Sie haben ein Beratungsunternehmen für Cyber Security gegründet und verfügen über langjährige Erfahrung in diesem Bereich. Wie sind Sie zum ersten Mal mit der Thematik in Berührung gekommen und welche Stationen haben sie in diesem Bereich durchlaufen?
Brandstetter: Meine erste Berührung mit Cyber Security ist durchaus eine amüsante: Im Jahre 1988, im Alter von gerade mal 11 Jahren infizierte ich irrtümlich über eine mitgebrachte Software das EDV-System der Schule, an der meine Mutter unterrichtete, mit einem Computervirus. Ich wurde zum Direktor zitiert und musste anschließend den Schaden beheben. Dadurch war ich gezwungen, mich sowohl in die Funktionsweise von Computersystemen, als auch in die Internas des damals weit verbreiteten Betriebssystems MS-DOS, einzuarbeiten, um den Virus analysieren, zu entfernen und die Systeme wiederherstellen zu können. Von da an hegte ich großes Interesse für IT-Technologien, insbesondere für die Sicherheit dieser Systeme, da ich sehr früh gesehen hatte, wie schnell diese manipuliert werden können. Ich war der erste Absolvent des Studienganges \’Computer- und Mediensicherheit\‘ an der FH-Hagenberg, Österreich im Jahr 2004, und begann danach in der zentralen Forschungsabteilung von Siemens das Thema Sicherheit in Siemens-Produkten aufzubauen. Ich prüfte unterschiedlichste Produkte, vom einfachen Controller bis zu kompletten Leitständen durch praktische Hacking-Tests auf ihre Sicherheit. Daraus entstand eine eigene Expertengruppe, das \’Hack-Proof-Products\‘-Program. Ein Jahr nachdem ich die Leitung des Programms übernahm, durfte ich einer besonderen Bedrohung begegnen: Im Jahr 2010 wurde Stuxnet entdeckt, jene Malware, die nachweislich Automatisierungssysteme bedrohte. Meine Rolle als Incident-Manager war sicher eine meiner bisher spannendsten beruflichen Phasen. Ich schaue heute noch gerne darauf zurück was ich in dieser Zeit technisch über Malware, über die Behandlung von Sicherheitskrisen in großen Organisationen und den Umgang mit nationalen und internationalen Sicherheitsbehörden gelernt habe. Aus den Nachfolgeaktivitäten zu Stuxnet baute ich das Siemens Product Cyber Emergency Response Team (ProductCERT) auf, das nach wie vor eines der effektivsten Security Teams im Industrieumfeld ist, insbesondere wenn es um die Behandlung von Softwareschwachstellen geht. Ich leitete dies bis Ende 2012. Anfang 2013 habe ich die Limes Security GmbH gegründet, ein herstellerunabhängiges Beratungsunternehmen mit den Schwerpunkten industrielle Cyber Security und sichere Softwareentwicklung, mit Sitz in Österreich. Daneben unterrichte ich seit drei Jahren als Dozent am Studiengang Information Security der FH St. Pölten und versuche Studenten mit Fächern wie \’Industrial Security, CERTs & Incident Response, Application Security, Penetration Testing\‘ sowie \’Botnetze & Honeypots\‘ zu begeistern und auf die neuen Sicherheitsherausforderungen vorzubereiten.
Welche Gründe sind ausschlaggebend, dass das Thema IT-Sicherheit im Bereich der Industrie derart an Bedeutung gewonnen hat?
Brandstetter: Als ich im Jahr 2005 begann am Thema IT-Sicherheit in Produkten zu arbeiten, hatte man gerade erst festgestellt, dass die gleichen Sicherheitsprobleme wie man sie aus der Internet- und Office-Welt kannte, auch für Industriesysteme relevant sein könnten. Die Hauptgründe hierfür sind in erste Linie technischer Natur: Die Verwendung von immer weniger proprietären Technologien zugunsten von mehr Standard-Softwarekomponenten wie Windows, Webservern und Datenbanken hat auch im Industrieumfeld stark zugenommen. Weiters wurden viele Industrieprotokolle auf offenere Netzwerktechnologien wie Ethernet & TCP/IP portiert, gleichzeitig hat man eine höhere Vernetzung für besseren und einfacheren Datenaustausch, bei niedrigeren Kosten propagiert. Dadurch ging im Laufe der Zeit die gängige Isolation der Automatisierungsanlagen Stück für Stück verloren. In Kombination mit Standard-Softwarekomponenten entstand eine deutlich größere Angriffsfläche. Mit den resultierenden Security-Risiken muss nun die gesamte Industrie, vom Hersteller über den Systemintegrator bis zum Betreiber, erst umgehen lernen.
Welchen Zusammenhang zwischen Industrie 4.0 und Cyber Security sehen Sie?
Brandstetter: Was sich alles hinter \’Industrie 4.0\‘ verbirgt wird sich, ebenso wie beim Thema des \’Smart Grids\‘ erst zeigen. Klar ist aber, dass die umfassende Kommunikationsvernetzung technischer Automatisierungssysteme und ganzer Anlagen weiter voranschreiten wird, um eine höchst flexible, intelligente Produktion zu ermöglichen, unabhängig davon, wo sich Systeme physikalisch befinden. Um den permanenten Austausch größerer Datenmengen in der Industrie 4.0 zu ermöglichen, ist aber die Erfüllung ausreichender Sicherheitsanforderungen nötig: Neben der klassischen Betriebssicherheit (Safety), wird ein neuer Sicherheitsaspekt ähnliche Bedeutung bekommen: Die industrielle Cyber Security, oft auch knapp als \’Industrial Security\‘ bezeichnet. Anlagen und Systeme, aber auch Daten und Know-how müssen in Zukunft zuverlässig vor unbefugtem Zugriff und Missbrauch geschützt werden können, vermutlich werden sie sogar eine höhere Eigenresilienz gegenüber Angriffen haben müssen, damit Industrie 4.0 überhaupt möglich wird.
Über IT-Sicherheit in der Industrie wird viel geredet und berichtet. Wo stehen wir aus Ihrer Sicht heutzutage?
Brandstetter: Der Bereich der Betriebssicherheit ist stark geregelt, es gibt eine Reihe von Normen sowie Standards für die Produktion und den sicheren Betrieb von industriellen Anlagen. Maßnahmen zur Steigerung der Resilienz gegenüber Hacking-Angriffen aber werden bisher eher langsam oder als Lösung von Teilproblemen realisiert. Dies ist zum Teil auch den langen Produkt- und Systemlebenszyklen geschuldet, anders als in der Internetwelt, in der Komponenten und Systeme viel kurzlebiger sind und schneller ersetzt werden. Die im Rahmen von Industrie 4.0 angedachten Ansätze und Produktionsprozesse werden es aber erforderlich machen, die industrielle Cyber Security deutlich zu forcieren. Intelligente Produktionsprozesse werden nur über einen umfassenden Schutz der hochgradig vernetzten Systemstrukturen möglich sein. Genauso wie heute schon die Verfügbarkeit in vielen Industrieanlagen ein Sicherheitsziel ist, muss Integrität sowie Vertraulichkeit die gleiche Bedeutung erhalten, um den nötigen Informationsaustausch sicherzustellen. Das Auftreten der Stuxnet-Malware war ein schmerzhafter, aber vermutlich auch nötiger Weckruf für die gesamte Industrie. Bisher waren Industrienetze zwar gut gegen zufällige Fehler geschützt, konnten aber schlecht mit gezielter Manipulation umgehen. Wenn man heute die technische Bedrohungslage im Internet beobachtet, erhält man einen Vorgeschmack, wogegen sich die gesamte Industrie, vom Hersteller über den Integrator bis zum Betreiber, anfangen muss zu rüsten. Mein persönlicher Eindruck ist, dass die Industrie als Ganzes heute eher noch am Anfang der Lernkurve steht. Auch der regulatorische Aspekt ist im deutschsprachigen Raum noch deutlich weniger ausgeprägt als beispielsweise in den USA. Erfreulicherweise haben einige Hersteller damit begonnen, essentielle Sicherheitsfunktionen in ihre Industrieprodukte zu integrieren, dennoch ist es technologisch hier noch ein weiter Weg zur notwendigen Cyber Security-Resilienz für Industrie 4.0. Defizite sehe ich hier noch stärker im Bereich der Systemintegratoren sowie bei den Anlagenbetreibern.
Wo liegen die wichtigsten Handlungsfelder? Im Bereich der Wahrnehmung, den betrieblichen Strukturen oder bei der Technik?
Brandstetter: In vielen Beratungsgesprächen mit Betreibern von Industrieanlagen, egal ob in der Prozess- oder der diskreten Automatisierung, bemerke ich, dass hier oft deutlich weniger als bei Herstellern das Verständnis für den Umgang mit dem Thema Cyber Security besteht. Es ist meist auch weniger Know-how vorhanden, um die schnelllebigen Herausforderungen in Bezug auf industrielle Cyber Security im Betrieb richtig zu adressieren. Größere Anlagenbetreiber schneiden hier tendenziell besser ab. Mein Unternehmen betreibt zu Forschungszwecken simulierte bzw. speziell präparierte Industriesysteme, die im Internet sichtbar sind, mit dem Ziel Angriffe gegen diese Systeme zu provozieren, um den Angreifer studieren zu können. Wir sehen dabei pro Woche neben vielen automatisierten Angriffen mindestens zwei manuelle Angriffe, in denen offensichtlich ein bösartiger menschlicher Angreifer versucht die Systeme zu indizieren und zu missbrauchen. Dahinter stecken neugierige Individuen, aber auch professionelle Angreifer aus unterschiedlichen Ländern. Dass es hier staatlich gesponsorte Organisationen gibt, die versuchen weltweit industrielle Anlagen für eine spätere Infiltration zu entdecken, ist in Sicherheitskreisen bekannt, vielen Anlagenbetreibern aber mit Sicherheit nicht bewusst. Der Schlüssel liegt wie immer in der Kombination: Hersteller müssen ihre Produkte um wichtige Sicherheitsfunktionen ergänzen, diese müssen aber auch herstellerunabhängig und -übergreifend funktionieren, um in heterogenen Anlagen ein durchgehendes Sicherheitsmodell gewährleisten zu können. Systemintegratoren müssen wiederum lernen, Cyber Security bereits in der Planung und der Engineeringphase einer Anlage mitzuberücksichtigen. Die Voraussetzungen, dass Herstellerkomponenten zu einer Anlage kombiniert werden, die sicher im Sinne der Cyber Security betrieben werden kann, muss vom Systemintegrator geschaffen werden. Der Betreiber wiederum muss seine betrieblichen Prozesse um Sicherheitsaktivitäten ergänzen und auch sein Personal schulen, damit dieses eigene Handlungsfähigkeit bei Sicherheitsereignissen bekommt, die immer häufiger auftreten werden.
Welche Dienstleistungen bietet Ihr Unternehmen für interessierte Unternehmen an?
Brandstetter: Unser Angebot richtet sich sowohl an Hersteller von Industriekomponenten, Systemintegratoren als auch an Betreiber von Industrieanlagen. Die Dienstleistungen für Hersteller sind darauf ausgerichtet, dem Hersteller die richtigen Mittel in die Hand zu geben, um sichere Produkte entwickeln zu können, die für aktuelle und kommende Cyber Security Bedrohungen gut gerüstet sind. Dies sind spezielle Schulungen für Entwickler, Tester oder Projektverantwortliche, aber auch Verbesserungen der Entwicklungsprozesse an sich. Sehr gefragt sind auch präventive Hacking-Tests an Komponenten und Produkten. Auf Seite der Integratoren und Betreiber steht zu Beginn zumeist ein kurzer Risikoworkshop, der einen Überblick über Sicherheitsrisiken gibt und eine gute Entscheidungsbasis für weitere Aktivitäten liefert. Wir führen wo gewünscht auch Security-Assessments im laufenden Betrieb durch, die jedoch besondere Vorkehrungen und Sorgfalt erfordern. Unsere Expertise als herstellerunabhängiger Dienstleister wird besonders gerne bei Security-Abnahmetests eingeholt, in denen ein Betreiber ermitteln möchte, ob die gelieferte Anlage Sicherheitslücken aufweist. Der letzte Bereich ist ein eher unerfreulicher: die Unterstützung bei Security-Incidents in Industrieanlagen, wenn der Verdacht besteht, dass ein Sicherheitsproblem aufgrund von Hacking oder Schadsoftware vorliegt.
