GIT SICHERHEIT: Herr Wiesner, das Thema Cybersicherheit gewinnt zunehmend an Relevanz gerade auch für Industrieanlagen. Wie schätzen Sie die aktuelle Lage diesbezüglich ein?

Jens Wiesner: Die Digitalisierung schreitet voran, gerade die Wirtschaft profitiert an vielen Stellen von mehr Effizienz und Effektivität. Gleichzeitig gibt es viele Bestandsanlagen, die zu einer Zeit gebaut wurden, als IT-Sicherheit noch keine Rolle spielte. Viele Anlagen werden jetzt ertüchtigt und gleichzeitig kommen mit der Vernetzung beispielsweise durch Nutzung von Cloud/Edge und Apps Herausforderungen hinzu, die von vielen noch gar nicht abgeschätzt werden können. Die Mischung aus Aufbruchsstimmung und Unsicherheit darf jedoch nicht zu einer Verweigerungshaltung führen, die dann ein Wettbewerbsnachteil wird. Andererseits müssen die Anlagen zuverlässig produzieren. Um das zu erreichen, nimmt das Bundesamt für Sicherheit in der Informationstechnik seine gestaltende Rolle wahr und unterstützt Hersteller, Errichter und Betreiber bei der Absicherung ihrer Systeme und Anlagen.

Wo liegen nach Ihrer Ansicht die neuen Herausforderungen?

Jens Wiesner: Mit der zunehmenden Digitalisierung nimmt auch die Vernetzung zu. Die klassischen Konzepte der gestaffelten Verteidigung (Defense in depth) werden immer weniger wirksam, wenn die Grenzen zwischen den einzelnen Ebenen - beginnend bei Sensoren und Aktoren über die Steuerung bis zu den Managementsystemen - durch umfassende Anbindung beispielsweise mit Clouddiensten immer weiter verwischen.

Unternehmensübergreifende Infrastrukturen, sichere Identitäten und Kommunikation müssen übergreifend möglich sein – was sind Ihre Empfehlungen und Tipps an die Sicherheitsmanager der Industrie?

Jens Wiesner: Aktuell haben viele einfache Angriffe Erfolg, die mit elementaren, ebenso einfachen Maßnahmen hätten verhindert werden können. Oft dauert es viel zu lange, bis ein Angreifer im Netzwerk bemerkt wird. Dabei sind gerade Produktionsnetzwerke mit ihrer vergleichsweise einfachen und meist statischen Konfiguration prädestiniert dafür, durch Angriffe erzeugte Anomalien zu erkennen. Bei vielen Verantwortlichen ist mittlerweile das Bewusstsein vorhanden, dass etwas getan werden muss, bei der konkreten Umsetzung jedoch gibt es Nachholbedarf. Oft scheitert es an fehlendem Personal, das in der Lage ist, Vorgaben zu machen und durchzusetzen. Die Einführung von Sicherheitsfunktionen macht manche Vorgänge langwieriger und umständlicher und wird daher als lästig oder gar unnötig wahrgenommen. Diese Einstellung ist falsch, denn letztlich ist in Zeiten der Digitalisierung eine Investition in die IT-Sicherheit eine Investition in den Geschäftserfolg. Wichtig ist, dass es nicht eine einzige Lösung gibt, die das System absichert, sondern immer mehrere im Zusammenspiel miteinander wirken. IT-Sicherheit ist ein dauerhafter Prozess, der gelebt werden muss. Das BSI bietet Unternehmen Hilfestellung an, etwa im Rahmen der Allianz für Cyber-Sicherheit (www.allianz-fuer-cybersicherheit.de) oder mit dem modernisierten und praxistauglichen IT-Grundschutz.

Cybersecurity muss zu den jeweiligen Prozessen passen, je nach Produktionsumfeld. Stichwort Industrie 4.0 – Produktion in Losgröße 1: Wie lässt sich da für Cybersicherheit sorgen?

Jens Wiesner: Industrie 4.0 wird mit Unterstützung des BSI auch unter Sicherheitsaspekten entwickelt. Diese müssen bereits in der Designphase der Produkte berücksichtigt werden („Secure by Design“) und umfasst die Nutzung sicherer Protokolle und Identitäten genauso wie einen abgesicherten Auslieferungszustand („Secure by Default“).

Wo sehen Sie die Herausforderungen im Spannungsfeld Funktionale Sicherheit und Security? Inwieweit ist das Thema Cybersecurity in der Funktionalen Sicherheit angekommen?

Jens Wiesner: 2017 wurde ein Vorfall bekannt, bei dem das Safety-System einer Kritischen Infrastruktur im Mittleren Osten angegriffen wurde. Dieses Vorgehen war gezielt auf die Anlage zugeschnitten und hätte im „Erfolgsfalle“ erhebliche Schäden verursachen, möglicherweise sogar Menschenleben kosten können. Viel zu oft sehen wir noch, dass in der Funktionalen Sicherheit die IT-Sicherheit keine große Rolle spielt und das Gefahrenbewusstsein für dieses Risiko noch nicht angemessen ausgeprägt ist.

Welche Warnungen sprechen Sie als BSI derzeit aus? Was sind die größten Gefahren und Angriffsflächen der Hacker?

Jens Wiesner: Wir unterscheiden zwischen gezielten und ungezielten Angriffen. Wannacry und Notpetya, zwei bedeutende Cyber-Angriffe des letzten Jahres, waren ungezielt. Sie hatten nicht eine spezielle Anlage im Fokus, haben aber dennoch in vielen Fällen Produktionsprozesse empfindlich gestört oder lahmgelegt. Es wird weitere Vorkommnisse dieser Art geben, denn Cyber-Angriffe sind ein für die Angreifer lukratives Geschäftsfeld. Zusätzlich werden wir auch weiterhin gezielte Angriffe sehen, bei denen Schwachstellen in Unternehmen mit dem Ziel der Erpressung ausgenutzt werden. Sicherheitsverantwortliche sollten sich auf das Szenario der gezielten Störung von unternehmenskritischen (Produktions-)Prozessen einstellen.

Wie steht es um die Security-Normen für das Produktionsumfeld?

Jens Wiesner: Der modernisierte IT-Grundschutz des BSI beinhaltet jetzt auch sogenannte IND-Bausteine und Umsetzungshinweise für das Produktionsumfeld. Zusätzlich sind diese auch für Funktionale Sicherheit mit der Möglichkeit zur Kommentierung über die BSI-Homepage www.bsi.bund.de verfügbar. Im internationalen Umfeld hat sich ISO/IEC 62443 etabliert, aufgrund des Umfangs von über 1.000 Seiten allerdings eher für Fortgeschrittene zu empfehlen. Die Verbände ZVEI und VDMA bieten kostenlos herunterladbare Einführungen dazu an.