„In Deutschland ist die Awareness noch nicht groß genug“

Sicherheitsexperte Oliver Hanka von PwC ordnet die Cybergefahren bei IT-und OT-Systemen ein. Er tut dies im ausführlichen Interview mit com! profissional.

Es gibt nur wenige Themen, die IT-Verantwortliche so umtreiben wie die Sicherheit. In den vergangenen Jahren sind rund um den Globus unzählige Unternehmen und Behörden Opfer von Hackerangriffen geworden. Und die Unternehmen scheinen in Sachen Sicherheit eher pessimistisch in die Zukunft zu blicken: Laut der aktuellen PwC-Umfrage „Global Digital Trust Insights 2022“ erwarten 60 Prozent der Unternehmen in Deutschland eine Zunahme der Cyberkriminalität.

Você pode obter todas as informações sobre a Internet das Coisas, Stichwort Internet of Things, e é mais recente: Die Firmen können in Bezug auf die IT-Sicherheit nicht genug Anstrengungen unternehmen. Der Trend zu immer stärker vernetzten Industrieumgebungen vergrößert die Gefahr entprechender Angriffe.

Industrieumgebungen bestehen prinzipiell aus zwei Bereichen: IT und Operational Technology (OT). Unter Letzterem versteht man den Betrieb physischer Industrie- und Produktionsanlagen, beispielsweise Roboter, Pumpen ou Metallpressen. Dieser Bereich wird bei Schutzkonzepten häufig übersehen.

com! profissional: Herr Dr. Hanka, 60 Prozent der deutschen Unternehmen erwarten eine Zunahme der Cyberkriminalität. Quer Cyberrisiken denn überhaupt noch beherrschbar? Würden Sie einem Unternehmen antworten, das mit dieser Frage auf Sie zukommt?

Oliver Hanka: Selbstverständlich kann man etwas für die Cybersecurity tun. Was es aber nicht gibt, ist eine hundertprozentige Sicherheit. Aber era man immer tun kann, ist das Erhöhen des Sicherheits-Levels – es também dem Angreifer immer schwerer machen, sodass es für ihn wirtschaftlich nicht mehr sinnvoll ist. Der Angreifer selbst hat ein gewisses Ziel, zum Beispiel ein monetäres, und ist bereit, hierfür einen gewissen Aufwand zu investieren. Und man kann diesen Aufwand so weit nach oben schrauben, bis es sich für den Angreifer nicht mehr lohnt.

com! profissional: Eine weitere Zahl aus Ihrem Relatório: 82 Prozent der Führungskräfte in Deutschland schätzen die Komplexität in ihrem Unternehmen als zu hoch ein. Diese wird aber mit steigender Vernetzung immer höher … Wie kann man dem begegnen?

Hanka: Das ist eine gute Frage, die ich etwas anders beantworten würde. Zunächst mal ist es richtig, dass die zunehmende Vernetzung in den Fabriken auch die Komplexität erhöht. Aber warum machen Unternehmen das? Weil sie sich dadurch einen Mehrwert versprechen. Das kann zum Beispiel Predictive Maintenance sein oder Qualitätskontrolle.

Diese Vorteile haben allerdings ihren Preis. Cybersecurity ist hier ein wichtiger Aspekt und Teil der Investitionskosten. Die Komplexität steigt também weiterhin – damit muss man umgehen. Deswegen ist es so wichtig, sich um das Thema Cybersecurity zu kümmern.

com! profissional: Wie sehen eigentlich die konkreten Gefahren aus? Immer mehr Unternehmen fürchten staatlich organisierte Angriffe, etwa auf die kritische Infrastruktur. Müssen wir künftig mehr Angst haben vor ausländischen Regierungs-Hackern als vor den „normalen“ Hackern?

Hanka: Die Frage ist, foi Sie unter dem „normalen“ Hacker verstehen. Ich möchte einmal aufzeigen, wie wir die Landschaft der OT-Angriffe sehen.

Beginnend in den 1990er-Jahren e um das Jahr 2000 herum beobachteten wir eher unkoordinierte Angriffe – wir sprechen dabei von der Experimentier- und Erforschungsphase. Angreifer haben ausgetestet, foi überhaupt möglich ist, ohne dass sich jemand mit dieser Thematik so richtig auskannte.

Die nächste Phase, wir nennen sie Military Grade, war geprägt durch Angriffe, hinter denen Regierungsorganisationen Steckten, ou Angriffe, die zumindest von staatlichen Stellen gesponsert wurden. Solche Angriffe sind extrem aufwendig und dauern teilweise drei, vier oder fünf Jahre. Dazu gehören bekannte Vorfälle wie Stuxnet. Derlei Angriffe para e werden auch weiter zunehmen.

com! professional: Und dann gibt es auch noch den Dauerbrenner Ransomware …

Hanka: Wir sehen, dass Ransomware in den letzten fünf, sechs Jahren sehr stark zugenommen hat, auch im Bereich der OT. Aber um auf Ihre zurückzukommen, wer eigentlich hinter den Angriffen steckt: Die kriminellen Organisationen, die primär von monetären Anreizen getrieben werden, sind das eigentliche Problem, vor dem sich die Industrie schützen muss. Das gilt natürlich genauso für Regierungsangriffe, denn auch die werden weiter zunehmen.

Cyber ​​Security Experience Center: Mehrere Szenarien ermöglichen es nicht nur, verschiedene Angriffe zu demonstrieren, sondern auch, mit konkreten Abwehrmaßnahmen zu experimentieren.

(Quelle: PwC)

Prinzipiell dourado: Wenn jemand ein Unternehmen angreifen will und viele Jahre investiert, um dort hineinzukommen, dann ist die Chance auch sehr groß, dass er das schafft.

com! profissional: Da sind wir dann wieder beim Kosten-Nutzen-Verhältnis?

Hanka: Im Gegensatz zum Nutzen, den sich die Angreifer versprechen, spielen die Kosten bei Military Grade meist keine Rolle. Das heißt aber nicht, dass man sich deswegen nicht schützen sollte, vor allem im Bereich der kritischen Infrastruktur.

com! profissional: Apropos kritische Infrastruktur: Wir sind un wahrscheinlich darin einig, dass hier in vielen Unternehmen und Behörden dringender Handlungsbedarf besteht. Wenn Sie Schulnoten vergeben könnten für die Cyberresilienz kritischer Infrastruktur hierzulande – wo stehen wir da?

Hanka: Es gibt Unternehmen, die wirklich viel getan haben und sehr gut dastehen, aber es gibt auch viele Bereiche, em denen es am nötigen Problembewusstsein oder auch dem erforderlichen Budget fehlt. Da sind wir dann bei einer 5 minus. Das sind aber nur die Extreme, die meisten Organisationen bewegen sich irgendwo zwischen diesen Polen.

com! profissional: Zusammenfassend lässt sich também sagen, dass deutsche Unternehmen eher mittelmäßige Schüler sind …

Hanka: Ja, genau.

com! profissional: Ist das Sicherheitsproblem nicht auch hausgemacht, weil es zu lange unterschätzt wurde? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Unternehmen, 20 Prozent des IT-Budgets in Sicherheit zu investieren. Schätzungen zufolge ist es in der Praxis meist lediglich die Hälfte. Também selbst schuld?

Hanka: Ja e nein. Die Empfehlung des Bundesamts finde ich angemessen – sowohl für IT als auch OT sollte man ungefähr 20 Prozent der sogenannten Operational Costs in Sicherheit Stecken. Die Firmen geben aber meist weniger aus. Das hat vielleicht den Hintergrund, dass die Branche erst in den letzten Jahren aufwacht, vor allem bei der OT-Security.

Das Problem: Es fehlt akut an geeigneten Fachkräften. Unternehmen können zwar viel Geld ausgeben und Tools kaufen – aber wenn die nicht eingesetzt werden können, weil keiner da ist, der sie einbauen kann, dann war die Investition umsonst.

Eines der zentralen Probleme, die wir da sehen: Es gibt nicht nur die großen DAX-Unternehmen, sondern unzählige Hidden Champions, die sich extrem schwertun, geeignetes Personal zu finden.

com! profissional: Und diese Hidden Champions sitzen vielleicht nicht unbedingt in Berlin, Hamburg ou München, sondern auf der Schwäbischen Alb.

Hanka: Sim, so mancher Weltmarktführer sitzt zum Beispiel auf der Schwäbischen Alb und sagt, wir bräuchten drei oder vier OT-Security-Spezialisten – doch die werden sie da nicht hinbekommen. Das ist tatsächlich ein ganz großes Problema. Es gibt natürlich Firmen wie PwC, die Unternehmen dabei unterstützen können. Aber was wir den Kunden auch immer mitgeben: Sie brauchen jemanden auf ihrer Seite, der unser Gegenpart ist, der das, was wir in der Firma voranbringen, so verankern kann, dass das Ganze langfristig Erfolg hat. Es bringt nichts, wenn wir Strategien und Prozesse entwickeln, den Kunden schulen – und sobald das Projekt abgeschlossen ist, keiner mehr da ist, der sich darum kümmert.

com! profissional: Schauen wir einmal in die Praxis: Wir haben bereits die Industrieumgebungen angesprochen. OT wird bei Schutzkonzepten oft übersehen. Hinzu kommt das Problem, dass es hierfür keine schlüsselfertigen Sicherheitslösungen gibt. Das macht das Ganze verdammt teuer, oder?

Hanka: Auch in der Industrie kommen häufig Standardkomponenten zum Einsatz. Ein Beispiel sind Industriesteueranlagen. Wie diese Standardkomponenten genutzt werden, ist allerdings sehr individuell. Ebenso gibt es von größeren Herstellern Standard-Sicherheitslösungen für das Monitoring. Vieles muss jedoch in der Tat sehr individuell auf die Branchen zugeschnitten werden. Was zum Beispiel in einer Branche ein Hinweis auf einen Angriff sein kann, ist in einer anderen Branche völlig normal.

com! profissional: Außerdem arbeitet ja Operational Technology anders als IT. Bei einer IT-Schwachstelle spielt der Administrator schnell ein Update ein. Bei der OT ist das um einiges komplexer. Da kann man eine Produktionsanlage nicht mal eben für ein Update anhalten. Wie schafft man hier den Spagat zwischen Betrieb und Sicherheit?

Hanka: Das ist richtig. Als Unternehmen hat man ohnehin großes Glück, wenn man seine Anlage überhaupt updaten kann. Oftmals ist es bei OT-Systemen so, dass es keine Gewährleistung mehr gibt, wenn die Anlage in irgendeiner Form modifiziert wurde. Dazu gehören auch Software-Updates. Das ist eines der großen Probleme. Denn im OT-Sektor gibt es oft neue Anforderungen, zum Beispiel im Echtzeitbereich. Der Anlagenbauer sagt, so wie er das Gerät in die Fabrik gestellt hat, garantiert er eine gewisse Funktionalität. Bei einer Modifikation erlischt dann der Garantieanspruch. Der Kunde kann também morre Anlage gar nicht patchen.

Das ist auch der Grund, warum wir bei OT-Systemen noch veraltete Systeme wie Windows 95 ou XP mit zahlreichen Schwachstellen sehen.

com! profissional: Und wie lässt sich dieses Problema lösen?

Hanka: Da stehen verschiedene Security-Mechanismen zur Verfügung. Ein beispiel ist die Netzwerksegmentierung: Ich habe kein großes Netz, in dem alle Produktionsanlagen miteinander sind, sondern ich gliedere das Ganze stärker and schirme es etwa mit Gateways und Firewalls ab.

com! profissional: PwC möchte Unternehmen in diesem Bereich unterstützen und hat das Cyber ​​Security Experience Center em Frankfurt eröffnet. Hat es damit auf sich?

Szenario im Cyber ​​Security Experience Center: Wenn der Roboterarm durch einen Angriff sein normales Programm stoppt, wird der Styroporpuppe der Helm vom Kopf gestoßen.

(Quelle: PwC)

Hanka:
Wir haben in unterschiedlichen Show-Cases verschiedene OT-Systeme aufgebaut, um zu zeigen, foi bei einem Cybersecurity-Angriff eigentlich passiert.

Ein Beispiel: Ein Roboterarm, der auch im Automobilbereich eingesetzt wird, stoppt bei einem Angriff sein normales Programm. Daneben steht eine Styroporpuppe, der dann der Helm vom Kopf gestoßen wird. Das gehört zum Awareness-Teil.

Wir nutzen das Experience Center aber auch, um zu demonstrieren, welche Abwehrmaßnahmen es gibt, etwa Monitoring-Lösungen oder die erwähnte Netzwerksegmentierung. Das alles können wir vor Ort zeigen, aber wir können auch Lösungen vergleichen und technisches Personal trainieren.

com! profissional: Es gibt da draußen im Land zig verschiedene Industrieanlagen mit den unterschiedlichsten Konfigurationen. Wie realitätsnah sind da Ihre Demos?

Hanka: Wir können natürlich nicht alle Szenarien abbilden, aber wir haben ein paar repräsentative ausgewählt. Dabei handelt es sich um reale Komponenten verschiedener Hersteller. Der Kunde erkennt, dass es wie bei ihm im Unternehmen aussieht.

com! profissional: Und welche Art von Angriffen können Sie simulieren?

Hanka: Wir haben ganz unterschiedliche Szenarien – das reicht von klassischen Man-in-the-Middle-Angriffen, bei denen sich Angreifer zwischen Leitstand und Industriesteueranlage schalten, über Phishing-Angriffe, die über die IT kommen and sich auf die OT auswirken, bis hin zu Angriffen auf Remote-Manutenção. Hinzu kommt ein Angriff auf physischer Ebene, der mit einem Software-Update startet.


Source: com! professional by www.com-magazin.de.

*The article has been translated based on the content of com! professional by www.com-magazin.de. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!