Firmen-know-how ist Ziel von Angriffen
Cyber-Sicherheit betrifft jedes Unternehmen
Innovative Produkte und Leistungen sind für ein Hochlohnland wie Deutschland die Basis wirtschaftlichen Erfolgs. Mit neuen Technologien kommen jedoch auch neue Risiken auf uns zu. CHEManager befragte Holger Junker, Referatsleiter Cyber-Sicherheit in kritischen IT-Systemen, Anwendungen und Architekturen im Bundesamt für Sicherheit in der Informationstechnik (BSI) zu Industrie 4.0 und Cyber Security. Die Fragen stellte Dr. Volker Oestreich.
CHEManager: Herr Junker, unter Experten wird Security für IT in der Produktion schon seit über 10 Jahren intensiv diskutiert. Bedurfte es erst der Schadprogramme wie Stuxnet und Duqu oder der bekannt gewordenen Aktivitäten von NSA und GCHQ, um diese Problemstellung auch in den Chefetagen deutscher Unternehmen bekannt zu machen?
H. Junker: Bereits in den 1990'er Jahren gab es Sicherheitsvorfälle in der Produktion. Diese haben aber nie die „kritische Masse" erreicht, um für genügend Handlungsdruck zu sorgen. Stuxnet hat da nur bedingt zur Handlungsbereitschaft beigetragen. Oftmals wurde die Meinung vertreten, dass man sich gegen hochgradig professionelle Angriffe wie Stuxnet ohnehin nicht schützen kann. Insbesondere die jüngsten Entwicklungen haben aber dazu beigetragen, dass Entscheider nun umdenken. Vielen ist erst jetzt bewusst geworden, dass Cyber-Sicherheit jedes Unternehmen betrifft und dass häufig das marktentscheidende Firmen-know-how Ziel von Angriffen sein kann.
Industrie 4.0 mit durchgängig vernetzten Strukturen in Produktion und Organisation kann nur Realität werden, wenn auch die Fragen der Cyber Security zufriedenstellend gelöst werden. Da dürfte Ihrem Referat in den nächsten Jahren die Arbeit nicht ausgehen?
H. Junker: Industrie 4.0 ist eine große Chance für Deutschland als Land der Maschinenbauer und als Hochlohnland. Mit der Vernetzung über alle Schichten der Automatisierungspyramide hinweg sind bewährte Konzepte wie Zonierung von Netzsegmenten nur noch bedingt anwendbar. Auch die zunehmende Komplexität stellt eine Herausforderung für das Sicherheitsmanagement dar. Sowohl in der Vernetzung innerhalb des Unternehmens als auch außerhalb entlang der Wertschöpfungskette sind innovative Ansätze gefragt, die sich kosteneffizient umsetzen lassen, wenn die Vision von Industrie 4.0 tatsächlich Realität werden soll.
Bei all der Diskussion um Industrie 4.0 darf man nicht vergessen, dass auch die große Masse an Bestandsanlagen hinreichend abgesichert werden muss.
Vor knapp zwei Jahren haben Sie in der Empfehlung „Industrial Control System Security" die Top 10 Bedrohungen für IT in der Produktion und geeignete Gegenmaßnahmen zusammengestellt. Wie ist dieser Leitfaden von der produzierenden Industrie aufgegriffen worden und wie aktuell ist er heute noch?
H. Junker: Die Top 10 Bedrohungen für Industrial Control Systems (ICS) waren als eine der ersten Publikationen zur Förderung der Awareness gedacht. Die Resonanz auf dieses Dokument hat alle Erwartungen übertroffen. Aufbauend auf diesem Dokument gibt es nun auch eine Selbstevaluierung für Anlagenbetreiber. Die in den Top 10 dargestellten Bedrohungen sind auch heute noch aktuell. Da aber jeder Anlagenbetreiber selbst die Kritikalität der Bedrohungen bewerten muss, wird es in der Aktualisierung 2014 eine leichtgewichtige Methodik geben, mit der für jedes Unternehmen ein individuelles Ranking erstellt werden kann.
Auf besonders großes Interesse ist auch das ICS Security Kompendium des BSI gestoßen, welches seit Kurzem unter www.bsi.bund.de/ICS-Security-Kompendium kostenfrei zur Verfügung steht. Dieses Dokument ist als Einstieg in die ICS Security für IT-Experten und Fachleute aus der Produktion geeignet und zeigt Umsetzungsmöglichkeiten für Anlagenbetreiber auf.
Was müssen europäische Unternehmen tun, um bei Cyber Security auf eine sicherere Seite zu kommen?
H. Junker: Unternehmen müssen ein ganzheitliches Sicherheitsmanagement etablieren. Neben technischen Maßnahmen sind dabei insbesondere organisatorische Regelungen und die Sensibilisierung der MitarbeiterInnen gefragt. Zusätzlich bietet die Allianz für Cyber-Sicherheit eine Plattform, in der sich Unternehmen zu Sicherheitsfragen austauschen können. Grundsätzlich ist Kooperation der Schlüssel zum Erfolg. Nur durch gemeinsame Anstrengungen von Industrie, Staat sowie Lehre und Forschung ist es möglich, die erforderlichen Rahmenbedingungen für Cyber-Sicherheit zu schaffen.