Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden

Dienstag, 23. Januar 2018

IT-Sicherheit

„Keine Digitalisierung ohne Cybersecurity“

Von Regine Bönsch | 19. Oktober 2017 | Ausgabe 42

BSI-Präsident Arne Schönbohm und der ZVEI-Vorsitzende Klaus Mittelbach über die Arbeit der Allianz für Cybersicherheit.

4_BU
Foto: Akhatar/laif

Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik, hält die Allianz für Cybersicherheit für ein großartiges Erfolgsmodell.

Foto: [M] action press/Andreas Teich/VDIn

Klaus Mittelbach, Vorsitzender der Geschäftsführung des ZVEI und des Beirats der Allianz für Cybersicherheit, warnt vor physischen Schäden, die durch Hacker in der produzierenden Industrie entstehen können.

VDI nachrichten: Hinkt die IT-Sicherheit nicht ständig der Digitalisierung hinterher? Stichwort Big Data oder auch Predictive Analytics. Ein Fahrstuhl wird heute schon mit Maschinenkommunikation überwacht, aber wurde dabei an Datensicherheit gedacht?

Mittelbach: In vielen Konzept- und Designarbeiten für Industrie 4.0 ist Cybersicherheit ein wichtiger Bestandteil. Technisch konkret wird es bei der Industrie-4.0-Komponente, für die in diesem Frühjahr eine Basisanforderung für Cybersicherheit definiert wurde.

Die Allianz für Cybersicherheit

Schönbohm: Eine Vielzahl der Implementierungen hat stattgefunden, bevor Cybersicherheit überhaupt ein Thema geworden ist. Die Schlüsselherausforderung ist Cybersicherheit by Design. Es gibt mittlerweile Zertifizierungen, Standards bei Teilthemen wie dem automatisierten Fahren. Vor allem aber haben wir im Wirtschaftsumfeld eine große Herausforderung: alte IT-Systeme, die jetzt auf einmal ins Netz gebracht werden sollen.

Mittelbach: … zum Beispiel Maschinen in unseren Fabriken, die dann bis zu 30 Jahre betrieben werden müssen ...

Schönbohm: Ja, und die Frage ist: Wie schaffen wir es, bei diesen Altsystemen ein höheres Sicherheitsniveau hinzubekommen. Wir sind im Austausch mit den Unternehmen, um herauszufinden, was dort die richtigen Wege sind und wie die richtigen Sicherheitsarchitekturen aussehen.

Windanlagen, die noch mit ISDN vernetzt sind, könnten da doch zum Problem werden, oder?

Mittelbach: Da haben Sie recht. Man hat nicht damit gerechnet, dass diese Systeme vernetzt werden. Da ist vieles auf Linux schnell programmiert worden oder läuft auf alten Windows-Varianten, für die keine Updates mehr geliefert werden.

Schönbohm: Wir müssen uns jetzt überlegen, wie wir die Altsysteme, das Erbe sozusagen, vernünftig und sicher in die Digitalisierung einbinden können. Da ist manchmal weniger mehr. Man kann dann Effizienzvorteile nicht nutzen. Vielleicht kann keine Fernwartung stattfinden. Ein Thema, das uns leider noch die nächsten Jahre, vielleicht auch Jahrzehnte beschäftigen wird.

Das heißt, es wird auch Systeme geben, die einfach nicht zur Vernetzung geeignet sind?

Mittelbach: Ja. Die Flugsicherung ist beispielsweise so ein System. Sie ist schlichtweg aus Sicherheitsgründen nicht mit der Außenwelt verbunden. Einfach ausgedrückt: Wir wollen nicht, dass beim Landeanflug jemand den Jumbo mit seinem Joystick um die Ecke fliegen kann.

Wenn Sie allerdings heute einen Fernwartungszugang zur integrierten Maschinensteuerung haben, dann ist schon eine Verbindung zum Kern der Maschine gegeben. Hinzu kommt, dass mittlerweile viele Komponenten mit mobilen Endgeräten verbunden sind, auf denen eine kaufmännische Software läuft. Solche Geräte sind nicht für die industrielle Vernetzung konzipiert und verfügen deshalb nicht über industrietaugliche Sicherheitsstandards. Wo diese Welten zusammenwachsen, müssen Unternehmen anfangen, integrierte, also domänenübergreifende Sicherheitskonzepte zu entwickeln.

Schönbohm: Vernetzung und Digitalisierung sind hochkomplexe Themen. Fest steht: Es wird keine Digitalisierung ohne Cybersicherheit geben. Und ohne sie werden wir auch in kein automatisiertes Auto steigen. Das zeigt auch die hohe Akzeptanz der Allianz für Cybersicherheit. Wir haben mittlerweile 2500 Mitglieder. In den letzten fünf Jahren haben wir über 350 Dokumente veröffentlicht, geben Unternehmen Hilfestellungen und empfehlen BSI-zertifizierte Partner.

Doch die IT-Sicherheit ist nicht so einfach. Man kann nicht hingehen und sagen, dieses System ist sicher und dieses nicht. Null oder eins gibt es dort nicht. Vielmehr müssen wir Risikoprofile definieren und das Risiko managen. Wir haben gerade den IT-Grundschutz überarbeitet, auch da gibt es bestimmte Risikogruppen. Wichtig ist, zu analysieren, wie schützenswert bestimmte Dinge sind. Es ist eben nicht alles gleich schützenswert – das ist wie im normalen Leben.

 Wo können Hackerangriffe besonders großen Schaden anrichten?

Mittelbach: In den letzten Jahren haben wir uns in der Allianz für Cybersicherheit sehr darum bemüht, nicht nur in der Unternehmens-IT voranzukommen, sondern vor allem in der Produktions-IT. Also überall dort, wo physische Produkte hergestellt werden – in der Elektroindustrie, dem Maschinenbau, der Automobilindustrie. In der Unternehmens-IT ist es zwar sehr schlecht, wenn Daten gehackt werden oder kaputtgehen, aber es entsteht kein physischer Schaden.

Anders in den produzierenden Branchen. Dort müssen nicht nur Produkte, sondern Leben, Gesundheit und Umwelt geschützt werden.

Spannend wird es, wenn jetzt die Unternehmens- mit der Produktions-IT verbunden wird – denn nur daraus entstehen neue Geschäftsmodelle. Mit der Industrie-4.0-Komponente fangen die Dinge an, zusammenzukommen.

Von Deutschland aus haben wir hervorragende Voraussetzungen, da unsere Anlagen in aller Welt stehen – in Europa, den USA, in China, Indien und vielen anderen Ländern. Natürlich können wir hier mit der Implementierung von Cybersicherheit nicht warten, bis eine neue Anlage gekauft wird. Das könnte 20 Jahre dauern. Also brauchen wir einen Prozess, der Schritt für Schritt dem Nutzer die Chance eröffnet, die IT-Sicherheit im laufenden Betrieb zu verbessern. Dazu sind ein umfassendes Prozessmanagement sowie eine Migrationsstrategie notwendig.

Schönbohm: Wir haben mit der Allianz für Cybersicherheit in der Wirtschaft ein großartiges Erfolgsmodell. Der erste Fokus richtete sich am Anfang auf die IT-Unternehmen. Sie bringen Ergebnisse in die Fläche. Vor eineinhalb Jahren haben wir angefangen, die Anwender – also die Industrieunternehmen – mit einzubeziehen.

Kann IT-Sicherheit mehr sein als nur eine lästige Pflicht?

Schönbohm: IT-Sicherheit kann auch ein Wettbewerbsvorteil für die deutsche Wirtschaft sein. Wir sind da gut aufgestellt – bei den politischen Regularien ebenso wie in der Wirtschaft, aber auch mit einer Behörde wie dem BSI. Aber natürlich dürfen wir uns auf dem Erreichten nicht ausruhen.

Kritische Infrastrukturen avancieren aktuell in der Cybersecurity zu einer Art Speerspitze. Sie müssen ein ganz anderes Sicherheitsniveau haben. Betreiber von Energieerzeugungsanlagen beispielsweise müssen da Trendsetter sein. Davon lässt sich dann vieles auf andere Wirtschaftsbereiche übertragen.

Ein Beispiel: Wir haben die Sicherheitsstruktur für das Thema Smart Meter entwickelt. Die positiven Erfahrungen, die wir dort gemacht haben, können wir unter anderem auf das automatisierte und das teilautomatisierte Fahren übertragen. Das Übertragen von Konzepten prüfen wir ständig und das funktioniert zurzeit sehr gut.

Mittelbach: In der Vergangenheit konnte jeder noch Regeln für sich selbst setzen. Beispielsweise der einzelne Automobilhersteller. Aber das hört spätestens beim automatisierten Fahren auf. Wenn Fahrzeuge unterschiedlicher Hersteller miteinander kommunizieren und erst recht wenn sie Daten mit der Umgebung austauschen, dann müssen wir ganz anders denken. Diesen Prozess zwischen Industrie und Politik gilt es zu moderieren.

Die Konzepte zur IT-Sicherheit schwappen also auch in die Testfelder fürs autonome Fahren?

Mittelbach: Ja, natürlich. Zumal wir das Rad nicht immer neu erfinden können. Intelligenz muss sicher sein. Fremde dürfen nicht missbräuchlich eingreifen, Geschäftsdaten, Entwicklungen und Patente nicht gestohlen werden.

Schönbohm: Nur damit keine Missverständnisse entstehen: Im sogenannten Car-to-Car-Konsortium erarbeitet das BSI im Auftrag des Verkehrsministeriums gemeinsam mit der Automobilwirtschaft die Informationssicherheitsstruktur für das automatisierte Fahren. Die Allianz für Cybersicherheit in der Wirtschaft wiederum bringt derartige Konzepte in einen größeren Kreis mit ein. Sie initialisiert aber vor allem eine Art Einbruchschutz-Beratung für Unternehmen.

In Sachen IT-Sicherheit machen Ihnen weniger die Dax-Unternehmen als vielmehr der Mittelstand Sorgen. Hängt er denn wirklich so weit hintendran?

Mittelbach: Kleine und mittlere Unternehmen sind einfach anders organisiert, es gibt keine großen Stabsabteilungen, alles ist auf das unternehmerische Ziel ausgerichtet. IT-Sicherheit ist dort eine von vielen Chefsachen.

Aber die Bedrohungen im Netz sieht man nicht. Durch die zunehmende Vernetzung zwischen Unternehmen können Angriffe sofort Dritte betreffen. Damit sind wir schnell bei der volkswirtschaftlichen Dimension.

Schönbohm: Im Vergleich mit Dax-Unternehmen sind viele KMU in Bezug auf das Thema Cybersicherheit nicht gut aufgestellt. Diese Unternehmen können hervorragend ein Produkt entwickeln oder produzieren, haben aber Nachholbedarf bei der Absicherung ihrer IT und Geschäftsprozesse. Denn viele verkennen, dass die Bedeutung der IT sich gewandelt hat. Sie ist nicht mehr nur arbeitsunterstützend, sondern mittlerweile ein wesentliches Element der Geschäftsgrundlage. Das ist nicht trivial und eine der Herausforderungen, der sich unsere Allianz stellt.

Nehmen denn die Unternehmen die Unterstützung der Allianz an oder empfinden viele Cybersicherheit eher als einen Zwang?

Mittelbach: Die Rahmenbedingungen sind komplizierter geworden, Wechselwirkungen nehmen zu. Security by Design ist absolut notwendig, kann aber durch den Gesetzgeber nicht statisch vorgeschrieben werden. Daher muss es unser Ziel sein, die Eigenverantwortung der Unternehmen zu stärken und die Kooperation von Industrie und Politik über die Allianz zu fördern.

Schönbohm: Wir setzen auf Fordern und Fördern. Das Ergebnis ist dann in der IT-Sicherheit wie im richtigen Leben auch. Manche nehmen die Unterstützung gerne an, andere müssen erst mal auf die heiße Herdplatte fassen, um wirklich zu wissen, was passiert.

stellenangebote

mehr