Über Jahrzehnte hinweg wurden Systeme innerhalb der Informationstechnologie (IT) getrennt von denen der operativen Technologie (OT) in voneinander unabhängigen Netzwerken betrieben. Mit unterschiedlichen Komponenten und unterschiedlichen Zielen. In dieser Serie stellen sich mehrere Security-Experten denselben Fragen.
Während IT-Systeme für Berechnungen verwendet werden, die dazu dienen Informationen zu verarbeiten, hat die operative Technologie eine andere Aufgabe. Mit ihrer Hilfe werden physikalische Prozesse, Umgebungen, Ereignisse und Vorkommnisse in einem Unternehmen überwacht. Allerdings haben die jüngsten Entwicklungen dazu geführt, dass diese zuvor getrennten Umgebungen verschmelzen. Dazu gehören eine zunehmende Automatisierung und Verbesserungen innerhalb von Produktionsanlagen und kritischen Infrastrukturen.
Diese Entwicklung hat allerdings auch unerwünschte Nebenwirkungen. Je mehr die OT über neue intelligente Geräte vernetzt ist, desto mehr sind industrielle Systeme komplett neuen Sicherheitsrisiken ausgesetzt. Drahtlose Geräte sorgen für bequemere Vernetzung und mehr Produktivität, aber sie können auch zur Zielscheibe von Cyberangriffen werden. Cyberkriminelle nutzen die zwischen IT und OT entstandene Sicherheitslücke für sich aus.
Ein Gespräch mit Sam Curry, Chief Security Officer Cybereason.
1) Wie geht der Fertigungssektor mit der wachsenden Zahl von Cyberbedrohungen um und inwieweit bereitet die Branche sich insgesamt angemessen vor?
Der Fertigungssektor hat sich in Rekordzeit von einem „Alles-außer-Cyber“- zu einem „Alles-mit-Cyber“-System entwickelt. Mit den zunehmend konvergenten Netzen aus betrieblicher Technologie (OT) und IP-fähigen industriellen Steuerungssystemen (ICS) hat die Produktion ihre ehemals abgeschottete Welt verlassen. Die bisherige Welt mechanischer Teile und geschlossener, lokaler, einfach verdrahteter Command-and-Control-Systeme ist zu einem offenen Stack geworden, der eine Angriffsfläche für Hacker weltweit bietet.
Die Stichworte ausländische Akteure, Firmengeheimnisse und geistiges Eigentum sind in der Industrie keine Fremdwörter. Die klassischen Kontrollen im physischen Raum bilden für entschlossene Angreifer ohnehin kein Hindernis. Zwar besteht in der Industrie ein grundsätzliches Verständnis für potenzielle Angreifer und ihre Motivation. Trotzdem ist die Branche inzwischen gezwungen, über eine völlig neue Dimension von Bedrohungen nachzudenken. Banken und Finanzdienstleister und später das Gesundheitswesen haben sich mit vielfältigen staatlichen Regulierungen auseinanderzusetzen. Der Einzelhandel orientiert sich an den Vorgaben der PCI DSS-Richtlinien. Innerhalb der Industrie existieren allerdings äußerst heterogene Umgebungen mit unterschiedlichen Anforderungsprofilen. Oftmals fehlen klare Vorgaben, an welchen grundlegenden Sicherheitsleitlinien man sich orientieren sollte. Das kann in einen schmerzhaften Lernprozess münden, wenn man nicht einfach existierende Vorgaben kopieren will.
ICS- und OT-Geräte im Backoffice und IoT-Devices (Internet of Things) im Frontoffice lehren uns eine wichtige Lektion: Inzwischen befindet sich die Welt innerhalb ihrer ehemaligen Grenzen. Industrieunternehmen wissen, dass die Kosten, Sicherheitsmaßnahmen zu umgehen ebenso exponentiell steigen wie die Möglichkeiten dazu. Das ist keine Welt, in der es grüne oder rote Zonen gibt, die sicher oder unsicher sind, mit übersichtlichen Checklisten für jede Zone.
Heutzutage leben wir in einer Welt mit minimalen Zugriffsberechtigungen, Privilegien und Funktionen für ganz bestimmte Aufgaben. Die Annahme, es gäbe sichere Funktionen, Systeme oder Subsysteme, hat ausgedient. Starke Kryptographie, Authentifizierung, Präventionstechnologien, das Ausmerzen von Sicherheitsschwachstellen und das Prinzip der minimalen Rechtevergabe sind unerlässlich geworden. In der Oberliga der Cybersicherheit kommen ein kontinuierliches Risikomanagement, die Schulung des Personals, das Einziehen neuer Prozesse, Detektion, der Aufbau von Resilienz, eine rasche Wiederherstellung und die Minimierung des „Kaskadeneffekts“ von Vorfällen oder Datenschutzverletzungen noch dazu. Eine schöne neue Welt für die Entwickler von Widgets aller Art.
2) Von welchen Auswirkungen ist auszugehen, wenn die Branche die Bedrohungslage unterschätzt? Was kann schlimmstenfalls passieren?
Wenn Cyberbedrohungen nicht rechtzeitig erkannt werden, sind die Folgen dramatisch. In gewisser Weise sind diejenigen, bei denen eine Datenschutzverletzung offengelegt wird, fast noch glücklich zu nennen. Diese Unternehmen bekommen, wenn auch nicht ganz freiwillig, die Chance ihre Probleme zu beheben und anzugehen. Wer nicht weiß, dass ihm wertvolles geistiges Eigentum abhanden gekommen ist, zahlt einen hohen Preis. Die wirtschaftlichen Folgen sind verheerend: Milliardenverluste für verlorene Marktchancen, der Verlust der Wettbewerbsfähigkeit oder der Existenzgrundlage einer ganzen Firma.
Man kann sich die Folgen leicht ausmalen, wenn das geistige Eigentum und unternehmerische Wissen einer Firma in die Hände eines anderen kapitalkräftigen Unternehmens gelangt. Ein Unternehmen hinter den Grenzen eines anderen Landes, mit einem ähnlichen Marktzugang und wenig Möglichkeiten dieses Unternehmen jemals juristisch dingfest zu machen. Vielleicht ist es dem Bestohlenen nicht einmal klar, dass er quasi mit seinen eigenen Produkten konkurriert, die billiger angeboten und preiswerter produziert wurden. Mittlerweile ist es über 20 Jahre her, dass Cadence sich mit Avanti auseinandergesetzt und vor Gericht einen Vergleich in Höhe von mehreren Hundert Millionen Dollar erzielt hat. Heute dürfte das Potenzial ungleich höher sein.
3) Gibt es so etwas wie eine “technologische Sicherheitsdecke“ gegen Cyberbedrohungen? Was sollten Hersteller praktisch tun, um sich besser zu schützen?
Leider gibt es diese Schutzdecke nicht. Industrieunternehmen sollten die Risiken minimieren, sich aber auch für den Krisenfall vorbereiten. Es geht darum, eine Cybersicherheitshaltung zu entwickeln, die der aktuellen Bedrohungslage angemessen ist und sich darauf konzentriert, Sicherheitsverletzungen zu erkennen. Das kann intern oder mithilfe externer Partner bewerkstelligt werden. Die dabei eingesetzten Lösungen stören nicht zwangsläufig die betrieblichen Abläufe, und sie müssen auch nicht enorm kostenaufwändig sein. Auf jeden Fall sollte Cybersicherheit geschäftliche Priorität haben. Keine Placebos, keine Allheilmittel. Es ist ein bisschen wie beim gesunden Abnehmen. Man muss sich vernünftig ernähren und man sollte regelmäßig Sport treiben. Irgendwann in diesem Prozess muss man über reine Prävention und Planung hinausgehen und aktiv nach diesen besonders anpassungsfähigen Gegnern suchen.
4) Inwieweit haben technologische Fortschritte und Automatisierung dazu beigetragen, blinde Flecken im Cyberspace zu finden? Wird die Zukunft durch Automatisierung und KI sicherer?
Künstliche Intelligenz (KI) bietet eine gewisse Hilfestellung, aber sie ist kein Ersatz für Sicherheit. Wir haben heute schon Intelligenz in der Sicherheit: das sind Menschen auf Kohlenstoffbasis, nicht Maschinen auf Siliziumbasis. Wenn beide zusammenwirken kommen wir dem Ideal aber deutlich näher. “A” in AI (für Artifizielle Intelligenz) sollte höchstwahrscheinlich für “assistiert” stehen und Maschinen und Menschen zusammenarbeiten. Dabei sollten die Verantwortlichen auf falsche Versprechen verzichten, Sicherheitsprobleme etwa mithilfe von KI für uns zu lösen.
Wenn Menschen und Maschinen „fusionieren“ führt das zu mehr Effizienz und Effektivität. Künstliche Intelligenz wird dabei eine Rolle spielen (beziehungsweise tut sie das vielerorts schon). Aber Algorithmen, die wie bei der Turing Challenge den Menschen übertreffen, gehören immer noch ins Reich von Science-Fiction oder den Einflussbereich übertriebenen Marketings. Die Industrie sollte sich vor falschen Versprechungen hüten. KI wird nicht alle Sicherheitsprobleme lösen. Es geht vor allem darum, den „Sicherheitsmuskel“ der Industrie zu trainieren, um Vertrauen und Sicherheit zu gewährleisten. Und das kann keine Maschine der Welt übernehmen.
www.cybereason.com