Mehr Gefahr durch mehr Vernetzung

Ohne IT-Sicherheit kein IoT

Cybersicherheit wird für Industrieunternehmen in Zeiten zunehmender Vernetzung immer wichtiger. Wolfgang Straßer, Geschäftsführer des IT-Security-Spezialisten @-yet, erläutert im Gespräch mit Mobile Business, inwieweit sich Netzwerke absichern lassen und welche Problemstellungen sich aus der „IoT-isierung“ des Alltags ergeben – und welche mobilen Trends er sieht.

  • Ein Hacker bei der Arbeit

    Grundsätzlich gelte, dass Angreifer z.B. aus der organisierten Kriminalität weltweit und hochprofessionell agierten und zudem hervorragend vernetzt seien. ((Bildquelle: Thinkstock/iStock))

  • Wolfgang Straßer

    Die IT-Sicherheit im Blick: Wolfgang Straßer, Geschäftsführer des Sicherheitsunternehmen @-yet, begrüßt das IT-Sicherheitsgesetz, weil es Unternehmer und Politiker zwingt, das Thema anzugehen. ((Bildquelle: @-yet))

Herr Straßer, wo liegen die Schwerpunktaktivitäten Ihres Unternehmens?
Wolfgang Straßer: Insgesamt ist der Schutz von Daten, auch und gerade infolge neuer Gesetzgebungen und Verordnungen, aktueller denn je. Themen wie Business Continuity, Security und Compliance sind nach wie vor von immenser Bedeutung. Darüber hinaus legen wir seit einigen Jahren besonderes Augenmerk verstärkt auf die Absicherung von Fertigungsanlagen, Produktionsumgebungen sowie von Scada-Systemen, mit denen technische Prozesse überwacht und gesteuert werden. Das Thema Industrie 4.0 ist stets verbunden mit der Öffnung sehr spezieller und anfälliger Umgebungen und Komponenten hin zum Internet und stellt daher besondere Anforderungen an die IT-Security.

Was tun Sie in diesem Bereich?
Straßer: Da die Anforderungen und das notwendige Know-how speziell mit Blick auf Scada erheblich sind, haben wir im vergangenen Jahr die Firma @-yet Industrial-IT-Security gegründet, die sich auf Sicherheitsfragen rund um Industrienetze und deren Komponenten konzentriert. Wir bieten Analysen sowie Audits an und bereiten die Unternehmen zudem auf Auditierungen und Zertifizierungen beispielsweise entlang der Vorgaben des BSI bzw. der IEC62443-Norm vor. Dabei geht es u.a. um die Erfüllung der sogenannten Common Criteria for Information Technology Security Evaluation. Hier haben wir ein erstes großes Projekt gestartet, in dem es um die Vorbereitung von Kassensoftware und -systemen auf Basis der BSI-Richtlinien geht.

Inwieweit bilden die Vorgaben des BSI die tatsächliche Praxis ab?
Straßer: Nicht in zufriedenstellendem Umfang. Das BSI entwickelt durchaus sehr gute Kriterien und Vorgaben, die allerdings mitunter in der Industrie nur schwer umzusetzen sind. Doch obwohl die Vorgaben teils an der Praxis vorbeigehen, sind sie in Bezug auf die Absicherung kritischer Infrastrukturen dennoch als Rahmen notwendig, da hinsichtlich der Umsetzung des IT-Sicherheitsgesetzes und der Absicherung kritischer Infrastrukturen akuter Handlungsbedarf besteht.

Eigentlich schade, dass der Gesetzgeber mit dem Gesetz zu kritischen Infrastrukturen den ersten Schritt machen musste. Jetzt müssen sich betroffene Unternehmen ernsthaft damit auseinandersetzen, was sehr viele vorher leider nicht in ausreichendem Maße getan haben. Das ist von immenser Bedeutung, denn für die Volkswirtschaft ist IT ein elementarer Baustein. Den Behördencharakter des BSI zu bemängeln, ohne die Relevanz konkreter Vorgaben in diesem Umfeld zu sehen, greift zu kurz.

Dies ist ein Artikel aus unserer Print-Ausgabe 11-12/2018. Bestellen Sie ein kostenfreies Probe-Abo.

Gibt es einen echten Austausch?
Straßer: Unternehmen wie unseres haben bereits Praxiserfahrung und erweitern diese stetig. Darüber tauschen wir uns auch ab und an mit dem BSI aus – inwieweit dieser Austausch tatsächlich zu Anpassungen führt, ist eine andere Frage.

Man bekommt den Eindruck, der Gesetzgeber propagiere Vernetzung und Digitalisierung, obwohl derzeit noch nicht einmal der Breitbandausbau vorankommt. Was nutzen IT-Sicherheitsgesetze, wenn die gesamte Infrastruktur nicht passt?
Straßer: Das ist eine Problematik, die es auf politischer Ebene zu diskutieren gilt. Beim Breitbandausbau hat die Politik versagt, denn die Verkehrsminister der letzten Jahre äußern sich zwar gerne in Sonntagsreden zu diversen Themen der Digitalisierung und ihrer Bedeutung für den Standort Deutschland, scheitern aber an ihren eigentlichen Aufgaben.

Im Rahmen der Vernetzung von Produktionsanlagen unter den Gesichtspunkten von Industrie 4.0 fehlt es an Standards. Welche wären unter Sicherheitsaspekten notwendig?
Straßer: Es gibt Zulassungsverfahren nach Common Criteria, die sich mit einzelnen Komponenten befassen, um deren Sicherheit zu gewährleisten.  Verbände wie VDMA oder ZVEI haben ihren Fokus im Bereich Security speziell hinsichtlich Industriesteuerungen, Industrienetzen und IoT deutlich erweitert. In diesem Rahmen tauschen sich mittelständische Produktionsunternehmen ausgiebig aus und es wird viel geforscht an deutschen Hochschulen.

Als Teilnehmer eines Arbeitskreises beim VDMA sehe ich, wie ernst das Thema dort genommen wird. Bezüglich des Breitbandausbaus liegt Deutschland noch zurück, hinsichtlich der Entwicklung von sicheren Produkten insgesamt sind die Automatisierer und/oder die Maschinen- und Anlagenbauer jedoch seit einiger Zeit sehr aktiv.

Wie wichtig sind Standards bei der Etablierung von Sicherheitsmaßnahmen?
Straßer: Standardisierung ist außerordentlich wichtig und etabliert sich zunehmend, was beispielsweise daran deutlich wird, dass eine bestehende Norm, die IEC62443, die Industrievernetzung sowie Sicherheitsvorgaben und -komponenten beschreibt, in die europaweit anerkannte ISO-Norm überführt werden soll.

Welche Auswirkungen hat die zunehmende Vernetzung?
Straßer: Wir bewegen uns in Richtung einer komplett vernetzten und cloud-dominierten Welt, wobei häufig gerade die als äußerst sicher beworbenen Cloud-Szenarien besonders anfällig sind. Dies gilt vor allem für webbasierte Anwendungen und Apps. Secure Coding und Secure Guidelines sind meist nicht vorhanden, zudem sind die Trennungen in den Datenbanken oft ungenau. Es gibt zu viele, zu leicht angreifbare webbasierte Umgebungen. Dies betrifft Betriebe aller Größenordnungen.

Ein mit dem Internet verbundener Rechner ist immer ein erhöhtes Sicherheitsrisiko. Macht es da noch einen Unterschied, wo die Daten gespeichert sind?
Straßer: Im Prinzip könnte das egal sein, wenn man denn überall gleiche Bedingungen vorfände und man z.B. hochwertige Verschlüsselungstechnologien einsetzen könnte. Das ist aber nicht überall möglich. Es gibt leider zunehmend Länder, die hochentwickelte Sicherheitstechnologien nicht mehr zulassen.

Grundsätzlich gilt, dass Angreifer z.B. aus der organisierten Kriminalität weltweit und hochprofessionell agieren und zudem hervorragend vernetzt sind. Generell ist meist die Basisinfrastruktur – also IP-Netze, Betriebssysteme, webbasierte Programmiersprachen, Datenbanken etc. – als unsicher einzustufen, solange nicht entsprechende Gegenmaßnahmen zum Einsatz kommen. Grundsätzlich kann man sehr viel mehr für IT-Sicherheit tun als allgemein bekannt.

Inwieweit lassen sich vernetzte Infrastrukturen überhaupt absichern?
Straßer: Dies ist natürlich schwierig, da die Industriestandards, die in den vergangenen Jahren eingeführt wurden, schon aufgrund ihrer hohen Komplexität unsicher sind. IP-basierte Protokolle, Betriebssysteme, mobile Endgeräte oder Programmiersprachen sind sehr komplex, um als Basis für möglichst viele Anwendungen dienen zu können – und genau diese Komplexität birgt Risiken.

Um dennoch mehr Sicherheit zu gewährleisten, bedarf es immer einer Gesamtbetrachtung unter Risikogesichtspunkten und einer unternehmensweiten Sicherheitsstrategie, in die von den Applikationen über die Netzwerke und Rechenzentren bis hin zu den Nutzern alle einbezogen werden müssen: auch Programmierer und Anwendungsentwickler. Leider fehlt es gerade im Mittelstand oft an entsprechenden Richtlinien.

Kommen Unternehmen erst auf Sie zu, wenn es bereits zu einer kritischen Situation gekommen ist, oder betreiben sie auch aktiv Prävention?
Straßer: Es gibt beide Varianten, aber die Tatsache, dass aktive Forensik zurzeit sehr gefragt ist, hat ihren Ursprung darin, dass bereits sehr viele Angriffe und Manipulationen erfolgt sind und erfolgen, ohne publik geworden zu sein. In solchen Fällen ist eine unmittelbare Lösung gefragt.

Darüber hinaus engagieren uns viele Firmen, um den generellen Status quo ihrer IT-Sicherheit festzustellen. In diesem Rahmen führen wir klassische Security-Audits und Assessments durch, von Penetration-Tests über Code Reviews bis hin zu Policy Checks. Wir analysieren die Infrastrukturen und die begleitenden Prozesse, um herauszufinden, wie die Nutzer mit ihnen verfahren. Hier sind neben Netzwerkaspekten auch mobile Anwendungen relevant. Oft werden wir im Anschluss an die Analysen gebeten, bei der Entwicklung sicherer Szenarien zu helfen.

Findet derzeit ein Erkenntnisprozess bezüglich IT-Sicherheit statt?
Straßer: In manchen Unternehmen findet ein gedanklicher Umbruch erst statt, wenn es bereits ein Problem gab. Demgegenüber gibt es auch einige wenige, die solchen Szenarien per se vorbeugen und ihre IT beizeiten absichern möchten.

Kommunen etwa schneiden bei Sicherheitsfragen eher unterdurchschnittlich ab, weswegen wir derzeit zunehmend aus dem kommunalen Umfeld Aufträge erhalten, etwa von Stadt- oder Wasserwerken.

Wie vertrauenserweckend ist es dann, wenn die Wasser- oder Stromversorgung über IoT-Komponenten geregelt wird?
Straßer: Es gibt Online-Plattformen, die gezielt nach offenen Industriesteuerungen suchen. Dort finden sich zahllose ungesicherte Steuerungssysteme, die teils direkt auf hochkritische Anlagen führen.

Das IT-Sicherheitsgesetz ist schon deshalb sinnvoll, weil es Unternehmer und Politiker endlich dazu zwingt, sich mit der Thematik intensiv auseinanderzusetzen. Die gesamte Volkswirtschaft hängt mittlerweile von IT ab, ohne IT werden keine Produkte entwickelt, gefertigt, ausgeliefert, gewartet oder bezahlt. Wir alle bewegen uns im gleichen Netz und damit auf den gleichen Basis-IT-Systemen. Das Thema IT-Sicherheit vor diesem Hintergrund noch zu vernachlässigen, ist grob fahrlässig.

Auch dem Mittelstand wird häufig unterstellt, die Implementierung geeigneter Sicherheitsmaßnahmen zu vernachlässigen.
Straßer: Dies entspricht nicht unbedingt den Tatsachen, denn es gibt zahlreiche gute Mittelstandsumgebungen, wohingegen manche größeren Cloud-Szenarien oder Outsourcing-Rechenzentren in Sachen IT-Sicherheit eher schlecht funktionieren. Bei unserer Arbeit ist uns aufgefallen, dass häufig bereits die Zugangskontrollen nicht richtig durchdacht sind und in der Folge auch einige Betriebsabläufe fehlerhaft funktionieren.

Bei Outsourcing-Szenarien gibt es, unabhängig von der Unternehmensgröße, gute und schlechte Lösungen. Man macht es sich zu einfach, wenn man unterstellt, allein die Quantität der Maßnahmen sei entscheidend, denn in Relation zu der Angriffsfläche, die große Umgebungen bieten, genügt sie oft nicht. Dies betrifft sowohl IT-Anbieter als auch Anwender. Je größer und globaler Umgebungen werden, desto höher ist der Investitionsbedarf, denn die Angriffsfläche wächst überproportional.

Viele Nutzer bemängeln, dass Firewalls oder Virenscanner ihre Rechner verlangsamten, weshalb sie die Schutzmechanismen deaktivieren.
Straßer: Dieses Verhalten ist in der Regel ein Indiz dafür, dass die Prozesse nicht stimmen und IT-Sicherheitsmaßnahmen schlecht konfiguriert sind. Natürlich gibt es auch sehr viele Nutzer, denen jegliche Sicherheitsmaßnahmen einfach nur lästig sind. Aber es darf nicht sein, dass höhere Bequemlichkeit zulasten der Sicherheit geht. Hier muss jeder Unternehmer gesondert entscheiden, wie viel individuelles Risiko er zu tragen bereit ist, um kurzfristig den Komfort für seine Mitarbeiter zu erhöhen. Allerdings sollte er sich vorher auch darüber informieren, wo die Risiken für ihn liegen und dann abwägen.

Gibt es „schlankere“ Lösungen, die Komfort und Sicherheit vereinen?
Straßer: Auch schlanke Lösungen setzen voraus, dass man sich mit den Basistechnologien beschäftigt. Grundsätzlich braucht man nicht immer  neue Security-Produkte, die das Netz zusätzlich belasten. Stattdessen kann man mithilfe von Härtung, Secure Coding oder sicherer Implementierung der Infrastrukturen sehr viel erreichen. Tatsächlich lässt sich mit „Bordmitteln“ der wesentlichen Infrastrukturen viel für die eigene Sicherheit tun, ohne Leistungsverlust.

Viele Security-Produkte machen das gesamte Umfeld komplexer, langsamer und dadurch anfälliger, denn ihre Anwendung muss beherrscht werden. Bereits heute haben Anwender Probleme, die Basisprotokoll- und -betriebssysteme, Datenbanken und klassischen Anwendungen unter Sicherheitsaspekten einzurichten und verlassen sich auf Spezialprodukte, von denen sie kaum profitieren, da die Basis nicht ordentlich konfiguriert wurde.

Inwieweit kann die vielbeschworene Künstliche Intelligenz helfen?
Straßer: Auch Security-Produkte, die mit Künstlicher Intelligenz (KI) arbeiten, sind menschengemacht, was meist den Effekt hat, dass neue KI-Produkte eine Zeit lang gut funktionieren, sich Angreifer aber schnell auf sie einstellen. Mehr noch: Schlecht implementierte KI-Lösungen können sogar enormen Schaden anrichten. Es hat bereits Fälle gegeben, in denen sich KI gegen sich selbst richtete. Es gibt zweifelsohne gute und sinnvolle Produkte, deren Nutzen jedoch an der jeweiligen Anwendung scheitern kann.

Welche sind klassische Einsatzgebiete von KI im Sicherheitsbereich?
Straßer: KI wird oft in Verbindung mit großen Rechnerszenarien eingesetzt, bei denen auf einer vermeintlich großen Datenbasis Anomalien verglichen und herausgefiltert werden. Der Nachteil: Viele KI-Produkte stammen aus dem anglo-amerikanischen Raum und verstoßen gegen EU-Datenschutzgesetze. Die meisten dieser Lösungen schicken permanent nahezu sämtliche Daten in die USA und wieder zurück und sind damit nicht nur langsam, sondern auch unnötig komplex. Jedoch steht das Thema erst am Anfang, mit viel Luft nach oben.

Generell werden viele Produkte, die unter dem Schlagwort KI vermarktet werden, ihrem Anspruch noch nicht gerecht. Dieses Phänomen ist vergleichbar mit der Cloud: Viele der vermeintlich innovativen Cloud-Szenarien sind im Grunde nichts anderes als klassisches Outsourcing.

Konzerne wie Adobe oder Microsoft zwingen die Anwender geradezu in die Cloud.
Straßer: Da ich unsere Daten lokal sichern möchte, zahle ich für meine 40 Mitarbeiter jährlich knapp 40.000 Euro Lizenzgebühren an Microsoft. Diese Kosten ließen sich auf ein Drittel reduzieren, würde ich die Software-Produkte aus der Cloud beziehen. Da könnte man schon auf die Idee kommen, dass man die Anwender in die Cloud „zwingen“ möchte.

Microsoft nimmt Themen wie Security und Standardisierung ernst, veranstaltet regelmäßig Patch Days und arbeitet konzentriert daran, der immensen Komplexität, die es mitgeschaffen hat, Herr zu werden. Dennoch schätze ich die Art nicht, wie der Konzern versucht, Anwender in die Cloud zu ziehen. Der Effekt ist, dass wir aktuell versuchen, in unserem Unternehmen vieles auf Open-Source- und Linux-Basis umzustellen, was man generell nur empfehlen kann.

Open Source als Ausweg aus dem Cloud-Dilemma?
Straßer: In der Open-Source-Welt werden gerade Lösungen entwickelt, die mehr Auswahl bieten sollen. Wir selbst testen solche Ansätze und nutzen über virtualisierte Maschinen Linux als Basissystem. Wir versprechen uns davon eine höhere Transparenz und Hoheit über unsere Daten.

Ist dies eine Empfehlung für andere, auch kleinere Unternehmen?
Straßer: Open Source ist interessant, wenn Aspekte wie Datenschutz und Sicherheit im Vordergrund stehen. Um Linux- und Open-Source-Produkte jedoch ebenso gut supporten zu können, wie man es aus dem Microsoft-Umfeld kennt, braucht es entsprechende Fähigkeiten. Da sich gerade ein entsprechender Markt entwickelt, werden die passenden Angebote sicherlich folgen. Im Moment ist es trotzdem eher etwas für IT-affine Unternehmen wie uns, die über das notwendige interne Know-how verfügen.

Stellen sich die Angreifer nicht auch auf Linux ein?
Straßer: Das tun sie doch bereits schon lange, ebenso wie auf Apple. Es ist doch ein Irrglaube, Apples iOS sei sicherer als Android. Dennoch ist die reine Architektur von Apple und iOS aus unserer Warte etwas sicherer als die von Android, was damit zusammenhängt, dass es nicht nur „ein“ Android gibt, sondern verschiedenste Versionen. Es ist vergleichbar mit der Unix-Welt: Auf einer gemeinsamen Basis entwickelt jeder Hersteller sein eigenes Derivat.

iOS und die Architekturen auf dem iPhone liefern mehr Sicherheit, jedoch sind Apps das Einfallstor, weil sie oft unsicher programmiert sind.

Heißt das, dass Smart-phones gar nicht sicher sein können?
Straßer: Es gibt gerade Bemühungen in Richtung der Entwicklung von Open-Source-Smartphones. Wir beobachten derzeit drei Projekte, von denen eines wirklich vielversprechend erscheint. Die anderen beiden sind vom Ansatz her ebenfalls gut, in der Entwicklung jedoch noch weit zurück. So etwas braucht Zeit.

Wer sind die Investoren hinter solchen Projekten?
Straßer: Das ist das Problem: Es fehlen derzeit noch die großen Investoren. Ich erwarte zwar keine Lösung vor Mitte nächsten Jahres, aber langsam und stetig entwickelt sich auch hier ein Open Source-Markt. Allerdings besteht die Gefahr, dass diese Entwicklung einigen großen Anbietern nicht gefällt und sie versuchen werden, kleine Firmen mit interessanten Neuentwicklungen vom Markt zu kaufen.

Wie lassen sich mobile Geräte denn halbwegs sicher nutzen?
Straßer: Über Mobile Device-Management (MDM) sollte man versuchen, die Einbindung der Systeme in die eigenen Netze so sicher wie möglich zu gestalten. Man sollte zudem keinen komplett freien Zugang zum eigenen Netz gewähren und auch nicht jede App zulassen. Dieser Prozess muss gesteuert und reguliert werden.

Gibt es Mobile-Device-Management-Produkte, die Sie empfehlen?
Straßer: Nein. Genau wie bei den Virenscannern variieren die Komplexität und Qualität. Viele MDM-Lösungen sind für den Mittelstand einfach zu komplex und nur schwer beherrschbar. Auch hier gilt es, sich im Vorfeld darüber klar zu werden, was man erreichen will, und erst dann eine Tool-Auswahl zu treffen.

Wie gehen Angreifer bei der Auswahl potentieller Ziele vor?
Straßer: Natürlich gehen sie den Weg des geringsten Widerstandes. Sie scannen permanent die Netzwerke und wenn sie Rückmeldung erhalten, dass jemand noch nicht den aktuellsten Patch eingespielt hat, werden sie sofort aufmerksam. Immer dort, wo Hacker mit geringem Aufwand in die Netze eindringen können, etwa durch das Einschleusen von Krypto-Trojanern, geschieht dies auch.

Das Aufkommen der ersten Smartphones stellte eine Zeitenwende dar, denn damit wurden Daten ständig und überall verfügbar. Was wird der nächste große Schritt sein?
Straßer: In meinen Augen ist es die Vernetzung sämtlicher Komponenten aus allen Lebensbereichen, von Straßenlaternen über Gegenstände des Alltags bis hin zu selbstfahrenden Autos. Und ganz gleich, wie man dazu steht: Auch der Komplex der Mobilität wird sicher noch weiter ausgebaut. Es geht allgemein um die „IoT-isierung“ der Welt.

Wie kann man sich dem noch entziehen?
Straßer: Im Prinzip bleibt nur, beispielsweise im Auto die SIM-Karte bzw. den Gerätenetzzugang zu deaktivieren – vorausgesetzt, dies ist überhaupt noch möglich. Bei meinem Auto habe ich mich bewusst gegen eine weiterführende Online-Anbindung entschieden, obwohl sich gewisse Apps und Funktionalitäten somit nicht nutzen lassen – beispielsweise die Verarbeitung aktueller Verkehrsnachrichten im Navi. Aber selbst dieses Problem lässt sich über Open Source lösen, etwa über Verkehr.nrw auf dem Smartphone.

Ich kann nicht sagen, wie lange man dem noch entgegensteuern kann, denn sie betrifft sämtliche Lebensbereiche und macht einen schlicht gläsern. Und ich kann auch nicht sagen, dass mir diese Entwicklung gefiele.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok