Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden
Suche

Mittwoch, 20. Februar 2019

IT-Sicherheit

„Universitäten haben geschlafen“

Von Regine Bönsch | 10. Januar 2019 | Ausgabe 01

Hans-Peter Bauer, Vice President Central and Northern Europe bei McAfee, über Angriffsszenarien auf die Industrie, Sicherheitsmechanismen für Produktionsanlagen und den Mangel an IT-Sicherheitsexperten.

BU Bauer
Foto: McAfee

Hans-Peter Bauer, McAfee-Manager: „Unternehmen haben ihre normale IT-Welt im Griff, aber in Produktionsanlagen geht es vielfältiger und komplexer zu. Da ist IT-Sicherheit viel schwieriger.“

VDI nachrichten: Herr Bauer, als IT-Sicherheitsexperte haben Sie bislang vor allem mit Informatikern gesprochen. Was fasziniert Sie so an der Industrie?

Bauer: Hier wird aktuell gerade deutlich, was Digitalisierung bedeutet. Die reale und die virtuelle Welt finden in der Industrie zusammen. Beispiel Automobilindustrie: Logistisch ist die Branche sehr gut aufgestellt, stößt aber an ihre Grenzen, wenn die administrative Welt in die Produktion hineinwächst. Just in time, Einbindung der Zulieferer, Shared Development – das sind sehr enge Prozesse, die die Industrie vor große Herausforderungen stellen. Sie muss ihre komplexe, vielfältige Welt in IT-Strukturen einbinden, die zudem sicher sein müssen. Angriffsszenarien aus den letzten Jahren haben gezeigt, dass die Automobilbauer nicht in der normalen IT-Welt angegriffen wurden, sondern in der Produktion. Und da ist es besonders schmerzhaft.

Hans-Peter Bauer

Können Sie Beispiele nennen?

Automobilhersteller in Tschechien wurden beispielsweise angegriffen. Es gab andere Übergriffe in Mexiko. Die Unternehmen haben ihre normale IT-Welt im Griff, aber in den Produktionsanlagen geht es vielfältiger und komplexer zu. Da ist auch die IT-Sicherheit viel schwieriger. Wer hätte mal gedacht, dass der Erpressertrojaner Ransomware in der Produktion landet?

Der PC bzw. seine Software ist heute – dank Microsoft, Apple & Co. – nahezu genormt. In der Produktionswelt dagegen gibt es alles. Selbst standardisierte Produkte werden da abgewandelt. Wenn sie dort Microsoft finden, dann ist das XP, das nicht mehr aktualisierbar ist. Um die Düse beim Lackieren zu steuern, reicht das aus. Würde ich dort Windows 10 da installieren, wäre das System nur noch mit selbst beschäftigt.

Was ist die Krux bei Industrie 4.0?

Eines der Kernthemen bei der Sicherheit von Industrie 4.0 ist der Lebenszyklus der Systeme. PC-Systeme sind heute schon nach eineinhalb Jahren veraltet, in einer Bank werden sie vielleicht zwei Jahre alt. Eine Industrieanlage aber hat zwei bis drei Jahre Planungsvorlauf, der Lebenszyklus ist für zwölf bis 20 Jahre angedacht. Die Systeme sind, wenn sie in Betrieb gehen, aus IT-Sicht schon alt. Das gilt übrigens auch für Geldautomaten und Kassensysteme.

Aber wie kann man sie dann sicher machen?

Diese stabileren Systeme mit weniger Updates und Dynamik muss man anders schützen. Sie werden quasi von außen mit einer Schale gesichert. Das ist ein umgekehrter Ansatz. Die gewohnten Sicherheitssysteme auf Geräten überprüfen, ob ein Fall schon bekannt ist – also das typische Blacklisting-Antivirensystem. Wir setzen künstliche Intelligenz ein, um Anomalien festzustellen, und als drittes System Application Containment. Dabei lasse ich eine Anwendung in einer sicheren Umgebung anlaufen. Aber das alles geht auf alten Systemen nicht. Dort muss mit Whitelisting gearbeitet werden. Das System sitzt wie eine Krake obendrauf und lässt nur das laufen, was in der weißen Liste hinterlegt ist.

Wie eine Käseglocke?

Ja, und die Fliegen kommen nicht durch.

McAfee kennen viele Privatverbraucher vom heimischen PC. Aus welchen Branchen kommen Ihre Industriekunden?

Aus der Automobilindustrie. Es sind produzierende Mischkonzernen wie Linde dabei, pharmazeutische Unternehmen, die deutsche Stahlindustrie und viele andere mehr.

Die deutsche Stahlindustrie – das heißt Thyssenkrupp, die Ende 2016 massiv von Hackern angegriffen wurden ...

... und nach dem Angriff hat das Unternehmen sofort ein Riesenprojekt zum Schutz von Produktionsanlagen aufgesetzt.

Das Unternehmen hat schnell reagiert und den Vorfall veröffentlicht. Die meisten reden aber nur ungern über Cyberattacken.

Sicherheit ist Vertrauenssache. Würden Sie bei jemandem etwas kaufen, über den jeden zweiten Tag in der Zeitung steht, dass seine Produktionsanlage stillsteht, weil er attackiert wurde? Im Bankenumfeld ist das noch kritischer.

Laut einer Cisco-Studie sind in jedem fünften deutschen Unternehmen mehr als 21 verschiedene IT-Sicherheitsprodukte im Einsatz. Stimmt das mit Ihren Erfahrungen überein?

Diese Zahlen sind noch untertrieben. Wenn Sie vor Kurzem mit einem Automobilhersteller gesprochen haben, dann war eher die Frage: Welchen Anbieter haben Sie nicht?

Allerdings hat sich das leicht verbessert – das liegt aber eher an der Konsolidierung in der IT-Branche. Allein McAfee hat in den letzten zehn Jahren 60 Unternehmen gekauft. Außerdem haben die großen Kunden auf der Technologieseite erkannt, dass es viel zu teuer ist, so viele unterschiedliche Sicherheitsanbieter zu haben. Wir beispielsweise sind mittlerweile – inklusive anderer Partner, die wir integrieren – ein Vollsortimenter für Unternehmen.

Brauchen Unternehmen angesichts der Vielfalt mittlerweile unabhängige Sicherheitsberater wie beispielsweise einen TÜV?

Das trifft weniger auf die Technik als vielmehr auf die gesetzlichen Regelungen zu, die eine immer wichtigere Rolle spielen. Denken Sie an die europäische Datenschutzgrundverordnung. Da können bespielsweise TÜV-Berater unterstützen, die Unternehmen auf den Weg der Tugend zu führen.

Heute müssen Sie als Unternehmer gesetzeskonform handeln. Sie müssen also Risikomanagement betreiben, und ein Teil davon ist IT-Sicherheit. Es gibt ja viele Unternehmen, deren Geschäftsmodell nicht mehr funktioniert, wenn die IT ausfällt. Stellen Sie sich vor, bei Amazon würde für drei Tage die IT ausfallen oder bei einem Automobilhersteller würde das SAP-System nicht funktionieren – die Lieferzeiten würden sich extrem verlängern.

Wie wichtig ist das IT-Sicherheitsgesetz?

Das IT-Sicherheitsgesetz hat eine wichtige Funktion. Wenn hier die Bankautomaten ausfielen, gebe es Mord und Totschlag. Wenn die Wasseraufbereitung nicht laufen würde, hätten wir gesundheitliche Schäden. Das ließe sich endlos fortsetzen. Wir hängen von einer Infrastruktur ab und die wiederum von der IT.

Wie relevant sind für die Industrie Allianzen in Sachen IT-Sicherheit?

Über Allianzen und Zusammenschlüsse versucht die Industrie, Wissen und Ressourcen zu bündeln, denn hier fehlt es dramatisch an Experten.

Hat Deutschland die IT-Sicherheit verschlafen?

Wir sind spät dran. Deutschland ist ein tolles Land, wenn es um die Anwendung von Technologie geht. Aber wir sind keine Innovatoren, nicht im IT-Bereich. Im Auto und in der Medizin setzen wir jede Menge Spitzentechnik ein, aber eher als Systemintegrator. Das gilt auch für die IT-Security.

Und überall fehlt es an Experten?

Laut einer Studie werden spätestens im Jahr 2020 weltweit mindestens 2 Mio. IT-Sicherheitsexperten fehlen. Wenn Deutschland rund 8 % des Markts ausmacht, dann sind das hierzulande 80 000 Menschen. Die müssen erst mal irgendwo herkommen. Und diese Studie ist zwei Jahre alt, die reale Situation heute ist noch viel schlimmer. Ich brauche heute doppelt so lange, um einen IT-Security-Experten zu bekommen, wie noch vor zwei, drei Jahren.

Universitäten haben da total geschlafen. Wann wurden denn die ersten Lehrstühle für IT-Sicherheit eingeführt? Und es gibt wenige, z. B. in Bochum und Berlin. Die Bundeswehr hat erst im letzten Jahr an ihrer Uni in München einen Lehrstuhl eröffnet, nachdem Frau von der Leyen äußerte, dass sie 25 000 Cybersecurity-Experten bei der Bundeswehr haben möchte.

Was unternimmt denn die IT- Sicherheitsindustrie angesichts dieses Personalmangels?

Wir automatisieren die IT-Sicherheit immer mehr, sodass nur noch die komplexen schwierigen Eingriffe durch Menschen durchgeführt werden müssen. Ich gehe davon aus, dass wir in den nächsten zwölf Monaten einen Automatisierungsgrad von 70 % bis 80 % haben werden. Dann können sich die wenigen Spezialisten auf die restlichen 20 % konzentrieren. Dafür setzen wir künstliche Intelligenz ein, aber auch die Integration von Systemen. Wenn Sie in einem Unternehmen 30 verschiedene Sicherheitsprodukte haben, dann muss der Mensch die Verbindung sein. Alle Systeme müssen mit der gleichen Intelligenz arbeiten und auf dieser Basis die gleichen Aktionen treiben.

Die Welt ist in den letzten Jahren eine andere geworden. Wir haben Trump, eine drohende Handelskrise, Russen, die für Angriffe verantwortlich gemacht werden, Chinesen vielleicht mit Hintertüren in Infrastruktursystemen ...

Die politische Situation hat sich gewandelt. Dem müssen wir auch mit unseren Systemen Rechnung tragen. Allein McAfee als international aufgestelltes Unternehmen macht 50 % seiner Entwicklungsarbeiten nicht in den USA.

Aber McAfee ist ein US-Unternehmen. Ist es vorstellbar, dass es ein System von Kaspersky, dem russischen IT-Sicherheitsspezialisten, integriert?

Ja. Da wir vieles als Open Source anbieten, müssen nicht einmal wir das selbst tun, sondern Dritte können es anbieten. Wir haben uns zu dem offenen Ansatz bekannt. Das ist übrigens sehr stark Intel-getrieben. In der Kombination wird das Ganze nicht gefährlicher, denn die Kontrolle liegt bei dem Unternehmen, das das System betreibt.

Apropos Intel: Wie gestaltet sich Ihr aktuelles Verhältnis?

Intel hat 2011 McAfee gekauft und agierte zunächst eher wie ein Finanzinvestor. Dann sollten wir – um Kostenvorteile zu erzielen – integriert werden. Damit wurde für uns die Handbremse angezogen. Intel wollte Security in die Hardware integrieren. Das geht aber nur begrenzt, denn alles, was Sie in Hardware stecken, ist statisch, und die Sicherheit ist nun mal dynamisch. Da passiert jeden Tag etwas anderes. Sicherheit bleibt zu 80 % eine Softwareangelegenheit. In jahrelange Planungsphasen wie sie ein Unternehmen wie Intel hat, passen wir nicht rein. Das hat glücklicherweise der damalige CEO Brian Kranicz erkannt und 51 % an eine Private- Equity-Firma, TPG Texas Pacific Group, verkauft. Die sind dafür bekannt, dass sie langfristig in Technologie investieren. Jetzt sind wir seit rund eineinhalb Jahren wieder selbstständig und gedeihen prächtig.