IT und OT – Information Technology und Operation Technology – gingen jahrelang getrennte Wege. Nun heißt es, sich zusammenzufinden und das Thema Security flächendeckend in der Industrie auszurollen. Denn: Die Industrie wird immer vernetzter und dadurch zunehmend zur Zielscheibe von Cyber Attacken. Corinna Weiss (Marketing & Vertrieb, CyProtect AG), André Neumann (COO, sematicon AG) und Michael Walser (CTO, sematicon AG) sind die Gäste der 38. Folge des Industrial IoT Podcasts und sorgen dafür, dass Anlagenbetreiber die sicherheitsrelevanten W-Fragen beantworten können: Wer greift wann und wie auf meine Maschine zu und wie kann ich dies als Unternehmen richtig steuern und nachvollziehen?
Zusammenfassung der Podcastfolge
CyProtect ist ein Experte auf dem Gebiet der Cyber Security und bietet seinen überwiegend mittelständischen Kunden ganzheitliche IT und Industrial Security Lösungen. Durch eine Entwicklungspartnerschaft mit dem Industrial Security Spezialisten sematicon AG, wurde das OT-Security Knowhow gebündelt. Mit geballter Security-Power setzen die beiden Dienstleister verschiedenste sicherheitsrelevante Projekte um – so wie den im Podcast besprochenen Use Case eines Wasserwerks.
Wasserwerke zählen zu den sogenannten Kritischen Infrastrukturen (KRITIS), die wichtige gesellschaftliche Funktionen gewährleisten und aufrechterhalten. Waren es früher noch überwiegend Banken, sind es heute zunehmend KRITIS-Anlagen, die ins Visier der Hacker geraten. Als Achillesferse gilt dabei häufig die VPN-Verbindung, die externen Zugriff und somit Fernwartung ermöglicht. Hacker nutzen dieses „verlängerte Kabel“ in die Anlage, um mögliche Softwarefehler zu identifizieren oder Schadsoftware einzuspielen. „Wirf ein paar Bitcoins ein, dann lass ich dich vielleicht wieder auf deine Maschine zugreifen“ – so oder so ähnlich beginnen Dialoge zwischen Hackern und Lösegeldverhandlern angegriffener Firmen tatsächlich in der Praxis. Um dies von vornherein zu verhindern, muss es laut CyProtect und sematicon primäres Ziel sein, einen einheitlichen und sicheren Zugriff bei vollständiger Isolation des Maschinennetzes zu gewährleisten. In diesem Zuge wurde ein Produkt entwickelt, das genau das tut und das gesamte Anlagensystem unter einer Art „digitalen Glasscheibe“ versteckt.
In Bezug auf die Datensicherheit ist im Podcast des Weiteren auch die Rede vom sogenannten Security Dreieck – dem CIA-Dreieck. Dieses Konstrukt hat weniger etwas mit dem amerikanischen Geheimdienst zu tun als mit den Schlagwörtern: Confidentiality, Integrity und Availability. Vertraulichkeit heißt, die Daten sind verschlüsselt. Integrität heißt, sie sind unverändert. Verfügbarkeit heißt, man kann immer auf sie zugreifen. Die drei Security-Spezialisten halten in Bezug auf Daten jedoch auch fest: Es sollte öfter hinterfragt werden, welche Daten tatsächlich gebraucht werden und insbesondere, welche Daten geteilt werden – und mit wem. Als wertvoll werden im Podcast vor allem jene Daten hervorgehoben, die Predictive Maintenance ermöglichen und somit Produktionsstillstände verhindern.
Vorausschauende Wartung gekoppelt mit nachvollziehbarem elektronischem Wartungsbuch und Audit-Funktionen bietet der Industrie enorme Mehrwerte und schützt vor Produktionsstillstand, so der Tenor.
Podcast Interview
Hallo Andre, hallo Corinna und hallo Michael – herzlich willkommen zum IIoT Use Case Podcast. Ich freue mich sehr, dass ihr dabei seid und dass ihr euch die Zeit genommen habt. Wir haben uns heute das Thema IoT Security vorgenommen und wollen es anhand konkreter Use Cases aus der Praxis deutlich machen. Ich würde mit einer kurzen Vorstellungsrunde starten und direkt mal an dich übergeben, Corinna. Magst du ein paar Punkte zu dir und auch zu eurer Firma sagen – vielleicht auch zur Konstellation von CyProtect und sematicon?
Corinna
Hallo Madeleine, vielen Dank für die Einladung und das Gespräch. Zu mir: Mein Name ist Corinna Weiss. Ich bin seit 20 Jahren im Bereich Vertrieb und Marketing unterwegs. Vor genau vier Jahren habe ich bei der CyProtect AG angefangen und habe dort die Rolle für den Bereich Marketing und Communication übernommen. Ich bin verantwortlich für den Auf- und Ausbau der IT- und IoT-Marketingstrategie, für PR, Hausmessen und vieles mehr. Durch meine vertriebliche Ausprägung bin ich ebenso ein Ansprechpartner für den Bereich Industrial Security und den Vertrieb der sematicon-Produktpalette. Ich habe also eine spannende Buntheit in den Aufgaben. Nun zur Vorstellung von CyProtect: Wir sind seit 20 Jahren ein unabhängiger IT- und OT-Cyber-Security-Spezialist und haben uns darauf konzentriert, dem Mittelstand, großen Infrastrukturen, öffentlichen Auftraggebern etc. passgenaue IT und Industrial Security aus einer Hand anzubieten. Dadurch, dass sich IT, die Informationstechnologie und OT, Operation Technology, immer näherkommen, sind wir vor zwei Jahren mit der sematicon eine Vertriebs- und Entwicklungspartnerschaft eingegangen.
Um die Vorstellungsrunde weiterzuführen: André, magst du noch Punkte von deiner Seite ergänzen und dich auch kurz vorstellen?
André
Gern, mein Name ist André Neumann. Ich bin bei der sematicon als COO tätig, also Chief Operational Officer, und kümmere mich im Prinzip um das ganze operative Geschäft, also alles Nicht-Technische. Dazu gehören auch Marketing- und Vertriebsstrategien und ähnliches. sematicon beschäftigt sich, wie Corinna eben schon gesagt hat, ähnlich wie die CyProtect primär mit der Richtung der IT und geht in die OT über. OT und IT müssen eigentlich im Zuge der Industrie 4.0 immer mehr zusammenwachsen. Und die sematicon AG konzentriert sich dabei mit wirklich mit sehr, sehr starkem Fokus auf das Thema Industrie. Wir wollen Lösungen für die Industrie bieten, weil die IT-Lösungen meistens nicht so ganz passen. Das sieht man allein schon daran, dass eine Industriemaschine nicht alle 5 Jahre ausgetauscht wird wie ein Laptop, sondern auch schon mal 30 Jahre oder länger steht. Kurz noch zu sematicon: Wir sitzen in München, die Forschung und Entwicklung ist auch in München. Wir haben die Leute hier wirklich vor Ort sitzen, alles ist Made in Germany. Dazu zählt neben der Firmen- und Softwareentwicklung auch entsprechende Hardwareentwicklung. Wir legen dabei den Fokus auf IT-Sicherheit, Kryptographie, speziell für die OT bzw. Industrie. Daraus haben sich letzten Endes drei Geschäftsfelder entwickelt: Einmal das sichere Management von Industrieanlagen, worüber wir heute auch mit entsprechendem Audit und kritischen Infrastrukturen reden. Im zweiten Part das Kryptographie-Thema für IIoT und Embedded Systeme. Hier geht es darum, dass man die Kryptographie für Sensorik beispielsweise wirklich von Grund auf richtig macht, sodass wir Szenarien wie „15.000 Kameras werden irgendwo übernommen oder ähnliches“ einfach nicht mehr sehen in der Zukunft. Der dritte Part ergibt sich aus den anderen beiden Geschäftsfeldern: Das ist das ganze Thema Dienstleistung, Zertifikate, Kryptographie, PKI usw.
Um die Runde abzuschließen, würde ich an dich übergeben, Michael. Magst du auch noch ein paar Punkte zu dir sagen?
Michael
Mein Name ist Michael Walser. Ich bin CTO bei der sematicon und verantworte die technische Schiene – also quasi all das, was André nicht macht. Zu meiner Historie: Ich bin eigentlich Elektrotechniker und gehöre sozusagen zu der Ingenieursfraktion. In den letzten Jahren, mittlerweile seit mehr als einem Jahrzehnt, habe ich mich vor allem mit dem Thema IT-Sicherheit beschäftigt. Das heißt, mein Fokus liegt im Bereich Kryptographie, Smartcard-Entwicklung, digitale Identitäten – alles, was mit Identifizierung, Verschlüsselung und Kryptographie zu tun hat. In der sematicon AG haben wir den Fokus auf die Industriethemen gelegt. In der IT gibt es ja schon eine ganze Reihe schöner Werkzeuge, um das Thema Security umzusetzen, aber in der Industrie fehlt uns da noch ein bisschen was. Unser Fokus ist dafür zu sorgen, dass die Werkzeuge und Möglichkeiten aus der IT-Welt vielleicht ein bisschen rüberkommen. Aber mit dem Credo: nicht kopieren, sondern in erster Linie schauen, was wir von der jeweils anderen Domäne lernen können, um das Ganze dann sinnvoll zusammenzuführen.
Dann würde ich doch einfach mal direkt ins Thema springen. Das Thema Security oder auch Industrial Security ist gerade Kontext mit neuen Themen wie IoT für mich immer so ein bisschen ungreifbar. Deswegen würde ich jetzt einfach vorab mal fragen, wie das eigentlich eure Kunden sehen. Corinna, ich schaue mal in deine Richtung. Es sind ja wahrscheinlich verschiedenste Herausforderungen und Themen, mit denen Kunden jeden Tag auf euch zukommen. Was sind denn die Top 3 Herausforderungen, vielleicht auch in Richtung Industrial IoT?
Corinna
Auf der einen Seite haben wir die Fernwartung, die ist im Prinzip nichts Neues, aber Industrial Fernwartung ist etwas anderes. Du kaufst dir eine SPS-Maschine und normalerweise kaufst du einen Wartungsvertrag dazu. Dieser Wartungsvertrag bedeutet, dass sich jeder Techniker auf diese Maschine schalten kann. Das heißt, du hast keine Möglichkeit, das Ganze zu kontrollieren, du hast keine Nachvollziehbarkeit. Das ist eine Herausforderung, dieses Herausfinden von „Wer hat wann, wie, wo, was gemacht“. Dann haben wir Wildwuchs, Zukäufe von Maschinen. Nehmen wir dieses Thema Wasserwerk, KRITIS-Anlagen. So ein Wasserwerk ist ja nicht erst gestern auf die Welt gekommen, das gibt`s schon 40, 50 vielleicht schon 60 Jahre und ist nicht ans Netz angebunden. Und Nummer drei ist die Gefahr des Stillstands von Produktionsanlagen.
Du hattest jetzt gerade von KRITIS-Anlagen gesprochen. Was bedeutet das genau? Vielleicht auch mal in die Runde gefragt.
André
KRITIS-Anlagen sind kritische Infrastrukturen, wie z. B. Ölpipelines, Atomkraftwerke, Kohlekraftwerke, Wasserwerke. Dabei geht es um die Grundversorgung. Letzen Endes zählen auch Krankenhäuser und ähnliche Einrichtungen dazu. Was wir auch an Herausforderungen sehen – neben der Datensicherheit und der Datenintegrität natürlich, die vor allem in der IIoT-Welt mit Sensordaten etc. sowieso da ist – ist, dass sich die Welten der IT und der OT jahrzehntelang irgendwo separat entwickelt haben. Die OT ist komplett auf die Produktion gegangen und die IT ist anders gewachsen in Richtung Vernetzung, Daten, Clouds – all diese Themen. Durch die Industrie 4.0 müssen die beiden aber irgendwie wieder zusammenwachsen. Hier hat IT-Security einen sehr, sehr hohen Stellenwert. Zum Beispiel bei Automobilzulieferern: Es gehen irgendwelche Daten in die Cloud und darauf können Rückschlüsse auf den Aktienkurs beispielsweise geschlossen werden. Also jemand produziert z. B. weniger Spiegel, dann weiß ich auch, dass am Ende weniger Autos produziert werden. Solche Daten müssen entsprechend geschützt werden. Deswegen müssen IT und OT dort immer mehr zusammenwachsen und brauchen auch andere Ansätze. Was wir an Herausforderungen dabei noch gesehen haben, ist auch die Konsolidierung und Absicherung verschiedener Systeme. Bei unseren Kunden laufen Maschinen, die haben MS-DOS. Da läuft über Windows 3. 11, XP und Windows 10 teilweise alles. Diese Maschinen sollen jetzt alle irgendwie ans Internet gehangen werden und mit Predictive Maintenance vielleicht noch verbunden werden und vielen, vielen anderen Sachen. Hier brauche ich eine Lösung, die das alles vereint und diese Sachen natürlich auch sicher in die Industrie 4.0 hebt.
Ist es eigentlich heute Wirklichkeit, dass man mit Hackern verhandelt? Daten werden irgendwo „abgezogen“ und wird man quasi damit erpresst – passiert sowas wirklich in der Praxis?
Corinna
Ja, das passiert. Grundsätzlich ist es so, dass uns häufig so 10 bis 15 Jahre voraus sind. Cyberattacken sind absolute Tabuthemen. Welches Unternehmen gibt schon gerne zu, dass es gehackt worden ist, dass es vielleicht doch nicht so abgesichert war, wie es eigentlich hätte sein sollen. Der Stillstand von Produktionslinien kann mit hohen Vertragsstrafen oder Stornierungen von Aufträgen einhergehen. Das ist vielleicht sogar noch das kleinere Problem. Das größere Problem sind Anlagen, die gehackt werden, denn da geht`s wirklich um Leib und Leben. In den letzten zwei bis drei Jahren haben Erpressungen mit gestohlenen Daten 11 Milliarden Euro Schaden verursacht. Das ist richtig viel! Deshalb gibt`s die Job Description „Lösegeldverhandler“. Oder wie bei dem Wasserwerk in Florida, wo hundertmal mehr Chemikalien zugesetzt wurden als normal. Zum Glück konnte das ein Mitarbeiter in der Schaltzentrale verorten und zurückdrehen. Da geht es nicht nur um Geld, sondern am Ende um Menschenleben!
Michael
Diese Erpressungs- oder Crypto-Trojaner oder Ransom, wie man sie auch nennt, haben einen gewaltigen Nachteil: Sie verschlüsseln erst einmal Daten und dann kommt die Information, dass du doch ein paar Bitcoins einwerfen möchtest, um deinen Decryption Key zu bekommen. Dann ist es aber meistens schon zu spät. Wenn es nicht schon irgendein Tool gibt, wenn irgendwelche Sicherheitsanalysten das Ding nicht schon auseinandergenommen haben, dann stehen die Chancen meistens schlecht. Denn auch wenn ich bezahle, ist noch nicht sichergestellt, dass ich den Schlüssel überhaupt kriege. Man muss sich das so vorstellen: Wenn ich heute ein Produkt in der Europäischen Union zulasse, dann gibt es immer dieses schöne CE-Zeichen da drauf. Der Kunde kümmert sich um die sogenannten EMV-Prüfungen, er kümmert sich darum, dass man Elektrogeräte zulassen darf. Und dazu sind spezielle, sehr teure Messgeräte notwendig, dazu ist ein spezieller abgeschirmte Raum notwendig, also ein riesengroßer Equipmentaufwand steckt dahinter. Was Kollegen unseres Partnernetzwerkes passiert ist: Auf vielen dieser Messgeräte, auf diesen teuren Geräten, läuft im Hintergrund irgendein Betriebssystem, in diesem Fall war es Windows XP. Man muss sich vorstellen, auf so einem Gerät, das 40.000 oder 50.000 Euro kostet, läuft Windows XP. Man sieht das zwar nicht, weil die Oberfläche es verdeckt, aber dann hat einer einen USB-Stick drangestöpselt oder remote fern drauf zugegriffen und plötzlich kam eine Aufforderung: „Bitte wirf ein paar Bitcoins ein, wir haben deine Daten verschlüsselt“. Ich sag mal so, so eine Raummiete kostet schon ordentlich Geld, da das Equipment auch nicht ganz billig ist. Und jetzt kann man nicht mehr arbeiten, weil das Ding verschlüsselt ist. Die Hersteller sagen dann beispielsweise: „Das musst du halt einschicken und wir tauschen die Festplatte“. Aber da gehen dann einfach ein paar Tage ins Land.
Ich würde jetzt mal die Überleitung zum Use Case machen und vielleicht später noch mal darauf zurückkommen. Wir haben uns ja heute das Thema kritische Infrastrukturen vorgenommen und vor allem das Thema Wasserwerke. Corinna, kannst du uns mal kurz abholen: Was war das für ein Kunde? Was hatte der für Herausforderungen und was sind vielleicht auch die Herausforderungen oder Schwachstellen in so einem Wasserwerk?
Corinna
Dabei ging es um die Konsolidierung und Audits für externe und interne Wartungsprozesse und eine übersichtliche Zusammenfassung und Nachvollziehbarkeit.
André
Ein zweites großes Thema ist auch: Wer greift eigentlich auf meine Anlagen zu? Ist er eigentlich berechtigt darauf zu zugreifen? Und was hat der eigentlich da gemacht auf der Anlage? Hat er hier den Ätznatron-Wert erhöht oder hat er ihn nicht erhöht z. B. auf einer Pumpanlage – dass ich sowas nachvollziehen kann. Das ist das zweite Hauptaugenmerk gewesen, also eine gewisse Authentifizierung bzw. Autorisierung am Gerät und natürlich auch eine gewisse Integrität der Daten, die dort fließen. Man hat in der Regel nicht 10 Pumpen an einem Standort, sondern die sind meistens etwas verteilt.
Michael, wie sieht denn so eine Infrastruktur von so einem Wasserwerk vor Ort aus, kannst du uns da ein kleines visuelles Bild geben? Und was sind die Herausforderungen von diesem Kunden gewesen?
Michael
Ich glaube, das Wasserwerk an sich ist eigentlich unrelevant. Ob es ein Wasserwerk, ein Elektrizitätswerk ist oder ein anderer Industriekunde ist – im Prinzip haben alle die gleichen Herausforderungen. Vor Ort gibt es ein paar Systeme, sogenannte SCADA-Systeme oder Steuerungssysteme. Das sind klassische PCs, mit einem Bildschirm dran, wie wir sie kennen. Und es gibt da sogenannte speicherprogrammierbare Steuerungen, also kleine SPS`en. Da sind kleine Mini-PCs, die haben keinen Bildschirm, sind nicht wie ein PC anzusehen. Auf denen werden Aktoren, also Pumpen und Sensoren angeschlossen, da kommt ein Programm drauf und es wird gesteuert. Es ist sozusagen das Herz jeder Industrieanlage. So eine kleine SPS ist wirklich nur für diesen Steuerzweck da, ein PC hat noch anderes zu tun. Solche Systeme werden in erster Linie konstruiert, um verfügbar zu sein, um echtzeitfähig zu sein, um zuverlässig zu sein. Das Thema Security kommt da eigentlich nicht vor. Und gerade bei solchen Anlagen, da habe ich keinen Benutzernamen, kein Passwort, wie ich das kenne, die sind nicht abgesichert. Wenn ich da draufkomme, dann kann ich damit etwas tun. Das ist so ein bisschen die Herausforderung. Meistens sind die Leute, die diese Geräte warten, nicht eigene Mitarbeiter, sondern externe Mitarbeiter. Leute, wie Servicetechniker sind Firmen, die unterwegs sind und ein eigenes Notebook haben, die haben einen eigenen PC, und die greifen jetzt mit ihrer fremden Hardware über einen VPN-Tunnel beispielsweise auf die interne Anlage zu und machen ihre Arbeit.
Wie sieht ein Job von so einem klassischen Dienstleister beim Wasserwerk aus? Welche Daten interessieren denn da?
Michael
So tief bin ich nicht drin, was da genau für Daten geschickt werden. Meistens wird ein Update auf einer Firmware eingespielt, es werden ein paar Konfigurationsparameter auf einer Pumpe verändert. Es wird eine Software auf die SPS`en gespielt, da wird vielleicht irgendeine Konfiguration auf einem PC geändert oder was eingestellt, so wie wir das auch kennen. Unser day to day ist da ganz klassisch für diese Industriesysteme da. Jetzt greift da ein Externer zu, aber es gibt keine wirkliche Barriere mehr. Die Problematik ist immer dieselbe: Ich habe intern Systeme, die eigentlich offen sind wie ein Scheunentor. Da gibt`s nicht wirklich eine Barriere, da gibt`s teilweise vielleicht nicht mal ein Passwort, wie es bei den programmierbaren Steuerungen ist. Externe Kollegen greifen intern drauf zu. Es ist unrelevant, ob er mit seinem Kabel direkt an der Anlage steckt, ob ein USB-Port eingesteckt wird oder er extern sitzt. VPN verlängert ja sozusagen nur das Kabel, die Anlage. Das heißt, ich weiß nicht, was er tut. Ich weiß nicht, worauf er wirklich zugreift. Ich muss mich eigentlich drauf verlassen, dass alles in Ordnung geht. Wenn der jetzt irgendeinen Schadprogramm oder ähnliches auf seinem PC hat, das eine Schwachstelle im Netz ausnutzt, dann wird das Problem plötzlich zum Problem des Betreibers. Und das ist eine extrem große Herausforderung für viele, alte Anlagen zu haben. In der IT, wenn wir VPN machen, ist das relativ einfach, da haben wir gepatchte Anlagen. Das heißt, es werden Sicherheitsupdates eingespielt. Man muss sich das so vorstellen: Eine komplexe Software hat Fehler und Fehler findet man nicht sofort. Diese Fehler sind einfach in der Applikation drin. Jetzt gab es beispielsweise einen ganz großen Aufschrei, da wurden Mailserver angegriffen, Exchange Server sind deshalb überall irgendwie in Verruf gekommen. Das BSI hat gewarnt, das war ein ganz großes Theater. Das ist so ein klassisches Beispiel. Dieser Exchange Server ist ein komplexes Mailserver-Produkt und da ist ein Fehler aufgetreten, den man nicht gesehen hat. Der war die letzten 20 Jahre nicht aufgefallen. Jetzt hat den plötzlich jemand gefunden. Und dann wird eine sogenannte Zero-Day-Attacke ausgeführt. Das heißt, ich als Hacker kenne das Problem, die anderen kennen es noch nicht. Ich schreibe jetzt eine Schadsoftware, die dieses Problem ausnutzt und bringe damit tausende Mailserver zum Fall. Zu dem Zeitpunkt als die Schwachstelle entdeckt wurde, war der Angriff ja schon passiert. Und bis zu dem Zeitpunkt, an dem die meisten Firmen reagiert haben, war eine Woche dazwischen. Da hat es schon ordentlich geknallt.
Und hat man bei einem Wasserwerk auch komplexe Softwaresysteme oder wie funktioniert das dort?
Michael
Einerseits hat man auch komplexe Softwaresysteme, die Schwachstellen haben. Andererseits muss man da aber manchmal gar nicht so weit gehen, da viele Systeme keine Autorisierung haben. Das kann ich mir so vorstellen, als würde ich Zuhause die Haustür offenlassen. Und wie gesagt, bei den anderen Systemen, da ist die Haustür vielleicht zugenagelt. Aber ich kann vielleicht durchs Badfenster einsteigen, wenn ich eine Scheibe einwerfe. IT-Systeme verfügen eben über Schwachstellen. Und wenn ich jetzt einfach nur Netzwerkkabel anstöpsel, dann kann ich mich davor ja nicht schützen. Was soll ich jetzt tun? Soll ich den E-Mailserver abschalten? Patchen kann ich ihn vielleicht nicht, weil das ein großes Thema ist und die Anlagen werden meistens fertig geliefert. Man muss sich das so vorstellen: Ich kriege eine Anlage, die wird fertig geliefert, und die wird bei mir aufgestellt. Ich habe da gar keinen Zugriff drauf. Ich kaufe mir auch nicht ein Auto und baue das Autoradio aus und dann baue ein anderes ein – die Zeiten sind, glaube ich, vorbei. So kann man sich das vorstellen. Das ist ein komplett integriertes System, da wird kein Update eingespielt, da wird nichts rekonfiguriert, das System wird zur Verfügung gestellt. Und jetzt ist so ein Fehler in einem Programm irgendwo drin, den ich remote ausnutzen kann und ich kann es nicht unterbinden. Eine grundlegende Regel ist eigentlich, man müsste die Netze eigentlich komplett isolieren. Das heißt, ich darf eigentlich einem Externen – ich sag`s mal Corona-mäßig – keinen Zugang mehr zu verwundbaren Risikogruppen geben.
Jetzt spreche ich im Podcast natürlich primär auch über das Thema Industrial IoT. Nun ist es so, dass viele Maschinen und Anlagenbauer, die z. B. auch Maschinen in so einem Wasserwerk oder andere kritische Infrastrukturen haben, natürlich dedizierte Daten nutzen, um Mehrwerte zu heben, um Prozesse zu optimieren, um Kosten einzusparen oder Services zu optimieren. Wenn ich diese Daten gern mit meinem Hersteller teilen würde, weil ich Mehrwerte sehe, was muss ich tun, um das sicherzustellen? Wie siehst du das an der Stelle?
Michael
Die Frage ist: Möchte ich meine Daten teilen? Das ist glaube ich mal der erste Punkt. Der zweite Punkt ist: Was tue ich mit meinen Daten? Ich höre immer „Produktionskapazitäten steigern und so weiter“, aber ich sehe das in der Praxis ein bisschen anders. Wenn ich mit den Leuten rede, was die mit ihren Daten wirklich machen, dann kommt meistens keine Antwort. Das wird einfach in die Cloud geprügelt und keiner weiß eigentlich, was er damit anfangen soll. Aber ein Thema, das wir zum Beispiel ganz aktiv verfolgen, gerade mit einem großen deutschen Partner, ist das Thema Predictive Maintenance. Also die Tatsache, dass Wartung automatisiert abgehandelt wird. Das heißt, dass ich quasi über die Daten, die ich erhebe – und zwar nur jene, die wirklich notwendig sind, alle sind nicht das Ziel, sondern selektiv – mit bestimmten Algorithmen eine Früherkennung ermögliche, dass eine Maschine vielleicht in der Zukunft ausfallen wird. Solche Daten kann man tatsächlich auswerten, das macht auch wirklich Sinn. Anhand dieser Auswertungen stellen wir eine Möglichkeit zur Verfügung, den Zugriff auf die Anlage, die Wartung vollständig zu automatisieren. Das heißt, die Freischaltung erfolgt genau zu dem Zeitpunkt, wo es passiert. Der Techniker wird angetriggert, der hat dann entsprechend seiner Berechtigungen Zugriff auf die Anlage und das Ganze wird auditiert und aufgezeichnet. Das heißt, der Anlagenbetreiber kann am nächsten Tag ins Büro gehen und sich angucken, was gestern für eine Wartung passiert ist. Er sieht: Aha, da gab es ein Temperaturproblem, da musste nachjustiert werden. Der Techniker hat das und das gemacht, das war das Ziel, die und die Software wurde upgedatet, die und die Sachen wurden angeklickt.
Ich sehe den Mehrwert schon: Wenn ich den Connect irgendwo zu meinem Hersteller habe, partizipiere ich ja vielleicht auch von jahrelanger Forschung und Entwicklung, die vielleicht auch in diesen Einzelprozessen steckt. André, ich schau jetzt noch mal in deine Richtung: Wie stelle ich denn sicher, dass ich den Zugriff über die Cloud bzw. diese Zugriffe sicher gestalte? Also wenn ich jetzt sage: Hey, ich bin Wasserwerkbetreiber und möchte diese Daten gerne teilen, weil mein Hersteller unheimlich wertvolle Daten für mich hat. Wir wollen das Thema Predictive Maintenance gemeinsam angehen, den Service optimieren etc.
André
Wie Michael schon gesagt hat, ist VPN eine schlechte Lösung das Ganze zu machen. Ich gewährleiste eine Art Tunnel, eine direkte IP-Verbindung letztendlich auf die Maschine und damit die ganze Hygiene, die sonst noch außen rumläuft wie eine Firewall vielleicht oder einen AV-Scanner ad absurdum führe, weil ich direkt auf die Maschine von extern mit draufkomme. Deswegen sollte hier wirklich ein einheitlicher sicherer Zugriff bei vollständiger Isolation des Maschinennetzes gewährleistet sein. Das kann man mit unserem Produkt se.MIS™, das ohne VPN arbeitet. Hiermit können alte und neue Maschinen entsprechend angebunden werden. Das ist im Prinzip ein System, über das ich meine externen und vielleicht auch die internen Daten einheitlich zugänglich mache und das Ganze zentral dokumentiert ist. Wo ich beispielsweise auch Wartungsfenster habe. Es soll schon mal vorgekommen sein, habe ich gehört, dass sich jemand samstags in der Halbzeitpause vom Fußball schnell auf eine Maschine geschaltet hat und am Montag danach stand die ganze Produktionsanlage still. Da wurde schnell was gemacht und am Ende ist es keiner gewesen. Ich habe ein Produktionsausfall und welche Versicherung zahlt das dann? Das ist dann meistens nicht nachvollziehbar und dann zahlt am Ende keiner. Der Kunde bleibt letztendlich auf seinem Schaden sitzen. Solche Szenarien lassen sich mit se.MIS™ verhindern und sehen. se.MIS™ nutzt keine VPN-Verbindung auf die Maschinen drauf, sondern schafft im Prinzip ein komplett isoliertes Maschinen- und Anlagennetz. Man kann sich das so vorstellen, ich nehme jetzt mal das Corona-Beispiel: Wenn man in die Isolierstation vorne reingeht, hat man entsprechende Kontrollen, Einlasskontrollen. Man trägt eine Maske, man kriegt vielleicht einen Anzug oder ähnliches an, die ganze Hygiene sozusagen, bis ich dann letztlich zu meinem Angehörigen komme. Wenn ich ein VPN mache, heißt das im Prinzip, ich buddel mir einen Tunnel direkt in die Station ins Krankenzimmer und bin dann da ohne die ganzen Hygienemaßnahmen. se.MIS™ ist hier ein System, das eine „digitale Glasscheibe“ sozusagen einbaut, durch die ich per Fernsprecher mit dem Patient reden kann bzw. über diese digitale Glasscheibe auf meine Anlage letztendlich zugreifen kann. Natürlich ist die Kamera dabei immer über der Schulter, die alles aufzeichnet und mir am Ende sagt, was ich mit diesem Patienten oder der Anlage letztendlich gemacht habe.
Michael, noch mal kurze Frage an dich: Das heißt jetzt, in der Praxis verbinde ich meine Infrastruktur, meine unterschiedlichen Anlagen, beispielsweise in einem Wasserwerk, mit dem System und habe dann einen einheitlichen Zugriff auf diese Systeme und die Möglichkeit, nicht über VPN, sondern über ein zwischengeschaltetes, sicheres System das Ganze abzuwickeln?
Michael
Ja, das hängt jetzt ganz von der eingesetzten Technik ab. Ich sage mal ein System, klassische PCs oder ähnliches, die verstecken wir wie gesagt unter einer Art digitalen Glasscheibe. Man kann sich das so vorstellen, dass man nicht mehr direkt auf das System zugreifen kann. Das heißt, die unsicheren Schnittstellen, die terminieren wir an unserem System komplett, konvertieren das um und stellen dem Benutzer nur das zur Verfügung, was er wirklich braucht. So ein Remote-Desktop kann noch viel mehr, da werden auch noch andere Daten übertragen, die ich vielleicht gar nicht brauche. Bei SPS-Steuerungen arbeiten wir zum Beispiel ganz intensiv mit einem Unternehmen zusammen, das sich im Bereich Hacking und Security solcher Anlagen einen Namen gemacht hat. Und zwar ist das die Firma Alpha Strike aus Berlin. Es ist ganz spannend, die Hacker und die Hersteller zu kombinieren, um herauszufinden, was passiert eigentlich? Wogegen müssen wir uns schützen? Da haben wir zum Beispiel eine Lösung entwickelt, die nennt sich PLC-Guard, über die wir auch solche SPS-Anlagen isolieren können. Das war eine gewisse Herausforderung, aber wir haben es hingekriegt. Das heißt, wir können, ohne auf dem PC quasi etwas zu installieren, ohne auf der Anlage etwas zu verändern – das ist ja immer so die Herausforderung – Security einführen, aber eigentlich die Systeme selbst nicht beeinflussen. Das heißt, wenn es irgendwie technisch geht, dann am besten nichts installieren, keine zusätzliche Hardware, sondern einfach sagen: Okay, wir implementieren das im Rechenzentrum und haben einerseits für die IT eine Möglichkeit, andererseits für die Industrie eine Möglichkeit, ihre Systeme einzubinden, um dann den Zugriff vollständig zu isolieren. Das heißt, wir kontrollieren im Netzwerk den Datenverkehr und sind mit dem PLC-Guard auch in der Lage, tatsächlich auch die Software, die auf der SPS landet, aus dem Datenverkehr zu extrahieren. Stuxnet kennt man ja vielleicht aus den Medien, als man im Iran damals irgendwelche Atomanlagen angegriffen hat. Solche Viren, die sich auf solchen Anlagen verstecken, sowas kann man damit relativ gut identifizieren. Ich habe die Isolation geschaffen zwischen dem externen Techniker und der internen Anlage und kann zusätzlich noch überwachen, was er genau auf der Anlage eigentlich tut. Somit kann ich viele dieser Schwachstellen, die sich über Jahre ergeben, eigentlich ausschließen, weil sie mich nicht mehr betreffen, weil das Protokoll, das diese Schwachstelle hat, nicht mehr nach Extern freigeben wird. Somit kann ich auch heute noch eine XP-Maschine für die nächsten Jahre ohne Probleme weiter betreiben und in die IT einbinden.
Gibt es eigentlich einen Life-Hack oder irgendetwas? Also Tipps und Tricks, bei denen man sagt, das sind eigentlich Themen, die ich heute schon an meiner SPS umsetzen könnte, die das Ganze vielleicht sicherer machen? Oder ist es sinnvoll, das ganzheitlich umzusetzen? Wir sind da so deine Erfahrungswerte?
Michael
Irgendetwas an der Anlage umzustellen ist immer schwierig. Da bin ich mal ganz vorsichtig mit sowas, weil das heißt immer, ich greife in ein funktionierendes System ein. Das wollen wir eigentlich vermeiden. Das heißt, das Einzige, das ich machen kann, ist mir zu überlegen, wie gestalte ich Remote Zugriff auf meine Anlage. Erlaube ich prinzipiell Remote Zugriffe, sind die wirklich notwendig und wenn ich sie erlaube, welche Lösung setze ich ein? Es kann Lösungen geben, wo sich eine VPN-Box genauso gut eignet. Es kann aber auch andere Lösungen geben, wo man z. B. auf einen Hersteller wie uns zurückgreifen kann, um so eine Isolation sicherzustellen. Jeder Hersteller muss sich überlegen, und das ist wirklich eine Herstelleraufgabe: Was möchte ich in meinem Netz? Wo möchte ich hin? Ich muss ganz ehrlich sagen, ich glaube Industrie 4.0 ist eine riesengroße Chance auch für den Industriestandort hier in Deutschland. Ich glaube aber auch, dass man diesen Weg mit Bedacht gehen muss. Zu sagen: Nee, will ich nicht. Ich mache alles offline, ich schalte alles ab. Ist genauso keine gute Lösung wie: Ich vernetze alles komplett und ohne Hirn. Und das ist vielleicht so ein Punkt, da muss man den richtigen Grat finden. Aber an der Anlage selbst habe ich nicht sonderlich viele Möglichkeiten, ohne was an der Konfiguration zu verändern.
Eine inhaltliche Nachfrage noch: Wenn ich mir vorstelle, ich habe jetzt einen einheitlichen Zugriff durch euer System und möchte jetzt auch Daten mit einem Hersteller teilen. Wie funktioniert das in der Praxis genau?
Michael
Wenn es rein um die Daten aus der Maschine geht, dann ist das relativ einfach. Da können wir auch gerne unterstützen, weil meistens brauche ich keine komplexen intelligenten Sensoren. Auch aus einer 20 Jahre alten SPS lassen sich wunderschön Daten herausholen. Ich sollte mir aber überlegen, wenn ich so etwas mache, was möchte ich denn teilen und wozu. Muss ich all meine Daten mit dem Hersteller teilen? Brauche ich das wirklich? Was tut er denn damit? Das alles sollte man vielleicht ein bisschen hinterfragen. Die verschlüsselte Übertragung können wir sicherstellen. Aber was der Hersteller damit macht, können wir nicht beeinflussen. Alles, was das Haus verlässt, kann in irgendeiner Art und Weise auch missbraucht werden. Das heißt, ich muss mir überlegen, wie gehe ich damit um? Oder vielleicht kann man Daten noch anonymisieren in irgendeiner Art und Weise. Das ist immer wieder eine Option. Da haben wir Möglichkeiten dazu, Daten, die rausgehen, anonym zu halten – ist halt die Frage, ob das wirklich was bringt. Da muss man sich überlegen: Was ist mein Use Case und was ist das geringere Übel. Das alles klingt nach einer großen Herausforderung, aber ich muss sagen, die IT hatte dasselbe Problem. Auch wenn wir Daten in der IT verschlüsseln, dann ist immer die erste große Challenge die Klassifizierung von Daten. Das ist auch ein Riesenaufwand. Das klingt jetzt ein bisschen lustig, aber es gibt dieses Dreieck, wenn man von Security redet. Man nennt es auch das CIA-Dreieck. Das hat nichts mit Geheimnissen zu tun, sondern mit der Verfügbarkeit, der Vertraulichkeit und der Integrität meiner Daten. Integrität heißt, sind sie unverändert. Verfügbarkeit heißt, ich kann immer darauf zugreifen. Und vertraulich heißt, sind sie verschlüsselt. Und wenn ich jetzt etwas ganz extrem Vertrauliches habe, dann sind die Daten wahrscheinlich auch unglaublich integer, aber dann sind sie nicht mehr verfügbar. Es würde heißen: verschlüsseln und Schlüssel wegschmeißen. Das ist immer so ein Kräfteverhältnis. Man muss sich immer überlegen: Muss ich denn überhaupt immer verschlüsseln? Das klingt lustig, aber Verschlüsselung ist meistens gar nicht notwendig. Meistens ist es sinnvoller, die Daten, die man übermittelt, anzuschauen und zu gucken: Kann ich sicherstellen, dass die Daten von diesem Punkt kommen? Ist es sicher, dass die Daten von A nach B transferiert werden? Und dann ist natürlich wichtig, welche Daten. Da kann man sehr, sehr gut auseinanderhalten, was muss ich übermitteln und was muss ich nicht übermitteln. Und zum Thema Cloud: Es gibt auch Hersteller in Deutschland. Wir arbeiten z. B. mit der Software AG zusammen. Die haben eine Lösung, die sich Cumulocity IoT nennt. Das ist ein deutscher Hersteller, mit deutschen Standorten und deutschen Datenschutzrichtlinien. Da kann man auch mal eine Zusammenarbeit probieren. Es müssen nicht immer die üblichen Verdächtigen sein. Also da vielleicht einfach mal nach Alternativen suchen.
André, ich schau noch mal in deine Richtung: Wenn ich jetzt einen einheitlichen Datenzugriff gewährleistet habe und diese Lösung umgesetzt habe. Was ist jetzt zusammengefasst am Ende der Vorteil für den Betreiber?
André
Der Vorteil ist, dass ich weiß, wer, wann, wie auf meiner Maschine ist – ich kann die ganzen W-Fragen letztendlich beantworten. Ich erhöhe den Cybersecurity Level, indem ich nicht per VPN zugreife, sondern durch die digitale Glasscheibe. Ich habe eine gewisse Planbarkeit. Ich kann Wartungsfenster festlegen. Wenn ich vor Ort an der Maschine arbeite und merke „Oh man, da komme ich jetzt nicht weiter“, dann kann ich auch ein Session Sharing machen und mir einen Experten vom Hersteller auf sicherem Weg mit auf die Maschine holen und das Problem gemeinsam lösen. Dadurch spare ich mir Zeit, weil ich muss den Hersteller nicht erst Ewigkeiten mit dem Auto ankommen lassen oder hab damit gewisse Produktionsausfälle, das kann ich so natürlich umgehen. Von der C02-Bilanz brauchen wir glaube ich gar nicht reden, wenn ich nicht reise. Oftmals wären das Fernreisen zu entfernten Standorten. Wir haben zum Beispiel einen Kunden, der hat in Tschechien und in Taiwan eine Fabrik. Wenn ich da immer einen hinschicken und hinfliegen lassen muss, damit er sich die Maschine anguckt, geht einfach auch zu viel Zeit ins Land. Da kann ich über eine Remote Management Lösung natürlich schon viel Zeit einsparen. Kurz um: Ich habe Kontrolle, Übersicht, das Ganze ist endlich managebar und ich habe es konsolidiert und nicht 20 verschiedene Systeme im Einsatz, wo ich vielleicht auch 20 verschiedene Leute auf 20 verschiedenen Systeme letztendlich schulen muss.
Jetzt sind eure Kunden nicht nur Wasserwerke, sondern generell auch von der kritischen Infrastruktur und darüber hinaus. Corinna, noch mal in deine Richtung: Das ist ja jetzt ein spitzer Use Case, den wir heute besprochen haben mit dem Thema Wasserwerke. Ihr seid da aber breit unterwegs mit unterschiedlichsten Kunden – Wie lässt sich dieser Use Case vielleicht auch auf andere kritische Infrastrukturen oder produzierende Betriebe übertragen?
Corinna
Wir arbeiten mit Kunden unterschiedlicher Größe zusammen – das kann produzierendes Gewerbe sein, ein Maschinenbauer, es kann aber auch in die KRITIS-Richtung gehen, Krankenhäuser, Kraftwerke, jeglicher Couleur.
André
Damals waren die Banken interessant, da konnte man sich eventuell direkt Geld überweisen. Aber heutzutage finden die Hacker irgendwie immer mehr Interesse daran und finden es spannender, wenn sich so eine Zentrifuge in einem Atomkraftwerk oder in einer Aufbereitungsanlage mal ein bisschen schneller dreht. Das könnte dann auch noch knallen am Ende. Das ist perfide, aber in die Richtung wird`s gehen.
Michael
Wenn ich echtzeitfähig und verfügbar sein will, dann ist Security meistens problematisch. Und das ist auch eine Challenge. Ich möchte da nicht auf die Hersteller drauf prügeln, die können nur begrenzt was dafür. Denn ihre primäre Aufgabe ist eigentlich etwas anderes, nämlich dass die Anlage am Leben bleibt. Also muss auch der Betreiber ein bisschen mehr Hirnschmalz investieren, um eine Lösung zu finden. Und das ist auch Betreibersache. Ein Vergleich: Ich habe auch nicht die Telekom verknackt, weil ich mir ein Virus über die Internetleitung eingefangen habe. Und ich glaube, da muss man auch hier an dem Punkt ein bisschen schauen. Ich kann nicht den Anlagenhersteller verantwortlich machen, weil ich als Betreiber meine Hausaufgaben nicht richtig mache. Es ist halt einfacher, eine Anlage, die ungeschützt ist, die vielleicht schon 10-15 Jahre alt ist, mit bekannten Schwachstellen oder mit bekannten Problemen anzugreifen, als eine modern gemanagte und upgedatete IT-Infrastruktur.
Das war noch mal ein schönes Schlusswort. Vielen Dank für die Session heute. Es war wirklich super spannend.
