Interview mit Siegfried Müller

Welche Rolle spielt OPC UA bei Security-Produkten?

S. Müller: Bei OPC UA sind wir auf eine offene, durchgängige Kommunikation vorbereitet, da unsere Hardware schon jetzt die drei Kommunikationsmöglichkeiten, anonym, user-passwort sowie zertifikatbasiert unterstützt. Mit unserem Docker-Container Ansatz können wir OPC UA sogar isoliert von anderen Anwendungen auf unserem „mbNET“-Router als Runtime ausführen. Wir machen aus dem Router ein sicheres Edge-Gateway – inklusive Verschlüsselung auf SD-Karte und Schlüsselschalter. Zudem nutzen wir konsequent Secure-Elements, um zusätzliche Software-Elemente abzusichern. So wird Security barrierefrei für den Anwender nutzbar.

Wie sollte man vorgehen, um eine sichere Fernwartung zu implementieren?

S. Müller: Am besten schrittweise. Das beginnt bei der richtigen Konfiguration – bei uns werden Konfigurationsfehler größtenteils ausgeschlossen – und bei der Verwendung der richtigen Komponenten. Im nächsten Schritt bedarf es eines sicheren Routers. Dafür engagieren wir uns beispielsweise aktiv in der Industrial-Security-Arbeitsgruppe bei Teletrust [2], welche die Evaluierungsmethode nach der IEC 62443-4-2 [3] entwickelt hat, nach der wir unsere Produktsicherheit messen und prüfen.

Aber wie erkennen Kunden ein sicheres Produkt?

S. Müller: Ein Problem ist es, dass es noch keine einheitlichen, vertrauenswürdigen Security-Zertifizierungen für Produkte gibt, die auch bezahlbar sind. Ein Ausweg wäre zum Beispiel eine beschleunigte Zertifizierung, wie sie das BSI anbietet. Eine andere Möglichkeit wäre der EU-Cyber-act. Dieser ist in drei Stufen unterteilt. Als Erstes erfolgt eine Selbsterklärung des Herstellers nach IEC 62443, zweitens gibt es die Zertifizierung durch einen Drittanbieter – allerdings gibt es dazu keinen einheitlichen Prüfkatalog, sodass die Prüfungen/Zertifikate nicht vergleichbar sind. Eine Zertifizierung nach „common criteria“ wäre die dritte Stufe. Kriterien hierzu werden aktuell erstellt.

Worauf kommt es bei der Etablierung eines Security-Konzepts an?

S. Müller: An erster Stelle muss das Unternehmensmanagement ins Boot geholt werden. Gelebte IT-Sicherheit kostet Geld, ist aber künftig existenzentscheidend. Eine erfolgreiche Cyberattacke ist viel teurer. Zudem müssen IT- und OT-Beauftragte Verständnis für den anderen entwickeln. Die Wertschätzung des anderen ist in vielen Firmen nicht gerade ausgeprägt. Außerdem müssen auch technische Einkäufer für den Wert der Security sensibilisiert werden. Nur nach Preis zu entscheiden ist sicherlich der falsche Weg. Auch organisatorische Maßnehmen sind bei der Auswahl zu berücksichtigen. Ein Problem ist, dass die Security in der Automatisierungswelt keinen funktionalen Mehrwert liefert und nur was kostet. Man schätzt sie oft erst, wenn sie gebraucht wird. 

Literatur

1. MB Connect Line GmbH, Dinkelsbühl.
2. Bundesverband IT-Sicherheit e.V. (Teletrust), Berlin: www.teletrust.de 
3. IEC 62443-4-2:2019-02 Security for industrial automation and control systems – Part 4-2: Technical security requirements for IACS components. Genf/Schweiz: Bureau Central de la Commission Electrotechnique Internationale