keine neuen Industriekomponenten mehr gibt, die nicht über irgendeine Form von Software und Netzwerkfähigkeit verfügen. Die Vision einer agilen Produktion, in der sich Produktionsanlagen dynamisch an das Zielprodukt, das der Kunden weitestgehend selbst konfigurieren kann, automatisch anpasst, erscheint sehr reizvoll. Die Voraussetzung wird sein, dass die wesentlichen am Produktionsprozess beteiligten Komponenten sich nicht manipulieren lassen, obwohl sie zu völlig dynamischen Produktionslinien zusammengeschaltet werden. Ohne entsprechende Sicherheitsvorkehrungen, sowohl in den Geräten selbst als auch im industriellen Netzwerk, wird dies wohl eine Vision bleiben.
Vielen Dank für das Gespräch!
Das SANS Institute:
Das SANS Institute wurde 1989 als kooperative Forschungs- und Ausbildungsorganisation gegründet. SANS ist die zuverlässigste und größte Ressource für Trainings und Zertifizierungen in der Informationssicherheit und bietet dafür weltweit über 50 verschiedene Kurse auf mehr als 200 Live-Events sowie zahlreiche Online-Kurse an. GIAC, eine Tochtergesellschaft des SANS Institutes, ist eine international anerkannte Zertifizierungsstelle mit über 30 dazu passenden technischen Zertifizierungen für Informationssicherheit. Das SANS Technology Institute, eine regional akkreditierte unabhängige Liegenschaft, bietet Masterstudiengänge für den Fachbereich Cyber Security an.
SANS stellt der Informationssicherheits-Community eine Vielzahl von kostenlosen Ressourcen zur Verfügung, einschließlich Konsensprojekten, Forschungsberichten sowie Newslettern, und betreibt ein etabliertes Internet Frühwarnsystem – das Internet Storm Center. Im Mittelpunkt von SANS stehen die vielen erfahrenen Sicherheitsexperten, die aus verschiedensten Bereichen der Industrie, aus Behörden und Universitäten kommen. Sie arbeiten alle bei SANS zusammen, um die IT-Sicherheits-Community nachhaltig zu unterstützen. Mehr erfahren Sie hier: www.SANS.org
Professor Dr. Thomas Brandstetter:
Thomas Brandstetter ist CEO des österreichischen Beratungsunternehmens Limes Security, das sich auf die Sicherheitsberatung in den Bereichen industrielle IT-Sicherheit und sichere Softwareentwicklung spezialisiert hat. Seit 2012 ist er außerdem Professor für IT-Sicherheit an der FH St. Pölten und unterrichtet dort industrielle Cybersicherheit, Incident Response, Botnetze und Honeypots. Vor seiner Tätigkeit als Berater bei Limes Security arbeitete er bei Siemens als Manager des Programms „Hack-Proof-Products“, welches er mitentwickelt hat. Als Stuxnet weltweit für Schlagzeilen sorgte, beförderte ihn Siemens zum offiziellen Incident Response Manager. Später gründete er den Siemens ProductCERT, ein sehr erfolgreiches Team von Spezialisten innerhalb des Unternehmens. Er spricht regelmäßig auf Sicherheitskonferenzen und Fachkongressen. Im Rahmen seines Engagements für das SANS Institute leitet er vom 23. bis 28. Oktober in Berlin den Kurs ICS410: ICS/SCADA Security Essentials.
Lesen Sie mehr zum Thema
