Aufmerksamkeit schützt vor Hackern — METAV 2020 bietet Expertenwissen zur Datensicherheit – Cybersecurity-Kongress zeigt Herausforderungen in der Office- und Produktionswelt

Frank­furt am Main, 21. Novem­ber 2019 — Die Dig­i­tal­isierung hat ihren Preis: Die Ver­net­zung von Men­schen, Maschi­nen und Unternehmen erhöht nicht nur Pro­duk­tiv­ität und Nach­haltigkeit, son­dern steigert auch das Risiko ein­er Cyber­at­tacke. Wege aus dem Dilem­ma bietet der Kongress Cyber­se­cu­ri­ty des VDMA auf der METAV 2020 am 11. März 2020. Ein Erfol­gsrezept ver­rät vor­ab Heinz-Uwe Gern­hard, Leit­er des VDMA-Arbeit­skreis­es Secu­ri­ty und im Haupt­beruf bei Robert Bosch in Stuttgart zuständig für IT-Secu­ri­ty im Inter­view: Schu­lung der Aufmerk­samkeit für Cyberattacken. 

Pass auf: Cyberattacken lassen sich durch Schulung von Mitarbeitern im Betrieb oder auch Online verhindern – oder zumindest die Auswirkungen verringern. Foto: Siemens
Pass auf: Cyber­at­tack­en lassen sich durch Schu­lung von Mitar­beit­ern im Betrieb oder auch Online ver­hin­dern – oder zumin­d­est die Auswirkun­gen ver­ringern.
Foto: Siemens

Herr Gern­hard, hat das Bewusst­sein für Cyber­se­cu­ri­ty zugenommen?
Heinz-Uwe Gern­hard: Ja, aber nicht in dem Aus­maß, den ich damals beim Start des Arbeit­skreis­es Secu­ri­ty im Jahr 2012 erwartet habe. Es beste­ht nach wie vor drin­gen­der Hand­lungs­be­darf, denn Deutsch­land und die EU wer­den mit Geset­zen und Regelun­gen Maß­nah­men zum besseren Schutz, auch der Pro­duk­tion, vor Cyberan­grif­f­en ein­fordern. Ein Mit­tel zum Zweck ist sicher­lich der Ein­satz von zusät­zlich­er IT. Aber ohne das dazuge­hörige Wis­sen und die organ­isatorischen Fähigkeit­en wird das allein nicht aus­re­ichen, um für eine Erhöhung der notwendi­gen Sicher­heit zu sor­gen. Hil­fre­ich in diesem Zusam­men­hang sind sicher­lich die Bemühun­gen im Kon­text von Indus­trie 4.0, aber dort ist Cyber­se­cu­ri­ty lei­der auch nur ein The­ma von vielen.

Was empfehlen Sie einem Einsteiger?
Heinz-Uwe Gern­hard: Ein­fach anfan­gen und Vor­sorge tre­f­fen, sowohl tech­nisch als auch organ­isatorisch. Das ist genau­so wie bei der alljährlichen Grippe-Epi­demie. Das Risiko, sie zu bekom­men, ist nun mal ohne Grippeschutz­imp­fung höher. In der heuti­gen ver­net­zten Welt ist kein­er mehr vor ein­er Cyber­at­tacke sich­er. Hier muss ein Sinneswan­del stattfinden.

Cyber­at­tack­en nehmen zu

Welche Maß­nah­men soll­ten Unternehmen ergreifen, die sich jet­zt mit­ten in der dig­i­tal­en Trans­for­ma­tion – Stich­wort Indus­trie 4.0 – befinden?
Heinz-Uwe Gern­hard: Es ist eine klare und ein­deutige Man­age­men­tauf­gabe. Die Ver­ant­wortlichen müssen die Risiken, die durch die Ver­net­zung dro­hen, ganz klar erken­nen und Maß­nah­men definieren. Mit Blick auf die Ver­füg­barkeit der Pro­duk­tion­stech­nik müssen sie ver­ste­hen, dass ihnen erhe­bliche Schä­den dro­hen. Davor ist auf Grund der Ver­net­zung nie­mand gefeit. Wer die Fach­presse ver­fol­gt, find­et immer wieder Nachricht­en, wie zum Beispiel, dass eine Cyber­at­tacke sog­ar die IT ein­er Spezial­fir­ma für Sicher­heits- und Steuerung­stech­nik weitest­ge­hend lahm­legte. Die Fir­ma hat diesen Vor­fall pub­lik gemacht. Das ist für mich richtig und wichtig, denn wir sitzen alle im sel­ben Boot.

Doch noch ist Offen­heit in Sachen Cyber­at­tack­en eher die Aus­nahme: Inwiefern kön­nen Net­zw­erke wie der von Ihnen geleit­ete VDMA-Arbeit­skreis Secu­ri­ty dabei helfen – indem man untere­inan­der offen über Cyber­at­tack­en spricht?
Heinz-Uwe Gern­hard: Wir gehen das The­ma proak­tiv an, in dem wir die Risiken klar adressieren und Hil­festel­lun­gen zu den vielfälti­gen Fra­gen bieten. Mir geht es ins­beson­dere darum, dass wir über Ver­bands­gren­zen hin­weg gemein­sam für Trans­parenz sor­gen. Eine gute Aus­gangs­ba­sis bietet auch die Plat­tform Indus­trie 4.0 mit ihrem Link www.plattform-i40.de.

Oft fehlt das richtige Bewusstsein

Manche Fir­men begin­nen nun ganz gezielt, bei ihren Mitar­beit­ern das Bewusst­sein für Betrugsszenar­ien zu weck­en. Was hal­ten Sie von dem neuen Zauber­wort Cyber­re­silienz, das ger­ade die Runde macht?
Heinz-Uwe Gern­hard: Das ist der richtige Weg, denn Aufmerk­samkeit bietet für diese Bedro­hungsart den besten Schutz. Das ist eine Fähigkeit, die jed­er Anwen­der von Cybertech­nolo­gien besitzen sollte.

Wie beurteilen Sie den Stand der Sicherheits-IT?
Heinz-Uwe Gern­hard: Ver­gle­ichen wir es mit dem Verkehr. Ein Aut­o­fahrer brauchte im Jahr 1920 ein ganz anderes Risikobe­wusst­sein als ein heutiger Pkw-Lenker, dessen Fahrzeug eine deut­lich gerin­gere Aufmerk­samkeit erfordert, weil es ihm vieles abn­immt. Fahrzeuge und Infra­struk­tur machen das Aut­o­fahren heute sehr viel risikoärmer. Im Ver­gle­ich dazu ist der Reife­grad unser­er gegen­wär­ti­gen IT in Bezug auf ihre inhärenten Risiken auf dem Stand eines Autos von 1920. Es erfordert vom Benutzer eine hohe Aufmerk­samkeit und vielfältiges Wis­sen. Aware­ness oder auf gut Hes­sisch „uff­passe!“ ist aktuell ein zen­trales Thema.

Ist das nicht Angstmacherei?
Heinz-Uwe Gern­hard: Nein, es ist keine Angst­macherei. Beispiel­haft wer­den Szenar­ien im Roman Black­out von Marc Els­berg durchge­spielt. Die tech­nis­chen Aspek­te darin sind eben keine Fik­tion, son­dern entsprechen den Real­itäten und sind nur von ihm roman­haft und span­nend ver­packt wor­den. Hier wurde ja auch der Geset­zge­ber mit dem IT-Sicher­heits­ge­setz (Kri­tis) aktiv, das sich ger­ade in Über­ar­beitung befindet.

Der IT-Experte Peter Tur­czak sagte im VDMA Mag­a­zin: „In eine Cloud würde ich niemals Dat­en able­gen, ohne die unser Betrieb still­ste­hen würde.“ Unternehmen benöti­gen aber Dat­en für die Umset­zung von Indus­trie 4.0 und müssen sie sich­er spe­ich­ern. Was gehört in die Cloud und was nicht?
Heinz-Uwe Gern­hard: Der IT-Kol­lege spricht die zen­trale Forderung der OT (?) nach Ver­füg­barkeit an. Als Nachrich­t­en­tech­niker sehe ich immer den Wet­tbe­werb zwis­chen Band­bre­ite, Rech­n­er­leis­tung vor Ort und natür­lich den Kosten. Die Cloud bietet vie­len eine zen­tral­isierte Anwen­dung mit viel Rechen­leis­tung, wenn die Band­bre­ite stimmt. Der Anwen­der muss die Art des Cloud-Ein­satzes mit Blick auf seine Risikobere­itschaft und Ver­füg­barkeit­san­forderun­gen und seinen tech­nis­chen und organ­isatorischen Fähigkeit­en abwä­gen.  Eine andere wichtige Frage ist natür­lich das Ver­trauen bzw. die Ver­trauenswürdigkeit des Anbi­eters und deren Sicherstellung.

Es ist also eine Vertrauensfrage?
Heinz-Uwe Gern­hard: Genau, ich muss mich fra­gen, wem ich wie ver­traue. Reichen im gegebe­nen Recht­sraum tech­nis­che Maß­nah­men, Verträge und Zer­ti­fizierun­gen von beteiligten Dien­stleis­tern aus?

Auf der Metav 2020 ver­fü­gen die meis­ten Werkzeug­maschi­nen über Inter­ne­tan­schlüsse: Worauf soll­ten Messebe­such­er achten?
Heinz-Uwe Gern­hard: Es han­delt sich hof­fentlich nicht um einen offe­nen Inter­ne­tan­schluss, son­dern um eine, auch hier wieder, ver­trauenswürdi­ge Verbindung. Fra­gen Sie hierzu nicht nur nach der tech­nis­chen Lösung, son­dern auch nach den organ­isatorischen Fähigkeit­en des Anbi­eters.  Tech­nisch bieten sich pri­vate VPN-Net­ze mit entsprechen­der ver­traglich­er Absicherung an.

Eine Norm bietet Hilfestellung

Wie kann sich der Messebe­such­er auf das Gespräch vorbereiten?
Heinz-Uwe Gern­hard: Hil­fe bietet die Norm ISO/IEC 62443, die im Teil 2–4 mit den „Anforderun­gen an das IT-Sicher­heit­spro­gramm von Dien­stleis­tern für indus­trielle Automa­tisierungssys­teme“ den Rah­men vorgibt, worauf er bei Ange­boten acht­en sollte. Anson­sten sind Regelun­gen und Stan­dards, auch wenn sie oft etwas spröde sind, hil­fre­ich und zielführend.

Herr Gern­hard, wir bedanken uns für das Gespräch.

VDMA: Cyber­sicher­heit durch gezieltes Zusammenspiel
Infor­ma­tion­stech­nolo­gien sind heute ein wichtiger Teil nahezu jed­er Pro­duk­tion­san­lage. „IT macht Maschi­nen nicht nur schlau und inter­ak­tiv, son­dern auch anfäl­liger für Cyberan­griffe“, beobachtet Stef­fen Zim­mer­mann, Leit­er Com­pe­tence Cen­ter Indus­tri­al Secu­ri­ty beim VDMA. „Um hohe Maschi­nen­ver­füg­barkeit und Integrität der Dat­en über den gesamten Pro­duk­tleben­szyk­lus zu garantieren, bedarf es des Zusam­men­spiels der Anbi­eter von Automa­tisierungslö­sun­gen und Maschi­nen mit dem Betreiber der Anlage.“ Zudem müssten sich Betreiber darauf ein­stellen, dass die Gefahr ein­er Cyber­at­tacke immer beste­ht. Daher soll­ten Betreiber mit grundle­gen­den Maß­nah­men ihre Cyber­re­silienz sich­er­stellen, um die Auswirkun­gen eines Cyberan­griffs zu ver­ringern. Den aktuellen Stand der Dinge ver­mit­telt am 11. März 2020 der Cyber­se­cu­ri­ty-Kongress von VDW und VDMA auf der METAV 2020, bei dem das Zusam­menwach­sen von Office- und Pro­duk­tion­swelt im Mit­telpunkt ste­ht. Zu den The­men zählen unter anderem: Reg­ulierung, Fernwartung/internationale Ver­net­zung, Live Hack­ing und Basic-Maß­nah­men zur Wieder­her­stel­lung eines IT-Netzwerkes.

Vita: Heinz-Uwe Gernhard
Heinz-Uwe Gern­hard (Jahrgang 1957) wech­selte als junger Diplom-Inge­nieur (Nachrich­t­en­tech­nik) nach seinem Studi­um an der TH Darm­stadt 1983 als Entwick­ler zum Elek­tron­ikkonz­ern SEL. 1987 bis 2017 entwick­elte Heinz-Uwe Gern­hard Steuerung­stech­nik bei der heuti­gen Bosch Rexroth Elec­tric Dri­ves and Con­trols GmbH in Erbach. Seit 2017 arbeit­et der Diplom-Inge­nieur im Zen­tral­bere­ich IT Secu­ri­ty and Appli­ca­tion (C/TED1) bei der Robert Bosch GmbH in Stuttgart. Sein Spezial­ge­bi­et ist das Risiko­man­age­ment und IT-Secu­ri­ty für die Fertigung.

(Umfang: rund 8.800 Zeichen inkl. Leerze­ichen)
Autor: Niko­laus Fecht im Auf­trag des VDW

Kategorien: 2019, November

Schlagwörter: , ,