Herr Hildebrand, Siemens kommt nicht mehr aus den Schlagzeilen. Insbesondere der Security-Experte Dillon Beresford deckt ein Viren-Schlupfloch nach dem anderen in den Simatic-Steuerungen auf. Was ist los mit den Simatic-Steuerungen?

Hildebrand: Ich denke, es ist an der Zeit, zu differenzieren: Das Auftauchen von Stuxnet Mitte letzten Jahres war so etwas wie ein Weckruf für die Automatisierungs-Community weltweit! – Das war notwendig und wird in der Branche auch Konsequenzen nach sich ziehen. Der ständige Wunsch nach „offenen“ Systemen birgt ein gewisses Bedrohungspotenzial für Industrie und Infrastruktur und
hat jetzt ganz neue Mitspieler aus dem Security-Umfeld auf den Plan gerufen. Diese agieren durchaus medienwirksam, treffen den eigentlichen Kern der Sache aber nur bedingt!

Wie meinen Sie das?

Hildebrand: Ein Beispiel: Anfang August gab es die Meldung eines Experten, die Gefängnisse in den USA seien unsicher, weil deren Sicherheitseinrichtungen auf Scada-Systemen und speicherprogrammierbaren Steuerungen basierten, die nicht gegen moderne Hacker-Angriffe gewappnet seien. Das ist – höflich ausgedrückt – relativ undiffer­en-
ziert! Der Experte hat auf einzelne Komponenten fokussiert, was dann zu schönen Schlagzeilen geführt hat. Im Kern geht es aber nicht um einzelne Komponenten, sondern um ganzheitlich implementierte Security-Konzepte. Hier ist die gesamte Kette von Sicherheitsmaßnahmen zu bewerten, von den organisatorischen Prozessen bis hin zu den Steuerungskomponenten. Jedes Glied in der Kette stellt ein Stück Sicherheit dar und sorgt im Gesamten dafür, dass Anlagen sicher funktionieren.

Wie steht es um die von Dillon Beresford aufgedeckten Schwachstellen?

Hildebrand: Dillon Beresford hat sich für seine Tests ein eigenes Netzwerk aufgebaut und mit einem Ethernet-Analyse-Tool mit direkter Verbindung zu bestimmten S7-CPUs deren Kommunikationsverhalten untersucht. Dabei hat er Schwachstellen aufgedeckt, die sich bei einem direkten Zugang zum Produktionsnetzwerk ausnutzen ließen.

...was in der Praxis keine Relevanz hat?

Hildebrand: Bei den von Beresford analysierten Schwachstellen ist wichtig zu wissen, dass es sich um Schwachstellen handelt, die nur relevant sind, wenn ein möglicher Angreifer bereits zwei Sicherheitsstufen überwunden hat und sich direkt im Automatisierungsnetz befindet. Wir empfehlen grundsätzlich die Einhaltung von Sicherheitsstandards mit mehrstufigen Sicherheitskonzepten. Diese schließen zum Beispiel den Einsatz von Firewalls ein, einschließlich der Empfehlung, eine SPS nicht am offenen Internet zu betreiben.

…heißt das, dass Sie die Bedenken von Beresford damit abhaken?

Hildebrand: Nein, natürlich nicht. Wir sind in puncto Security höchst sensibel und neigen de­finitiv nicht zur Arroganz be­ziehungsweise Ignoranz. Ich will damit sagen: Wenn wir die Ergebnisse von Beresford auch nicht als eine schwerwiegende Bedrohung ansehen, so sind sie für unsere stetige Produktverbesserung durchaus hilfreich. Einige von Beresford benannte Schwachstellen haben wir bereits beseitigt, zum Beispiel bei der S7-1200; bei anderen – etwa den S7-300 Typen – sind wir gerade dabei.

Was sind das konkret für Schwachstellen?

Hildebrand: Bei bestimmten, älteren S7-300-Steuerungstypen können über eine undokumentierte interne Diagnosefunktion Daten ausgelesen werden.

Warum steht nur Siemens so stark im Viren-Kreuzfeuer? Haben die anderen Automatisierungsanbieter kein Security-Problem?

Hildebrand: Wir gehen davon aus, dass es eine generelle Herausforderung für die Branche ist.

Gibt es in der Branche Aktivitäten, um die Viren-Thematik in den Griff zu bekommen?

Hildebrand: Ganz aktuell hat das US-amerikanische ICS-CERT am 28. Juli 2011 die Gründung einer weltweit herstellerübergreifenden Arbeitsgruppe bekannt gegeben, die sich um Sicherheit in Industrie­anlagen kümmern wird. Ziel ist: IT-Sicherheitsstandards, ähnlich wie bei Maschinensicherheit, auf allen Ebenen voranzutreiben – bis zu Handlungsempfehlungen für Zertifizierungen oder Prozessausrichtungen und -verbesserungen.