Bild 01: S. Müller: „In einer global vernetzten Industrie sind wir die Cyberexperten für industrielle Anwendungen. Unser Ziel ist es, Sicherheits-und RemoteDienste bereitzustellen, Probleme zu lösen und die Verwendung industrieller Netzwerke einfach und sicher zu machen“ (Quelle: Frank Nolte/VDE VERLAG)
Wie wichtig ist das Thema Security für Industrieunternehmen?
S. Müller: Meiner Einschätzung nach ist IT-Security künftig existenzentscheidend. Alleine die bekannt gewordenen erfolgreichen Cyberangriffe haben einen deutlichen Schaden und immense Kosten verursacht. Bei Schäden in der Größenordnung von 300 Mio. US-Dollar je Vorfall helfen auch Versicherungen nicht weiter. Risikoanalyse und Asset Management, wie sie standardmäßig für Brandschutz, Einbruch oder Produktionsausfall durchgeführt werden, sind auch für die Security unabdingbar.
Was sind die besonderen Anforderungen an die IT-Sicherheit in der Fabrikautomation und wie lassen sich IT- und OT-Welt in Einklang bringen?
S. Müller: In der IT-Welt sind nach der Vertraulichkeit die Integrität und die Verfügbarkeit wichtige Faktoren. In der Produktion ist das Ranking genau umgekehrt. Bei derart unterschiedlichen Wichtigkeiten liegt es auf der Hand, dass Maßnahmen nicht eins zu eins transferiert werden können. Eine hohe Verfügbarkeit lässt sich nur mit großem Aufwand mit einer regelmäßigen Wartung oder der ständigen Aktualisierung durch Updates und Patches vereinen. Für eine sinnvolle Security-Strategie kommt es auf eine klare Rollenverteilung und Definition der Verantwortung zwischen Maschinenbauer, Hersteller, Systemintegrator und Betreiber an. Dabei sollte die Beziehung zwischen Systemintegrator und Betreiber über die gesamte Lebensdauer der Anlage bestehen, angefangen bei einem effizienten AssetManagement sowie der stets aktuellen Information über den Versionsstand.
Systemintegratoren brauchen aber die entsprechenden Informationen, um Anlagen Security-technisch stets auf dem aktuellen Stand zu halten. Sind da nicht auch die Hersteller gefordert, um auf Updates und Risiken hinzuweisen?
S. Müller: Verantwortungsvolle Gerätehersteller tun dies ja auch. Wir sehen uns hier in der Pflicht, entsprechende Informationen nach außen zu geben. Auch wenn sie die Schwachstellen nur selten selbst entdecken – auf unserer Homepage gibt es die Möglichkeit, uns etwaige Security-Lücken via E-Mail zu melden – sollten die Gerätehersteller diese zum Beispiel beim Cert@VDE melden, damit die Systemintegratoren ihre Anlagen up-to-date halten können. Seit Kurzem sind wir ebenfalls Mitglied im Cert@VDE und unterstreichen damit unsere Arbeit an und mit der Security