Der digitale Wandel ändert auch die Bedingungen in der Industrie schneller als zuvor war. Industrieanlagen werden zunehmend digitalisiert, vernetzt und an die Cloud angebunden. Da stellt sich die Frage, wie sicher können neue und natürlich auch die bereits vorhandenen Automatisierungssysteme betrieben werden. Die Redaktion der IEE sprach mit Franz Köpinger, Marketing Manager Cyber-Security for Industry bei Siemens, über die speziellen Anforderungen der Industrie und der Cyber-Security und über den Megatrend „Connectivity“.
Der Megatrend „Connectivity“ beschreibt das Grundmuster des gesellschaftlichen Wandels im 21. Jahrhundert: das Prinzip der Vernetzung auf Basis digitaler Infrastrukturen. Brauchen Unternehmen ein umfassendes und systemisches Verständnis des digitalen Wandels um eine technologisch vernetzte Kommunikation aufzubauen?
Franz Köpinger: Ich denke, man benötigt ein Verständnis davon welche Möglichkeiten und Vorteile der digitale Wandel mit sich bringt. Dann kann das auf die eigenen Anforderungen und Anwendungsfälle adaptiert werden. Digitale Anwendungen wie der digitale Zwilling oder Virtual Commissioning erfordern, dass die reale Welt virtuell abgebildet wird, und dafür werden große Datenmengen in kurzer Zeit benötigt. Eine umfassende Vernetzung ist dafür die Voraussetzung und neue Technologien wie Edge- und Cloud-Computing oder 5G werden hierbei immer wichtiger.
Das Betriebssystem der kommenden Gesellschaft, das Internet, ist führendes Kommunikationsmedium für eine stetig steigende Zahl von Menschen und Maschinen und ein elementares Werkzeug für Industrien, Organisationen und Individuen. Aber auch ein gefährdetstes Betriebssystem wie die Zahl der Cyber-Angriffe belegt. Gibt es einen wirksamen Schutz?
Franz Köpinger: Das Internet ist sicherlich eines der Haupteinfallstore für Hacker oder Malware. Gleichzeitig werden auch Automatisierungssysteme Teil des IoT und die Konvergenz von IT und OT sorgt dafür, dass Automatisierungsnetze im Prinzip mit dem Internet verbunden sind. Damit steigt auch das Cyber-Risiko für Industrien. Aber genauso wie ein wirksamer Schutz vor den Gefährdungen aus dem Internet in der IT möglich ist, ist das auch für die OT möglich. Ein wirksamer Schutz basiert immer auf einer mehrschichtigen Verteidigung in der Zugriffsschutz auf Netzwerke und Endgeräte kombiniert wird mit sicherer Kommunikation, Authentifizierung und organisatorischen Maßnahmen.
Unternehmen stellen zunehmend Fragen zur Cyber-Sicherheit, da sie gesetzlich verpflichtet sind, entsprechende Maßnahmen umzusetzen, und dies ohne die Unterstützung ihrer Lieferanten nicht tun können. Was muss ein Unternehmen beachten,?
Franz Köpinger: Nun, es gibt ja mittlerweile Security-Standards für die Industrie, wie z.B. die IEC 62443. Dieser Standard deckt Security-Anforderungen an Hersteller, Integratoren und Betreiber ab und kann als Richtlinie für die eigenen Maßnahmen dienen oder es können auch Anforderungen an die Lieferanten daraus gestellt werden. Viele Unternehmen machen das bereits so.
Wie umfangreich ist der gesamte Prozess rund um eine „Cyber-Security for Industry“ und was benötige ich an Wissen?
Franz Köpinger: Diesen Prozess kann man aufteilen in drei Phasen. Zunächst die Bestandsaufnahme, d. h. z. B. die Durchführung von Security Assessments und Risiko-Analysen bei der Risiken aufgezeigt und Maßnahmen zu deren Minderung definiert werden. Darauf aufbauend erfolgt dann die Implementierung der Maßnahmen und letztendlich der Betrieb. Dieser beinhaltet vor allem Maßnahmen zur Erhaltung der Sicherheit, also z. B. Patchmanagement oder die Überwachung der Anlage mittels Security Monitoring. Man benötigt neben dem Security Know-How auch industriespezifisches Domänenwissen, um den Prozess möglichst effektiv gestalten zu können. Wenn das im eigenen Unternehmen nicht in ausreichendem Maße zur Verfügung steht, kann man sich Unterstützung bei industriellen Security Dienstleistern holen.
Stichwort: Machine Learning - lernende Maschinen können in großen Datenmengen Muster und Gesetzmäßigkeiten erkennen, Problemlösungen optimieren und letztlich die Effizienz der gesamten Wirtschaft steigern. Ist Machine Learning ein Fluch oder ein Segen für die IT-Security?
Franz Köpinger: Das kann beides sein. Einerseits kann ML helfen Cyber-Angriffe frühzeitig zu erkennen, z. B. wenn sie bei Anomalie-Erkennungen oder der Analyse von Angriffen eingesetzt werden. Genauso gut, kann ML aber auch von Hackern eingesetzt werden, um z. B. Schwachstellen schneller analysieren zu können. Es ist ein zweischneidiges Schwert, aber das gilt für alle neuen Technologien. Cyber-Kriminelle nutzen natürlich neue Technologien und daher müssen das auch die Verteidiger tun, um „up-to-date“ zu bleiben.
Kann ML-basierte Sicherheitssoftware eine sinnvolle Ergänzung bei der Cyber-Sicherheit sein?
Franz Köpinger: Es gibt Ansätze ML bei Anomalie-Erkennungen einzusetzen, z. B. bei Anzeichen von Materialermüdung. Aufgrund der hohen Geschwindigkeit bei Mustererkennungen ist es m. E. vorstellbar, dass ML-basierte SW im Prinzip auch bei Security Anomalie-Erkennungen eingesetzt werden kann.
Siemens entwickelt nach den Prinzipien „Security by design“ und zunehmend auch nach „Security by default“. Können Sie uns die beiden Begrifflichkeiten näher erläutern?
Franz Köpinger: „Security by design“ bedeutet, dass Security Aspekte und Anforderungen bereits zu Beginn einer jeden Produktentwicklung berücksichtigt werden. Konkret heißt das z. B., dass für jedes Produkt eine Risikoanalyse durchgeführt wird, um Sicherheitslücken von vornherein zu vermeiden. „Security by default“ bedeutet, dass Sicherheitseinstellungen bereits im Auslieferungszustand eingestellt oder vorgegeben sind. Es kann z. B. bei Erstinbetriebnahme die Vergabe eines sicheren Passwords vorgegeben werden. Der Vorteil hier ist, dass es den Anwendern leichter gemacht wird, erforderliche Security Konfigurationen vorzunehmen.
Was zeichnet Siemens als Partner, für die Cyber-Security zum Schutz der industriellen Produktion aus?
Franz Köpinger: Siemens verbindet fundiertes industrielles Domänenwissen, sowie spezifisches Branchenwissen mit dem Verständnis für Cyber-Security und kann dieses somit optimal verbinden. Wir nutzen auch die Erfahrungen aus den eigenen Produktionswerken und können die Erkenntnisse an unsere Kunden weitergeben und in unsere Produkte und Services einfließen lassen.
Sie möchten gerne weiterlesen?
Unternehmen
Siemens AG, Division Industry Automation
Frauenauracher Str. 80
91056 Erlangen
Germany