Herr Junker, man hört kaum über Fälle, wo produzierenden Unternehmen durch Cyber-Attacken tatsächlich ein Schaden entstanden ist? Ist es da nicht nachvollziehbar, wenn viele nach dem Motto agieren: "Mich wird es schon nicht treffen"?

Es ist in der Tat so, dass sich viele Unternehmen heute nicht im Fokus von Angreifern sehen. Immer wieder spreche ich aber mit Vertretern aus Unternehmen – vom kleinen Betrieb über den Mittelständler bis hin zu global agierenden Konzernen – und bekomme Informationen darüber, dass dort regelmäßig Angriffsversuche zu verzeichnen sind und dass diese durchaus auch Erfolg haben. Über die gesamte Industrie gesehen fehlt es jedoch derzeit noch an einem hinreichenden Problembewusstsein.

Viele Unternehmen wissen auch nicht, dass sie bereits erfolgreich angegriffen worden sind. Häufig werden Kompromittierungen erst spät und zufällig bemerkt. Oft ist es auch nicht das Unternehmen selbst, sondern beispielsweise ein Telekommunikations-Provider, der einen Angriff detektiert. Die Ursache hierfür ist, dass Angriffe auf die Industrie in Deutschland meist das vertrauliche Firmenwissen als Ziel im Fokus haben. Solchen Angreifern ist natürlich daran gelegen, möglichst lange unbemerkt im Unternehmen Informationen stehlen zu können. Die Manipulation von Anlagen mit dem Ziel der Sabotage hingegen ist nicht an der Tagesordnung - was aber definitiv nicht bedeutet, dass es nicht auch solche Fälle gibt!

Insgesamt gesehen gehen wir zudem von einer großen Dunkelziffer aus. Aus diesem Grund erstellt das BSI ein Lagebild der IT-Sicherheit in Deutschland, welches die Betroffenheit und die Bedrohungslage aufzeigen soll. Dies ist ein elementarer Baustein insbesondere für das Management, um eine eigene Risikoanalyse zu untermauern und geeignete Investitionen und Aktivitäten zu rechtfertigen.

Um ein exaktes Lagebild zeichnen zu können, ist das BSI darauf angewiesen, dass entsprechende Vorfälle auch gemeldet werden. Im Maschinen- und Anlagenbau scheint dies jedoch auf Ablehnung zu stoßen, wie zumindest die jüngste Mitglieder-Umfrage des VDMA zum Thema Industrial Cyber Security ergeben hat.

Junker: Die Diskussionen um eine Meldepflicht werden derzeit teilweise sehr emotional geführt. Häufig wird dabei vergessen, dass es nicht um die Industrie als Ganzes, sondern nur um bestimmte kritische Sektoren und auch dort nur um Vorfälle ab einer gewissen Kritikalität geht. Gerade im Bereich des Maschinen- und Anlagenbaus haben wir schon mehrfach von Unternehmen Informationen zu Vorfällen erhalten. In einigen Fällen konnten wir diese Unternehmen auch aktiv dabei unterstützen, mit konkreten Sicherheitsvorfällen umzugehen und bestehende Lücken zu schließen. Fakt ist, dass trotz aller Kritik an einer Meldepflicht die freiwillige Meldestelle der Allianz für Cyber-Sicherheit gut von der Industrie angenommen wird.

Wie ist es Ihrer Einschätzung nach konkret um die Sicherheit industrieller Embedded-Komponenten bestellt?

Die Verbreitung gewisser Schwachstellen in industriellen Komponenten ist eine bekannte Tatsache. Eine genaue Einschätzung ist aber erst dann möglich, wenn man sich solche Komponenten im Detail anschaut und somit quasi die Rolle des Hackers einnimmt. Ergo führt das BSI immer wieder Sicherheitsanalysen ausgewählter funktionaler und sicherheitsspezifischer Komponenten durch. Hierdurch erlangen wir ein repräsentatives Bild des aktuellen Sicherheitsniveaus. Zudem ist die Zusammenarbeit mit Herstellern deutlich einfacher, wenn man Probleme am konkreten Beispiel aufzeigen kann.

Wichtig in diesem Kontext ist: Gefundene Schwachstellen werden durch das BSI ausschließlich an die Hersteller kommuniziert. Mit diesen arbeiten wir dann zusammen, um entsprechende Warnungen herauszugeben, Workarounds zu erarbeiten und Lücken zu schließen. Eine Weitergabe an andere Stellen im In- und Ausland erfolgt definitiv nicht!

Was die Art der vom BSI identifizierten Schwachstellen betrifft, so sind festcodierte Zugangsdaten oder eine fehlerhafte Authentisierung beziehungsweise Autorisierung genauso verbreitet wie Anfälligkeiten gegen manipulierte Datenpakete, die zu einem Verlust der Verfügbarkeit führen. Oftmals finden wir auch unsichere Standardkonfigurationen vor, die in der Regel durch den Integrator oder Betreiber auch nicht mehr geändert werden. Nicht zuletzt gehören undokumentierte Dienste zu den weitverbreiteten Schwachstellen.

Welche Forderungen an die Hersteller leiten Sie daraus ab?

In Deutschland findet sich eine Fülle von Herstellern, die hervorragende Komponenten für industrielle Anlagen anbieten. Das Gleiche gilt auch für Integratoren und Maschinenbauer. Neben dieser funktionalen Qualität ist aber der Aspekt der Sicherheit gleichermaßen zu berücksichtigen. Nur Komponenten, die über ein hinreichendes Sicherheitsniveau verfügen, werden sich insbesondere mit Blick auf Industrie 4.0 am Markt behaupten können.

Aus diesem Grund hat das BSI bereits erste "Anforderungen an netzwerkfähige Industriekomponenten" veröffentlicht. Darin sind die wichtigsten Kriterien enthalten, die sich aus der Bedrohungslage für typische Anwendungsszenarien ableiten. Darauf aufbauend werden wir in 2014 einen Testleitfaden veröffentlichen, der Unternehmen dabei unterstützen soll, die Sicherheit der eigenen Produkte zu untersuchen.

Ein gewisses Basisniveau lässt sich dabei schon mit überschaubaren Kosten umsetzen. Häufig ist es mit einer Reihe von Tool-basierten Untersuchungen möglich, die „Low-hanging fruits“ abzugreifen. Für einen Hersteller bedeutet jede vorab entdeckte Schwachstelle auch eine Vermeidung eines potenziellen Reputationsverlusts.

Auch im Internet gibt es diverse Tools für die Suche nach Schwachstellen in den Systemen. Wie ratsam ist es insbesondere für Betreiber, ihre eigene Systemlandschaft damit auf mögliche Gefahren hin zu "scannen"?

Bei einem Audit in industriellen Anlagen ist es besonders wichtig, dass möglichst nicht-invasive Methoden gewählt werden. Ein Audit kann auch technische, tool-basierte Untersuchungen enthalten. Dabei darf insbesondere in kritischen Anwendungsbereichen aber die Verfügbarkeit und Integrität der Anlage nicht gefährdet werden. Ein Checkup beim Arzt sollte schließlich auch nicht zu einer Operation am offenen Herzen ausarten. Daher sollte eine Unterstützung durch Experten erfolgen, die nicht nur in der konventionellen IT Audits durchführen, sondern die die Besonderheiten von Audits im Umfeld industrieller Anlagen kennen.

Das ICS Security Kompendium des BSI behandelt das Thema Audits im ICS-Umfeld detailliert und beschreibt dazu eine bewährte generische Vorgehensweise hierzu. Außerhalb kritischer und echtzeitfähiger Produktivsysteme sind dabei durchaus auch Tools verwendbar. So lässt sich beispielsweise das vom BSI initiierte Open Source Produkt „OpenVAS“ insbesondere am Perimeter eines Produktionssystems dazu nutzen, um Schwachstellen zu identifizieren. Mit einer geeigneten Parametrierung können dabei Beeinträchtigungen von Produktionssystemen weitgehend ausgeschlossen werden.

Trotz allem scheint es so, dass derzeit viele Betroffene – seien es Hersteller oder Betreiber - beim Thema ICS schlicht überfordert sind?!

Eine gewisse Überforderung ist in der Tat häufig zu beobachten. Seit dem Stuxnet-Vorfall gibt es eine Reihe von Produkten und Dienstleistungen im Bereich der ICS Security. Das Problem besteht darin, einen geeigneten Einstieg in das Thema Security zu finden. Gerade das BSI als neutrale staatliche Stelle kann hier eine Orientierungshilfe sein.

Auf jeden Fall müssen sich Betreiber von der Vorstellung eines sicheren "Plug & Produce" lösen. Eine vernetzte Industriekomponente ist ohne weiteres Zutun nicht sicher zu betreiben. Genauso kann Sicherheit nicht durch Zukauf eines flankierenden Produkts wie einer Firewall erzielt werden. Kurzum: Es gibt weder Sicherheit als Produkt noch gibt es uneingeschränkt sichere Produkte. Vielmehr muss Sicherheit als Prozess verstanden werden. Das heißt: Nur wenn die jeweiligen Rahmenbedingungen und Sicherheitsanforderungen in einer Risikoanalyse ermittelt und geeignete Best Practices systematisch umgesetzt werden, ist ein sicherer Betrieb möglich.

Diese Best Practices sind dann eine bedarfsgerechte Mischung aus organisatorischen, architekturellen und technischen Maßnahmen. Wichtig ist dabei die Erkenntnis, dass Sicherheit sukzessive umgesetzt werden sollte. Versucht man einen „Big Bang“, so ist dies häufig nicht erfolgreich. Im Grunde sind diese Best Practices sind für industrielle Anlagen das, was für den Menschen als gesunde Lebensweise gilt – nämlich Sport treiben, eine gesunde Ernährung und ein gesundes soziales Umfeld. Doch auch wer nach diesen Grundsätzen lebt, sollte sich den Gang zum Arzt nicht ersparen. Im übertragenen Sinne bedeutet das: Ein regelmäßiges Checkup tut auch industriellen Anlagen gut.

Sind es aber nicht oft schlicht die zum Teil unkalkulierbaren Kosten, die Unternehmen davon abhalten, die erforderlichen Security-Maßnahmen zu treffen?

Mag sein – aber Sicherheit kostet und diese Investitionen erzielen nun mal meist keinen unmittelbaren Return-of-Invest. Leider werden Risiken durch Cyber-Angriffe im Risk Management der Unternehmen noch viel zu selten berücksichtigt, denn sie erscheinen häufig irreal und virtuell – ein gefährlicher Irrglaube.

Dabei lässt sich mit einer Reihe von geeigneten Basismaßnahmen und Best Practices ein Großteil der Risiken bereits auf ein vertretbares Maß reduzieren. Bei der Umsetzung solcher Maßnahmen stellen Unternehmen dann immer wieder fest, wie effektiv diese doch zur Reduktion von Risiken beitragen und wie gering doch die entstehenden Kosten sind.

Zur SPS IPC Drives hat das BSI das ICS-Kompendium vorgestellt – ein umfangreiches Security-Grundlagenwerk, welches primär an Betreiber gerichtet ist. In diesem Jahr sollte eine Erweiterung mit Fokus auf die Maschinen- und Anlagenbauer folgen. Was ist diesbezüglich Stand der Dinge?

Derzeit erweitern wir das Kompendium um die Zielgruppe Hersteller und Integratoren. Dies vor dem Hintergrund, dass im Sinne der VDI/VDE 2182 Industrieanlagen nur dann hinreichend sicher werden können, wenn Hersteller, Integratoren und Betreiber gleichermaßen Anstrengungen unternehmen und dies auch koordiniert erfolgt. Dies wollen wir im Kompendium zum Ausdruck bringen.

Zudem arbeiten wir an zusätzlichen Hilfsmitteln zum Kompendium, wie beispielsweise einem Tool zum Einstieg in das IT-Sicherheitsmanagement für Produktionsanlagen in kleinen und mittelständischen Unternehmen. Im Anschluss an die Erweiterung in 2014 ist auch eine englische Übersetzung geplant.