Wie schätzen Sie die Situation im Industrial Security-Bereich ein? Ist es ein Stadium, in dem noch viel geredet wird, oder kommen wir auch in eine Situation, wo tatsächlich umgesetzt wird? Wie würden Sie das im Moment einschätzen?
Lützenkirchen: Wir sind in gewisser Hinsicht noch in der Startphase, genauer gesagt sind viele Unternehmen noch in der Gesprächs- und Findungsphase. Insbesondere das Thema Teambildung spielt eine große Rolle, weil es einen tiefen Schnitt zwischen der Office-Welt und der Produktion gibt. Es gibt technische Schnittstellen, aber keine oder nur wenige menschliche Schnittstellen. Häufig kommen die Teams nicht an einen Tisch, weil die Produktionswelt eine deutlich andere Vorstellung davon hat, wie Sicherheit auszusehen hat, als die Office-Welt.
Was sehen Sie als die nächsten wichtigen Schritte an, was den gesamten Markt anbelangt? Geht es da noch viel um Information und Sensibilisierung oder kann man schon einen Schritt weitergehen und ganz konkret mit Produkten und Lösungen auf den Markt gehen?
Lützenkirchen: Information und Sensibilisierung sind immer noch das Hauptthema. Es gibt viele Hindernisse, die man nicht mit Produkten oder Technik lösen kann, sondern nur mit Beratung. Man muss die Unternehmen dabei unterstützen, dass sie die richtigen Leute an einen Tisch bringen, konkret müssen sich die Leute aus der Informationssicherheit mit den Leuten aus der Produktion verständigen. Der eine muss die Rahmenbedingungen und Anforderungen des anderen verstehen lernen, damit beide gemeinsame Lösungen finden können. Das ist dann der Punkt, an dem wir einsteigen. Wir beraten und sprechen erst über Produkte, wenn klar ist, wie Lösungen aussehen sollten.
Eine Frage zu dem Thema ist auch: Wer hat den Hut auf? Wer ist der Hauptverantwortliche? Wir haben einerseits die Produktion, also der Endkunde, wo dann die Maschine bzw. Anlage läuft, wir haben die Maschinenbauer, wir haben teilweise noch Engineering-Dienstleister mit im Boot. Wie sehen Sie das? Wer sollte die Richtung vorgeben und vielleicht auch die jeweilige Strategie definieren?
Lützenkirchen: Führung und Entscheidung in diesem Prozess lassen sich nicht eindeutig einer einzelnen Person in einem Arbeitsbereich zuordnen. Genau das macht die Sache ja so komplex. Meiner Einschätzung nach geht es nicht ohne ein Team, in dem definitiv jemand aus dem Bereich Produktion des Unternehmens mitarbeiten muss, aber genauso sollte jemand aus dem Bereich IT eingebunden sein. Die IT-Welt hat, technisch gesehen, die Lösungsmöglichkeiten. Diese müssen auf eine völlig neue Art und Weise angewendet werden. Dafür sind die Produktionsleute, die Automatisierer die Experten. Ich komme auch aus der klassischen IT-Welt und kann einfach nur sagen, dass wir IT-Leute keine Vorstellung davon haben, wie die Probleme und Anforderungen aussehen, bevor wir uns damit beschäftigen. Das heißt, wenn man IT und Produktion synchronisiert hat, lassen sich gemeinsam Lösungen erarbeiten. Deswegen ist vielleicht eine einzelne Person gar nicht so sehr das Ziel.
Wenn man jetzt doch in Richtung Lösungen und Produkte geht, welchen Bereich von dem, der das große Umfeld der Security ausmacht, deckt Norman an der Stelle ab?
Lützenkirchen: Wir konzentrieren uns auf den Bereich Malware-Scan im Bereich der Produktionsanlagen. Die Malware-Problematik findet sich dort in zwei Ausprägungen. Das eine sind die Netzwerkzugänge zu den Produktionssystemen und Steuerungsanlagen, und das andere kann man als den menschlichen Faktor bezeichnen. Es sind also die Personen, die mit ihrem USB-Datenträger in den Produktionsbereich kommen. Sie können insofern eine Sicherheitslücke darstellen, als sie z.B. Malware auf ihren USB-Sticks mitbringen. Wenn wir diese beiden Übertragungswege blockiert bekommen, können wir einen sehr großen Sprung in Richtung Sicherheit machen. Damit ist das Themenfeld bei weitem nicht abgedeckt; Malware-Schutz ist nur ein Bereich. Selbstverständlich ist das Thema Firewalling nach wie vor aktuell, wobei sich allerdings Einsatzbereiche und Handhabung ändern sollten. Was wir derzeit in den Unternehmen sehen, sind immer noch offene Wartungszugänge, die 24/7 zu Verfügung ste-hen, oder auch Standardpasswörter. Das heißt, Policy ist ein ganz wichtiges Thema und genauso Awareness. Ohne die Schulung der Mitarbeiter kommen die Unternehmen nicht weiter. Hier sehe ich großen Bedarf, denn Sicherheit ist nicht mit Produkten alleine zu erreichen.
Sie stellen jetzt hier auf der Hannover Messe ein neues Produkt vor. Vielleicht können Sie kurz die Eigenschaften beschreiben.
Lützenkirchen: Die Norman Scada Protection Scanning-Station ist ein Industrie-PC mit Touchscreen, auf dem ein Virenscanner läuft und dem Anwender-Unternehmen auf einer sehr einfachen Art und Weise ermöglicht, USB-Sticks zu scannen. Auf den Scada-Maschinen und Steuerungs-PCs installieren wir einen Treiber, der überprüft, ob der eingesteckte Datenträger an der Station gescannt worden ist. Wir legen auf dem Stick eine verschlüsselte Datei ab mit den Hash-Werten der gescannten Dateien. Sollte eine Datei gefunden werden, die nicht in dieser Tabelle zu finden ist, beispielsweise weil sie erst nach dem Scan auf den Stick kopiert wurde, wird der Zugriff darauf verweigert. Sollte während des Scan-Vorgangs Malware gefunden werden, verweigert die Scanner-Station von vorneherein die Validierung. Dieser Stick kann an der der Scada-Maschine nicht benutzt werden.
Das heißt, es gibt im Produktionsumfeld eine zentrale Station, die quasi wie eine Check-Eingangstüre fungiert?
Lützenkirchen: Genau. Ohne validierten Stick braucht sich der Wartungstechniker gar nicht auf den Weg zu den Maschinen zu machen. Je nach Unternehmensgröße, dem Aufbau der Produktionshallen oder der Lage der Steuerungssysteme kann ein Scanner beim Pförtner angebracht sein, es können aber auch mehrere über den Produktionsbereich verteilt werden.
Wenn Sie einen Fünfjahreszeitraum betrachten, wo glauben Sie, werden wir im Bereich Industrial Security stehen? Und aus Ihrer Perspektive: Was können Sie sich vorstellen, wie Norman sich dann positioniert?
Lützenkirchen: Wir sehen uns als führend in diesem noch relativ jungen Marktsegment. Die Sicherung von Produktionsanlagen ist zwar schon lange ein Thema, aber es mangelt immer noch an Produkten, die die Besonderheiten der Produktion abbilden. Wir sind in dieser Hinsicht schon relativ weit vorne und sehen uns deshalb auch als Thought Leader. Wir wollen uns in diesem Markt positionieren, indem wir neue Impulse geben und neue Ideen liefern. Der Bedarf im deutschen Markt ist jedenfalls da.
Der Security-Spezialist Norman stellte auf der Hannover Messe 2013 einen Malware-Scanner für USB-Sticks vor. An der neuen Hardware-Komponente Norman Scada Protection Scanner-Station prüfen Service-Techniker die mobilen Datenspeicher, die sie zum Aktualisieren von Maschinendaten in der Produktion einsetzen, auf Schadcode. In Kombination mit einem Client-Treiber auf den Maschinen verhindert sie, dass nicht gescannte und nicht validierte Sticks Zugang zu den Maschinen erhalten und Malware übertragen können. Die Scanner-Station lässt sich an jeder beliebigen, gut erreichbaren Stelle installieren, beispielsweise mittels einer Wandhalterung im Eingangs- oder im Produktionsbereich des Unternehmens. Je nach den räumlichen Gegebenheiten können auch mehrere Stationen eingerichtet werden. Produktionsunternehmen können auf diesem Weg ein verbindliches Vorgehen beim Einsatz von Datenspeichern unternehmensweit etablieren und das Risiko von Malware-Infektionen auf Maschinen erheblich senken.
