Ralf Habermann: Schauen wir erst einmal auf die Datensicherheit – also die Cyber-Security. Viele der genannten Verordnungen zielen einheitlich auf ein angemessenes Schutzniveau, allerdings mit unterschiedlicher Fokussierung. Der Maschinenverordnung geht es darum, dass durch korrumpierte Daten oder böswillige Angriffe niemand zu Schaden kommt, während der Cyber-Resilience-Act darauf abzielt, die (Volks-)Wirtschaft zu schützen, damit also ein Cyberangriff nicht zu Stromausfällen oder zum Zusammenbruch der Trinkwasserversorgung führt. Dass gerade mittelständische Unternehmen in allen Bereichen, vom Maschinenbauer bis zum Stadtwerk, in der Umsetzung viel Luft nach oben haben, ist oft angesprochen worden, daher will ich darauf nicht weiter eingehen. Grundsätzlich ist aber IT- bzw. OT-Sicherheit mit diesen Regelwerken keine Frage des „Ja“ oder „Nein“ mehr, sondern mit welchen Schritten man anfängt, seinen Betrieb und seine Anlagen ein Stück sicherer zu machen.
Frage 2): Mit welchen Schritten sollte man also loslegen?
Ralf Habermann: Auch wenn es in Thrillern häufig anders dargestellt wird: „Hacker“ verbringen rund 40 Tage damit, das Zielsystem zu verstehen, auszuspionieren und nach interessanten Inhalten zu durchstöbern, bevor sie „zuschlagen“, Festplatten verschlüsseln und Lösegeld fordern.
Wenn wir also einen unerwünschten Eindringling sofort als solchen erkennen, haben wir „alle Zeit der Welt“, um in Ruhe zu überlegen, wie wir ihm das Handwerk legen. Dabei funktionieren Hacker wie Einbrecher: Werden sie ertappt, suchen sie das Weite. Wenn sie clever sind, verwischen sie ihre Spuren so gut wie möglich, um vielleicht irgendwann einen zweiten Versuch zu starten.
Auch für Netzwerke gibt es Einbruch-Meldeanlagen – im Englischen heißen sie, wörtlich übersetzt, Intrusion Detection System (IDS). Die Kernaufgabe eines IDS ist es, den gesamten Netzwerkverkehr mitzuhören und sofort Alarm zu schlagen, wenn sich ungewöhnliche Dinge tun.
Frage 3): Wie erkennt ein IDS, ob ein neuer Teilnehmer dazu kommt, oder ob sich etablierte Teilnehmer über Kanäle austauschen, über die sie sonst noch nie kommuniziert haben?
Ralf Habermann: Im Prinzip wird jeder Kommunikationsvorgang gegen eine Liste erlaubter Zustände geprüft – eine sogenannte Positivliste, auch Allow- oder White-List genannt. Findet ein Vorgang statt, der nicht in der Liste aufgeführt ist, egal ob es sich um einen neuen Teilnehmer, einen unüblichen Gesprächskanal oder eine nicht übliche Kommunikation zweiter Netzwerkpartner handelt, schlägt das IDS Alarm. Ein Mensch schaut sich dann die Meldung genauer an und gibt dem System auch eine entsprechende Rückmeldung, damit es lernen und seine Regel selbst optimieren kann.
Frage 4): „Lernen“ und „Selbst-optimieren“ klingt jetzt nach KI – oder?
Ralf Habermann: Richtig. Unser IDS setzt ausgeklügelte KI-Algorithmen ein, damit Kunden nicht Wochen damit verbringen müssen, diese Positivliste zu erstellen. Das kann das System selbst übernehmen – und ist damit erstaunlich schnell. Je nach Anlagengröße dauert das wenige Stunden bis wenige Tage. Danach lernt ein intelligentes IDS mittels Beobachtung permanent weiter dazu. Wichtig ist, dass es sofort Alarm schlägt, wenn es unbefugte Verbindungen oder einen unbekannten zusätzlichen Kommunikationsteilnehmer erkennt. Um sich dem Zielsystem anpassen zu können, ist ein gutes IDS flexibel skalierbar.
Bei unserer alphaWatch ist ein automatisiertes Sperren bei unzulässigen Datenflüssen grundsätzlich möglich. Es ist aber meist nicht sinnvoll. Denn wenn ein „Hacker“ gerade die Sicherheitsmechanismen umgangen und begonnen hat sich umzuschauen, kann man die Zeit dazu nutzen, um versuchen herauszufinden, wo der unerwünschte Eindringling her kommt und über welche Hintertürchen und undichten Stellen er eingesickert ist.
Frage 5): Gib es aus Ihrer Sicht ein unterschiedliches Vorgehen bei IT- und OT-Systemen?
Ralf Habermann: Nicht grundsätzlich. Die Endziele sind die gleichen. Aber man muss sich darüber im Klaren sein, dass diese Welten häufig sehr unterschiedlich sind. Im OT-Bereich ordnet sich alles der Verfügbarkeit unter – die Produktion muss laufen. Zudem habe ich es häufig mit sehr heterogenen Kommunikationsteilnehmern zu tun, also etwa allen möglichen Betriebssystemen, auch solchen, für die es schon lange keine Sicherheitsupdates mehr gibt. Das IDS muss also in der Lage sein, sich jedem Teilnehmer anzupassen. Daher gibt es in diesem Bereich auch keine Einheitslösung, die sofort für alle passt.
Wenn jemand ein OT-System angreift, dann muss ich davon ausgehen, dass ich einen Profi vor mir habe, der in der Lage ist, herkömmliche Sicherheitsmaßnahmen zu umgehen. Genau aus diesem Grund ist es eminent wichtig, den Eindringling sofort zu erkennen, weit bevor andere Systeme überhaupt in der Lage sind, die Signaturen spezifischer Schadsoftware zu detektieren.
Frage 6): Heißt das im Umkehrschluss: Wenn ich ein IDS im IT-Bereich installiere, ist der OT-Bereich automatisch mit abgedeckt?
Ralf Habermann: Eben nicht. Gegenüber der idealen Welt der IT gibt es in der OT diese Einschränkungen, gegen die ich erst einmal machtlos bin. Alte Betriebssysteme zum Beispiel – oder Beschränkungen durch vertragliche Vereinbarungen zu bestimmten Service-Levels, etwa weil ein Maschinenhersteller ein bestimmtes Update eines Betriebssystems nicht freigibt, weil die Kompatibilität mit den Maschinen im Feld nicht gewährleistet ist.
Eher ist es so, dass umgekehrt ein Schuh draus wird: Häufig richtet sich ein Angriff zunächst gegen das IT-System und erreicht nur OT-Systeme, die nicht sauber abgekoppelt sind. Ist der Angriff aber auch nur teilweise erfolgreich, trägt das OT-System die Hauptlast, weil es in diesem heterogenen Umfeld ungleich schwieriger zu reparieren ist und im Extremfall jede einzelne Maschine nach unterschiedlichen Vorgehensweisen gereinigt und wieder hochgefahren werden muss.
Frage 7): Wie würden Sie die Vorteile eines IDS gegen klassische IT-Sicherheitstools zusammenfassen?
Ralf Habermann: Ein gutes IDS erkennt Anomalien auf Anhieb und schlägt sofort Alarm. Das ist lange bevor eingeschleuste Schadsoftware überhaut erkannt werden kann. Damit verschafft das IDS dem Kunden zwei Dinge: Die Sicherheit immer zu wissen, dass niemand im digitalen Raum ist, der da nicht hingehört – und die Zeit, den Ursachen einer erkannten Anomalie auf den Grund zu gehen.
Herr Habermann, vielen Dank für das Gespräch!
Die TG alpha GmbH entstand 2020 aus dem Zusammenschluss der T&G Solutions GmbH mit der ProtectEM GmbH, um mehr als zehn Jahre Erfahrung in der Datensicherheit für industrielle Automation in einem Unternehmen zu bündeln. Heute ist TG alpha der Spezialist für OT-Cybersecurity innerhalb der schwedischen Firmengruppe Novotek AB. Die Novotek AB ist seit über 35 Jahren im Umfeld der industriellen IT ein international aktiver Player mit Niederlassungen in allen größeren europäischen Ländern und unterstützt andere Automatisierer dabei, die Herausforderungen der digitalen Transformation präzise und sicher zu meistern.
Parallel zu seinen Workshops entwickelt TG alpha sichere Digitalisierungslösungen, vorrangig für technische Anwendungen im Maschinen- und Anlagenbau, für produzierende Unternehmen aber auch für die Gebäude-(leit-) technik. Dabei ist dem Unternehmen wichtig, die gesamte OT-Prozesslandschaft im Blick zu behalten um seine Kunden umfassend dabei unterstützen zu können, Vorteile aus ihren Daten zu ziehen, Teilprozesse pragmatisch zu automatisieren und damit die Effizienz der Kunden deutlich zu steigern.
Auf der Basis langjähriger Erfahrung aus dem industriellen Umfeld ist alphaWatch entstanden, ein intelligentes, KI-basiertes IDS, speziell optimiert für den OT-Bereich. Die Meldeanlage für Netzwerk-Einbrüche ist beispielswiese in der Wissenschaftsstadt Darmstadt im Einsatz und überwacht dort die Kommunikation zwischen der Verkehrsleitzentrale, den 180 Ampelanlagen und den rund 3.500 damit verknüpften Sensoren. TG alpha sorgt dafür, dass etwaige Anomalien in der Netzwerkkommunikation sofort gemeldet und zu Zwecken der Rückverfolgbarkeit bzw. zur späteren Analyse zusätzlich auch in eine Datenbank eingespeist werden. Mit der so geschützten Anlage gelingt es dem Mobilitätsamt, den gesamten Verkehr in Darmstadt nahe am ereignis- und umweltorientierten Optimum zu regeln.
TG alpha GmbH
Ulrichsberger Str. 17
94469 Deggendorf
Telefon: +49 (991) 402271-0
Telefax: +43 (3362) 21012-90
http://www.tgalpha.de
Ansprechpartner Fachpresse
Telefon: +49 9922 1033
E-Mail: tw@robologs.com
