Wie sehen Sie die Entwicklung des Themas Security angesichts des Themas Industrie 4.0?
Mischkovsky: Wir haben jetzt das schöne Schlüsselwort \’Industrie 4.0\‘, aber die Technologien sind letztendlich seit Jahren im Einsatz und werden bereits intensiv genutzt. Es ist schon ein unser Leben bestimmendes Element. Ein Beispiel wäre, dass ein Konsument bei einem Motorradhersteller 24 Stunden bevor das Motorrad wirklich produziert wird noch über ein Web-Front-end Änderungen an der Bestellung vornehmen kann. Und da sieht man auch, was eigentlich Industrie 4.0 ist. Es gibt keine Zentrale mehr, sondern alles ist miteinander vernetzt; es besteht eine sehr hohe Flexibilität und Geschwindigkeit. Eine weitere Herausforderung der Anlagen: Sie müssen geschützt werden. Stuxnet war ein Paradigmenwechsel und hat eine neue Sichtweise auf Produktionsstätten hervorgerufen. Es gilt nicht mehr, dass Industrieanlagen produktionsfähig sein müssen. Es stellt sich vielmehr die Frage: Wird das Produkt hergestellt, das ich produzieren möchte? Die Problematik und die Komplexität sind weitaus höher als in einer Office-Umgebung und damit sind natürlich auch die Herausforderungen wesentlich größer. Security spielt dabei eine essenzielle Rolle.
Wo stehen Produktion und Maschinenbau aus Ihrer Sicht, was das Bewusstsein für Notwendigkeit von Security anbelangt?
Mischkovsky: Sehr unterschiedlich – angefangen dabei, dass es überhaupt kein Bewusstsein gibt, was wir nach wie vor noch antreffen. Die meisten Anlagenhersteller und -betreiber haben heute allerdings ein Bewusstsein entwickelt, was aber leider noch nicht heißt, dass es ein Budget und eine Verantwortlichkeit dafür gibt. Wir sehen aber auch sehr positive Beispiele, wo die Hersteller schon Security in die Produkte mit einbringen. Wenn man z.B. IEC62443 (IT-Sicherheit für industrielle Leitsysteme – Netz- und Systemschutz) nimmt, so ist deren Ziel, dass Security nicht nur beim Betreiber angesiedelt ist, sondern eben auch beim Produzenten und beim Integrator. Wir sehen häufiger, dass der Hersteller, der sein Produkt auch am besten kennt, auch die Security mit einbezieht. Immer öfter fordern Kunden oder Betreiber vom Hersteller Sicherheitsmaßnahmen und sagt: \“Wir wünschen uns, dass ihr Security direkt integriert und sie nicht nur an uns auslagert. Wir möchten gemeinsam mit euch daran arbeiten.\“
Wenn jetzt der Anlagen- oder Maschinenbauer auf Sie zukommt und sagt: \“Wir stellen fest, es gibt Bedarf, wir müssen da etwas tun.\“ Welche Empfehlung geben Sie ihm dann für das Vorgehen?
Mischkovsky: Einen hundertprozentig vorgegebenen Plan gibt es nicht; das ist immer noch sehr individuell für jedes Unternehmen. Was auf jeden Fall sehr wichtig ist, dass man das Ganze analysieren muss. Das fängt damit an: Was setzt er für Geräte ein, welchem Bedrohungspotenzial unterliegt er mit diesem Gerät? Betreibt er an dem Scada-System ein Windows XP-System, Windows 7-System und ist es wirklich ein Embedded System mit Proprietär-Technologie? Verwendet er standardisierte Technik wie Ethernet, TCP/IP, Standardprotokolle – hier kennen wir das Bedrohungspotenzial auch sehr gut. Bei anderen Technologien, beispielsweise Profibus, wissen wir von Angriffspotenzialen und man muss die Balance finden, inwieweit man Security als Anlagenhersteller einbringen kann. Wir haben einige fertige Konzepte dafür, die wir den Betreibern vorstellen und erklären. Und natürlich ist es auch ganz entscheidend, welchen Anspruch der Betreiber hat. Ist es ein Kernkraftwerkbetreiber? Da kann sich jeder gut vorstellen, dass dieser einen sehr hohen Anspruch haben sollte gegenüber demjenigen, der vielleicht gerade mal ein Blockheizkraftwerk für ein Einfamilienhaus betreibt. Standards geben entsprechend vor, dass der Security-Level sehr hoch sein muss.
Es gibt ja auf der einen Seite die technische Seite und auf der anderen Seite den Menschen. Was würden Sie sagen, ist strukturell in solchen Unternehmen zu tun?
Mischkovsky: Es ist sehr schön, dass Sie das ansprechen, in all unseren Präsentationen stellen wir dies als Hauptmerkmal heraus: Der Mensch ist der zentrale und damit auch der wichtigste Faktor. Generell sollte es eine Verantwortlichkeit geben. Sehr viele Unternehmen haben sich damit noch nicht genau beschäftigt, das heißt, man müsste zunächst die Verantwortlichkeiten definieren – wie sich der Punkt dann nennt, ist erst einmal egal. Was aber genauso wichtig ist: Es müssen Prozesse festgelegt werden, was oftmals nicht der Fall ist. Wir sind in Deutschland zwar sehr prozesslastig, aber nur wenige nutzen bereits definierte Prozesse. Neben der Verantwortlichkeit, sollten die Budgets daher zunächst festgelegt werden. Denn ohne Etat lässt sich nicht arbeiten. Was uns sehr am Herzen liegt, ist die Awareness der Benutzer einer Anlage. Wenn Sie in ein Unternehmen gehen, hat das Personal im Hinblick auf die klassische Office-IT ein sehr gutes Bewusstsein und ein Gefühl für Security. Wir selbst sehen das in der Produktion noch nicht. Nicht jeder Angriff hat beispielsweise auch einen kriminellen Hintergrund, sondern wird vielleicht auch durch Unwissenheit ausgelöst. Die Mitarbeiter müssen entsprechend sensibilisiert und trainiert werden. Und für uns sind diese nicht-technischen Größen für eine Bewertung auch sehr wichtig. Wissen die Mitarbeiter von einem Security-Response-Plan, wissen sie von einem Emergency-Plan? Was müssen sie eigentlich machen, wenn dieser Fall eintritt? Meistens bricht das Ganze in Aktionismus aus; alle Kabel werden beim Verdacht abgezogen, dass man einem Angriff ausgesetzt ist. Dabei kann im Vorfeld der Reaktionsablauf definiert werden. Die wachsende Sensibilisierung lässt sich messen, dies ist ein deutlicher Vorteil, wenn es um Themen wie Compliance geht. Eine ähnliche Situation gab es vor einigen Jahren beim Thema Arbeitsschutz. Hier hat sich die Lage deutlich geändert. Dies streben wir auch bei der Anlagensicherheit an. Beim Arbeitsschutz wurden entsprechende Richtlinien von der Regierung eingeführt, die Unternehmen erfüllen mussten. Diese Tendenzen gibt es auch im Security-Bereich.
Wenn ein Unternehmen dort mit einsteigt, dann wird erst einmal ein Prozess gestartet und der läuft da im Grunde unendlich.
Mischkovsky: Genauso sehen wir es. Sicherheit ist kein endlicher Prozess, sondern ein kontinuierlicher. Die Richtlinie 2182 spiegelt die Einführung eines Security-Konzepts wider. Ich glaube, der Dreh- und Angelpunkt ist: Das Ganze ist zyklisch. Die Geräte ändern sich, mein Bedrohungspotenzial ändert sich und daher muss sich ein Unternehmen alle Szenarien immer wieder ansehen. Leider haben heutzutage immer noch zu viele Firmen diese Snapshot-Mentalität à la \“ich mache etwas und dann habe ich ein Ergebnis\“ und dabei bleibt es. Dies reicht aber nicht mehr aus.
Ist es denkbar, dass die Symantec-Lösungen im Bereich Software auch auf Embedded-Geräten laufen, z.B. zukünftig in einer Steuerung?
Mischkovsky: Das ist sicherlich davon abhängig, welche Betriebssysteme in der Steuerung verwendet werden. Symantec Produkte laufen auf standardisierten Betriebssystemen. Wird ein solches System genutzt, lässt es sich auch mit einem Embedded System verwenden. Wir haben bereits Kunden, bei denen im Embedded System ein XP-, ein Linux-System läuft, das dann mit Symantec Komponenten geschützt und auch so ausgeführt wird.
Das heißt, Sie schließen es momentan noch aus, dass Siemens, Rockwell oder ein anderer klassischer Steuerungsanbieter kommt und sagt: \“Wir wollen auch in den Embedded Systemen ein gewisses Maß an Security sicher stellen und lieber Symantec hast Du dafür eine Lösung?\“
Mischkovsky: Die Frage ist, wie wir dieses Embedded System definieren. Wir sind z.B. mit einigen Herstellern im Gespräch und arbeiten auch bei Projekten zusammen. Oftmals wird das Embedded System bis zum Industrie-PC gesehen. Wir unterhalten uns auf diesen Ebenen sehr intensiv und tauschen uns mit Partnern aus. Gerade bei Stuxnet gab es einen sehr intensiven Erfahrungs- und Informationsaustausch zwischen allen Beteiligten.
Wo glauben Sie, stehen wir in fünf Jahren mit dem Thema Industrial Security?
Mischkovsky: Ich glaube, in fünf Jahren sehen wir deutlich mehr als heute. Wir befinden uns gerade in einer Pionierzeit und in fünf Jahren wird Security anfassbar. Was wir heute sehen, ist immer noch punktuell; es hat eigentlich noch keiner ein umfassendes Security-Konzept implementiert. In fünf Jahren werden wir das in diesem Bereich sehen.
