Worin unterscheiden sich die Bedrohungsszenarien von Industrieanlagen gegenüber denen der Office-Welt?
Sergej Schlotthauer: Produktionsumgebungen sind oft entweder gar nicht mit dem Internet verbunden oder mit mehreren Firewalls sehr gut abgeschirmt. Somit sind Angriffe von außen nur dann möglich, wenn der Angreifer die Firma physisch betritt und sich damit direkten Zugang verschafft. Angriffsszenarien über Internet, Social Media und E-Mails spielen hier praktisch keine Rolle. Das führt oft dazu, dass Gefahren unterschätzt werden und Sicherheitsvorkehrungen in Industrieanlagen meist nur mangelhaft sind. Hinzu kommt, dass Industrieanlagen oft noch über ein veraltetes Betriebssystem verfügen – Windows 2000 ist keine Seltenheit, Sicherheitsupdates werden vielfach gar nicht eingespielt. Hohe Risiken ergeben sich auch dadurch, dass die Rechner meist für alle zugänglich sind. Kontrollen, wer daran arbeitet, fehlen. Die Absicherung über Passwörter ist denkbar schlecht: Sie fehlt entweder zur Gänze oder es gibt ein Kennwort für alle Mitarbeiter. Einen gemeinsamen Nenner haben Office-Welt und Industrieanlagen aber in jedem Fall: Die größten Schwachstellen sind noch immer menschliche Fehler und Unwissenheit im Umgang mit IT-Sicherheitsmaßnahmen: Selbst nach genügend Schulungen gehen Anwender in der Regel den Weg des geringsten Widerstands. Im Klartext heißt das, wenn es die Arbeit zu sehr beeinträchtigt, werden Sicherheitsmaßnahmen absichtlich umgangen.
Wie hoch ist aus Ihrer Erfahrung die Aufmerksamkeit gegenüber der Security im industriellen Umfeld?
Schlotthauer: Das Gespür ist merklich gestiegen. Aber anders als bei Verstößen gegen das Bundesdatenschutzgesetz, müssen Sicherheitsprobleme in Industrieanlagen nicht gemeldet werden. Deswegen bleiben die meisten Zwischenfälle entweder unentdeckt oder man redet nicht darüber. Trotzdem: Seit dem NSA-Skandal hat das Thema Security auch im produzierenden Gewerbe immer mehr Gewicht. Dabei reagiert der Mittelstand meist langsamer als große Unternehmen: Dort fehlt es intern oft an den Kapazitäten, um Maßnahmen zur IT-Sicherheit voranzutreiben. Obwohl Probleme durch Viren oder Fehler der eigenen Mitarbeiter in den Industrieanlagen normalerweise nicht publik werden, sind die dadurch auftretenden Schäden meist sofort sichtbar. Die Kosten für den Ausfall einer Produktionsstraße lassen sich auch gut im Voraus berechnen. Die dabei entstehenden Einbußen übersteigen rasch jene Investitionskosten, die nötig wären, um Sicherheitsprobleme zu verhindern. Das ist ein wichtiger Aspekt, wenn es darum geht, in Sicherheitslösungen zu investieren: Gegenüber der Geschäftsleitung lassen sich ROI-Betrachtung einfacher und klarer verargumentieren. Denn wenn sich durch eine gute Security-Lösung tatsächlich verhindern lässt, dass eine Produktionsanlage zwei Stunden oder noch länger ausfällt, sind die Projektkosten faktisch schon gedeckt.
Wie tief in die Maschinen hinein müssen IT-Schutzmechanismen Ihrer Ansicht nach eindringen? Reicht es, eine Halle zu schützen, muss die einzelne Maschine geschützt werden oder braucht sogar der Industrie-PC, der die Maschine steuert, eigene Schutzfunktionen?
Schlotthauer: Allein die Industriehallen abzusichern, bringt nicht viel, denn viele Risiken ergeben sich ja durch die eigenen Mitarbeiter. Es ist schwierig zu sagen, wie tiefgreifend IT-Schutzmaßnahmen sein sollen. Generell gilt es, einen gesunden Kompromiss zu finden zwischen Sicherheitsanspruch, Investitionskosten und den Problemen, die sich durch zu viel Absicherung ergeben. In jedem Fall sollten Unternehmen ihre Steuerungs-PCs und externe Ports wie USB-Sticks absichern und eine lückenlose Zugangskontrolle implementieren. Vorteilhaft wäre auch eine Verschlüsselung aller relevanten Daten. Sehr wichtig ist zudem eine Application Control – auf den Rechnern müssen problemlos all jene Programme laufen, die für die Arbeit der Angestellten zwingend notwendig sind. Jegliche private Applikation, Spiele, Filme etc. haben auf diesen Rechnern nichts verloren.
Wie sieht der schnellste Weg von der bloßen Diskussion hin zur Umsetzung von Security-Maßnahmen im industriellen Umfeld aus?
Schlotthauer: Dazu braucht es nicht viel: Die Nutzung von unterschiedlichen Passwörtern, die in regelmäßigen Abständen geändert werden, ist zwingend erforderlich. Darüber hinaus sollten Produktionsunternehmen gut überlegen, welche Rechner sie an das Internet anbinden. In diesem Fall müssen strenge Firewall-Regeln implementiert werden. Hinzu kommen die bereits genannten Maßnahmen wie Verschlüsselung und Application Control: Sie sind schnell implementiert und bieten einen sehr guten Schutzmechanismus. Bei allen Maßnahmen sollte immer der gesunde Menschenverstand zu Rate gezogen und hinterfragt werden: \’Was brauche ich wirklich?\‘. Damit ist schon viel getan auf dem Weg zu einer guten Security-Strategie.
Welchen konkreten Beitrag leistet EgoSecure zur IT-Sicherheit von Produktionsanlagen?
Schlotthauer: Unsere Lösung EgoSecure Endpoint bietet einen umfassenden Schutz, sowohl gegen unbefugte Zugriffe von außen als auch gegen Datenverluste durch die eigenen Mitarbeiter. Das Schutznetz reicht von Anti-Virus-Funktionen über Access und Application Control bis hin zu Content-Analyse und Verschlüsselung. Wichtig dabei: Die Mechanismen laufen im Hintergrund ab. Somit behindern sie Mitarbeiter nicht bei ihren Tätigkeiten und können auch nicht unabsichtlich ausgehebelt werden – und das ist ein viel größeres Risiko als Angriffe durch Hacker. Alle Prozesse im Produktionsumfeld können damit ungehindert ablaufen. Im Industriebereich können Verzögerungen sonst schnell dazu führen, dass Produkte falsch konfektioniert werden, nur weil eine Anwendung den Steuerungs-PC blockiert. Ein wesentlicher Aspekt ist zudem, dass die Lösung innerhalb von wenigen Stunden installiert und eingeführt werden kann. Eine der Ursachen für schlecht geschützte Systeme ist ja gerade die fehlende Zeit und die Angst ein Projekt zu starten, das viele Monate in Anspruch nimmt. Mit EgoSecure hat man nach einem halben Tag das Sicherheitsniveau schon verzehnfacht.
Wo werden wir in fünf Jahren Ihrer Ansicht nach beim Thema Security bei Industrieanlagen stehen?
Schlotthauer: In puncto Security muss sich noch einiges tun. Ich hoffe, dass spätestens in vier oder fünf Jahren die meisten Unternehmen vernünftige Sicherheitskonzepte für ihre Industrieanlagen implementiert haben. Mit mehr Sensibilität für Sicherheitsthemen werden die Projekte auch schneller umgesetzt. Wenn Firmen erst einmal klar ist, wie schnell sie sich zu geringen Investitionskosten deutlich besser absichern können, werden sie umso schneller auch einen ganz anderen Sicherheitsstandard erreichen. Fest steht: Wenn tatsächlich etwas passiert, können die Folgen für ein mittelständisches Unternehmen existenzbedrohend sein. Die nötigen Security-Produkte sind schon verfügbar – man sollte nur aufwachen und diese auch einführen.
