Aktuelles, Branche, Interviews - geschrieben von am Montag, September 3, 2018 18:17 - noch keine Kommentare

Cybersicherheit in Industrie und Kritischer Infrastruktur muss ganzheitlich gedacht werden

Interview mit Prof. Thomas Brandstetter, SANS-Instructor und Geschäftsführer von Limes Security

[datensicherheit.de, 03.09.2018] Über die Sicherheit im Umfeld der Industrie und Kritischer Infrastruktur sprach Carsten J. Pinnow, Herausgeber und Chefredakteur von datensicherheit.de (ds), während des SANS ICS Summits mit Professor Thomas Brandstetter, Instructor des SANS Institutes und Geschäftsführer von Limes Security. Er ist Spezialist und Trainer für Cybersicherheit im industriellen Umfeld und bekannt als Incident Handler von Stuxnet für Siemens.

ds: Kritische Infrastrukturen wie die Stromnetze der Ukraine sind in der Vergangenheit Ziele von Cyberattacken geworden. Wie sicher sind kritische Infrastrukturen heute?

Brandstetter: Wir können vorsichtig optimistisch sein. Aktuell ist die Absicherung und Security zumindest im unmittelbaren KRITIS-Bereich auf einem guten Weg, aber das kann nur eine Momentaufnahme sein. Es gilt, darauf aufzubauen und auch in Zukunft den Anschluss nicht zu verlieren. Obwohl die Anlagenbetreiber grundsätzlich gut aufgestellt sind, gibt es keine Sicherheitsgarantie und eine Menge vorstellbarer Angriffsvektoren, mit denen wir rechnen müssen.

Prof. Thomas Brandstetter, SANS-Instructor und Geschäftsführer von Limes Security

Bild: SANS

Prof. Thomas Brandstetter, SANS-Instructor und Geschäftsführer von Limes Security

ds: Wo sehen sie den wesentlichen Handlungsbedarf, damit die Sicherheit der KRITIS gewahrt bleibt?

Brandstetter: Die Security im KRITIS-Umfeld darf nicht isoliert betrachtet werden. Die echte Kerninfrastruktur ist zumeist angemessen gesichert, denn die Politik hat ihre Bedeutung verstanden und die Security in diesem Bereich durch zahlreiche Gesetze und Verordnungen hochgradig reguliert. Gerade große Betreiber haben dementsprechend Technik und Prozesse nachgezogen. Die möglichen Angreifer erkennen aber, dass die Sicherheitsstandards nicht überall so hoch sind. Eine Möglichkeit ist es für ihn daher, nicht die Infrastruktur selbst, sondern die Lieferkette anzugreifen. Viele Unternehmen, die kritische Infrastrukturen beliefern oder ihnen zuarbeiten, sind KMUs, deren Schutzniveau deutlich niedriger ist. Damit sind sie attraktive Einfallstore, um die kritische Infrastruktur indirekt zu beeinflussen, oder über die Systeme der Partner in das Netzwerk der Anlage einzudringen. Security muss deshalb über den einzelnen Sektor hinaus, ganzheitlich und übergreifend gedacht werden.

Deutlich mehr Aufmerksamkeit erhalten die industriellen Kontrollsysteme (ICS), die immer stärker auf Softwarekomponenten setzen. Dieser Wandel stellt allerdings neue Anforderungen an die Security-Ausbildung. Die ersten Schwierigkeiten machen sich bereits bemerkbar und mittelfristig kann es zu einem ernsten Problem werden, weil die Lebenszyklen der Software im Vergleich zur Lebensdauer von Industrieanlagen und Gebäudesteuerungen deutlich länger sind. Während diese auf 15 bis 20 Jahre ausgelegt sind, kann die Software bereits innerhalb von wenigen Monaten grundlegend überarbeitet werden.

Ein dritter, unterschätzter Angriffspunkt ist die Empfindlichkeit der Stromnetze und der daran hängenden Systeme, die in den letzten Jahren deutlich gestiegen ist. Eine Ursache dafür ist, dass die einzelnen Bestandteile eines Systems, wie dem Energienetz, sehr fein aufeinander abgestimmt sind, um die Energielast gleichmäßig zu verteilen. Schon die kleinsten Störungen können große Auswirkungen haben. Ein Angreifer, dem es beispielsweise gelingt, ein Windrad anzugreifen und im richtigen Moment auch nur geringfügig zu verstellen, kann damit bereits für eine Überlastung, Stromausfälle oder sogar physische Schäden an der Anlage sorgen. In diesem Bereich gilt ebenfalls, dass wir vor einem Ausbildungsproblem stehen. Immer wieder tauchen solche Anlagen als schlecht geschützt auf, weil sie von Elektrikern implementiert werden, in deren Berufsvorbereitung die notwendigen Security-Aspekte fehlen.

ds: Wie lassen sich die Defizite in der Ausbildung beheben?

Brandstetter: Zunächst müssen alle beteiligten Berufsgruppen identifiziert werden, bei denen Security in ihrer Ausbildung wichtig ist. Die Herausforderung ist dann allerdings, das geeignete Lehrpersonal für die Cybersicherheit zu finden, um eine sinnvolle Vermittlung der notwendigen Fähigkeiten, Techniken und des vorauszusetzenden Wissens zu ermöglichen. Gerade an Hochschulen empfehle ich, eine Mischung aus hochschulinternen und externen Dozenten zusammenstellen, um Cybersicherheit praxisorientiert zu vermitteln. Themenfelder wie Incident Response lassen sich nur glaubwürdig und zeitgemäß vermitteln, wenn die Lehrperson über praktische Erfahrungen mit echten Zwischenfällen verfügt, während standarisierte, langlebige Grundlagen in der Regel nicht vom beruflichen Erfahrungsschatz abhängen. Diese Mischung aus Theorie und Praxis gewährleistet eine ausgeglichene und hochwertige Ausbildung, die auch für eine spätere Weiterbildung wichtig ist.

ds: Was können Unternehmen zur Verbesserung der eigenen Security-Kompetenz tun?

Brandstetter: Die Firmen benötigen auf jeden Fall eine belastbare Basis aus Personal, Wissen und Tools. Welche Spezialkenntnisse und Fähigkeiten sie zusätzlich benötigen, muss allerdings im Einzelfall analysiert und individuell gemäß Risiko entschieden werden. Im Allgemeinen beginnen die Herausforderungen für die Planung damit, dass schon im Einkauf qualifiziertes Personal fehlt, dass das Budget mit der notwendigen Systematik und einem ganzheitlichen Ansatz verwaltet. Es ist immer möglich, externe Berater hinzuzuziehen, aber selbst dann sollten die Unternehmen in der Lage sein, deren Empfehlungen fachlich einschätzen zu können. Typische Fragen, die hier gestellt werden sollten, sind: Ist die Empfehlung in Anbetracht unseres verfügbaren Budgets und der Zeit realistisch? Wie groß ist unser Risiko wirklich? Ein Schritt zur Verbesserung der eigenen Kompetenz kann sein, sich auf Security-Konferenzen mit Experten aus der Security-Branche auszutauschen und Kooperationen einzugehen.

ds: Welche Rolle spielen Konferenzen für die Cybersicherheit der Branche?

Brandstetter: Es gibt eine starke Asymmetrie zwischen Angreifern und Verteidigern: Die Angreifer sind flexibel, vernetzt und können ihre Kampagnen in Ruhe planen, dabei hilft ihnen, dass sie sich über Werkzeuge, Schwachstellen und Strategien austauschen können. Die Verteidiger sind hingegen eingebunden in ein Unternehmen mit oftmals strikten Hierarchien, Regeln, Abstimmungsprozessen und benötigen mehr Zeit, um einen Vorfall zu analysieren und anschließend angemessen zu reagieren. Deshalb ist es wichtig, dass sich die Unternehmen ebenfalls organisieren, um sich proaktiv über bekannte Bedrohungen und Sicherheitsstrategien auszutauschen, sowie mögliche, zukünftige Angriffsszenarien zu identifizieren, noch bevor es den Kriminellen gelingt. Das SANS Institute richtet sich in seinen Konferenzen wie dem SANS ICS Summit gezielt sowohl an Fachkräfte und Spezialisten aus der Security als auch an Führungskräfte sowie Akteure aus der Politik. Denn um die Angreifer wirksam zu bekämpfen, ist ein ganzheitliches Vorgehen von der Politik über die Unternehmensleitung und Security-Abteilung bis hin zum IT-Sachbearbeiter nötig.

ds: Welche Möglichkeiten hat die Politik, Cybersicherheit besser zu fördern?

Brandstetter: In Deutschland, Österreich und der Schweiz ist in den letzten Jahren viel geschehen, um die Cybersicherheit zu verbessern. Das dringendste Handlungsfeld ist die Ausbildung und die politische Förderung der Forschung. Die Verfahren für staatliche Förderungen insbesondere auch auf EU-Ebene sind derzeit viel zu aufwendig. Ein großer Teil der Fördergelder geht deshalb an Institute, die es sich leisten können, für den bürokratischen Aufwand eigene Mitarbeiter zu beschäftigen. Dadurch entgeht uns viel Potenzial in der Forschung, denn kleine, kreative Organisationen, die in diesem schnelllebigen Markt der Cybersicherheit wertvolle Beiträge liefern könnten, werden derzeit durch die bürokratischen Hürden ausgebremst.

Weitere Informationen zum Thema:

datensicherheit.de, 17.08.2018
Fertigungsindustrie: Cybersicherheit als zentrale Herausforderung

datensicherheit.de, 03.08.2018
IT trifft OT – Cyberangriffe auf industrielle Umgebungen

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht

datensicherheit.de, 05.07.2018
Rückblick: SANS European ICS Summit 2018 in München



Kommentieren

Kommentar

Current ye@r *

Kooperation

TeleTrusT – Bundesverband IT-Sicherheit e.V.

Mitgliedschaft

BISG e.V.

Schulungsangebot

mITSM ISO 27001 Zertfifizierungs Audit

Partner

ZIM-BB

Gefragte Themen


Datenschutzerklärung