Im letzten Jahrzehnt spielte die Cyber Security von Industriekomponenten eine eher untergeordnete Rolle. Man verließ sich im Wesentlichen auf die Abschottung durch Firewalls und gab sich mit Komponenten zufrieden die zwar ihre Automatisierungsfunktion erfüllten, aber keine oder nur unzureichende Security-Funktionen beinhalteten. Für die Hersteller von Industriesystemen gab es bisher keinen wirtschaftlich nachvollziehbaren Anlass, Entwicklungskapazitäten in dieses Thema zu stecken: Anlagenbetreiber als Endkunden der Hersteller und Integratoren beachteten dieses Thema wenig und fragten nur in geringem Ausmaß nach Security. Heute, drei Jahre nach dem Entdecken der Stuxnet-Malware und einer nachgelagerten Welle von Security-Schwachstellenmeldungen, hat sich dies geändert: Einige Hersteller von Industriekomponenten wurden wachgerüttelt und sind dabei, zunehmend Security-Maßnahmen in ihren Produkten zu ergreifen.
Deutlicher Rückstand der Automatisierung
Automatisierungshersteller haben in puncto Security daher einen deutlichen Rückstand im Vergleich zur Unternehmens-IT aufzuholen, die seit mehr als einem Jahrzehnt mit Security-Problemen konfrontiert ist. Ein Blick in die Vergangenheit lohnt hier: Das bekannte Softwareunternehmen Microsoft lernte Anfang dieses Jahrtausends, dass Cyber Security kein triviales Unterfangen ist. Im Jahr 2002 stand Microsoft an einem Scheidepunkt: Auf Grund der vielen Security-Schwachstellen in den eigenen Produkten, die stark von Computerwürmern für die Verbreitung ausgenutzt wurden, und dem stärker werdenden Security-Bedarf des Marktes, verlor man immer mehr Marktanteile in dem sehr wichtigen Markt der Web-Server. Das veranlasste den damaligen Microsoft CEO Bill Gates zu einem Memo [1] an alle Mitarbeiter, in dem er eine Kehrtwende einleitete: Eine Security-Initiative wurde gestartet, die einen sehr starken Fokus auf die Entwicklungsprozesse hatte, nach denen die Produkte entwickelt wurden. Microsoft investierte ab diesem Zeitpunkt erhebliche Ressourcen in das Thema Security. Dennoch dauerte es fünf weitere Jahre, bis die ersten Produkte erschienen, welche vollständig nach den neuen Security-Entwicklungsprozessen entwickelt wurden, und auch deutlich weniger Schwachstellen aufwiesen. Auch wenn Microsoft heute als einer der Vorreiter für sichere Softwareentwicklung gilt, müssen immer noch Monat für Monat Patches eingespielt werden, welche Betriebssysteminstallationen nach und nach von den Altlasten befreien.
Druck der Kunden ist erforderlich
Die Security-Vorgänge innerhalb der Automatisierungswelt erinnern an die Entwicklungen der IT-Welt von damals. Was wir daraus lernen können, ist: Der Security-Turn-Around eines gesamten Marktes kann nur mit dem entsprechenden Druck der Kunden entstehen, die kritisch ihre Integratoren und Hersteller nach Security fragen. Es ist ein weiter Weg zur industriellen Cyber Security, aber es lohnt, die Reise anzutreten. Was ist es nun genau, das Hersteller und Integratoren leisten müssen und worauf können Anlagenbetreiber achten? Es sind nicht einzelne Security-Features wie Firewalls, Mehr-Faktor-Authentisierung oder VPNs. Diese sind zwar wichtig, aber nur ein Teil der Lösung, da sie einer Abschottung dienen und eher helfen, Produkte abzuschirmen, die vielleicht Security-Schwachstellen beinhalten. Vielmehr muss der Hersteller Maßnahmen ergreifen, die zu einem ausreichenden und vernünftigen Maß sicherstellen, dass das Produkt an sich frei von Security-Mängeln ist. Diese Maßnahmen müssen wiederum übergreifend in alle wesentlichen Phasen des Entwicklungsprozesses integriert und verankert sein. Nur so kann sichergestellt werden, dass Security-Fehler in der Produktentwicklung entdeckt, behoben und langfristig vermieden werden können.
Best-Practice als Vorbilder
Es gibt mehrere Best-Practice Dokumente und Standards, die Herstellern bei der Implementierung eines solchen sicheren Entwicklungsprozesses helfen. Es ist jedoch ebenso empfehlenswert, diese als Betreiber zu nutzen, um sie als Quelle für eventuelle Lieferantenfragebögen heranzuziehen:
