Schwerpunkte

Pilz

Maximal zwei Jahre ­Halbwertzeit

21. April 2020, 08:30 Uhr   |  Inka Krischke

Maximal zwei Jahre ­Halbwertzeit
© Pilz

Thomas Pilz, geschäftsführender Gesellschafter der Firma Pilz.

Die Automatisierungswelt hat in Sachen Safety und Security noch einiges an Hausaufgaben zu erledigen. Welche das im Einzelnen sind, erläutert Thomas Pilz, geschäftsführender Gesellschafter der Firma Pilz, die im Oktober 2019 selbst Opfer eines Cyber-Angriffs wurde.

Herr Pilz, warum unterscheidet Pilz zwischen IT-Security und IndustrialSecurity?

Thomas Pilz: Bei IT-Security geht es um die Sicherheit in der Office-IT, bei Industrial Security um die Absicherung von Maschinennetzen in Werkshallen. Ein Maschinennetz ist anders aufgebaut als ein Büronetz. Dort sind Drucker, Rechner und Server; hier sind Maschine, Leitrechner, mit SPS-Steuerung, Sensor und Aktor zusammengeschaltet. Nichtsdestotrotz haben wir Rechner, die in irgendeiner Art und Weise auch mit der Büro-IT kommunizieren müssen. Die Absicherung der Maschine geschieht durch die Operational Technology, während die Absicherung der Rechner durch IT geschieht. Gerade bei dieser Trennung von Verantwortlichkeiten ist viel in Bewegung. Letztlich ist die oberste Priorität der Industrial Security, die Verfügbarkeit von Maschinen und Anlagen sowie die Integrität und Vertraulichkeit von Daten und Prozessen zu gewährleisten.

Kommt dem Thema Security in der Automatisierungstechnik bereits die notwendige Aufmerksamkeit zu?

Thomas Pilz (lacht ): Im Hause Pilz spätestens seit dem Cyber-Angriff vom Oktober. Aber Spaß beiseite: Schon vor zwei Jahren haben wir uns der IT-Sicherheitsplattform CERT@VDE angeschlossen. Seit dieser Zeit überarbeiten wir Entwicklungsprozesse, um sicher zu gehen, dass wir am Markt Systeme und Komponenten anbieten, die die steigenden – und sich wandelnden – Anforderungen an Safety und Security erfüllen. Man kann sagen, wir haben dafür unseren Entwicklungsprozess umgebaut. Das notwendige Wissen haben wir uns selbst erarbeitet. Bei unseren Neu- oder Weiterentwicklungen erfüllen wir Security-Anforderungen in einem TÜV-zertifizierten Prozess nach IEC 62443-4-1. Dabei werden von vornherein Aspekte wie Bedrohungsszenarien, Stärken und Schwachstellen von Protokollen oder Verschlüsselungsverfahren berücksichtigt. 
Ich beobachte, dass auch andere Automatisierungsanbieter ähnlich vorgehen. Insofern würde ich sagen, dass das Thema in der Branche angekommen ist.

»Ist die Security gebrochen, entscheidet letztendlich der Angreifer, welchen ­Schaden er an der Maschine anrichten will«

Nimmt die steigende Bedrohung durch Cyber-Angriffe Einfluss auf die 
Automatisierungstechnik?

Thomas Pilz: Für Safety wie für Security gilt, dass es meist eine Vielzahl an unterschiedlichen Lösungen für ein und dasselbe Problem gibt. Es kommt also immer auf die Situation an, welche Lösungen eingesetzt werden und welche sinnvoll sind. Am nachhaltigsten und effizientesten sind die Lösungen, bei denen das Thema Sicherheit schon in der Konzeptionsphase berücksichtigt und diskutiert wird. Auch das galt bereits für die Safety, ist aber leider nach wie vor keine Selbstverständlichkeit. Hier ist der Endanwender gefordert, in die Diskussion zu gehen, damit am Ende die Maschine nach seinen Vorstellungen auch entsprechend betrieben und gewartet werden kann. 

Was heißt das konkret?

Thomas Pilz: Wie wir wissen, ist Security ein Moving Target. Also müssen die Maßnahmen gegen Cyber-Bedrohungen ständig aktualisiert werden: Ich kann zwar – wie bei der Safety – ein Security-Assessment machen, an der sich die Umsetzung entsprechend orientiert. 
Der Unterschied ist jedoch, dass bei der Safety die einmal erstellte Konformitätsvermutung für eine installierte Lösung 20 Jahre gültig sein kann. Bei der Security beträgt die Halbwertszeit maximal zwei Jahre. Danach muss man die eingesetzten Technologien und Strategien neu aufsetzen. Denn ungeachtet der Tatsache, dass die Bedrohungslage eventuell stabil sein mag, entwickeln sich die Angriffsstrategien rasant weiter.

Werden IT-Security und Industrial-Security verschmelzen?

Thomas Pilz: Diesbezüglich wage ich keine Prognose. Aber: In jedem Unternehmen sollte erarbeitet werden, wie das Zusammenspiel aus IT und OT für den Shopfloor organisiert sein soll. Denn es gibt keine Lösung, die für alle passt. Jedes Unternehmen ist anders aufgestellt und organisiert, hat eine eigene Historie und muss sich entwickeln.

Werden dann Safety und Security verschmelzen?

Thomas Pilz: Nein, das werden sie nicht. Safety ist immer der Schutz des Menschen vor der Maschine und Security der Schutz der Maschine vor dem Menschen. Neu ist aber, dass Security immer mehr Einfluss auf Safety hat. Bei vernetzten Anlagen reicht also funktionale Sicherheit allein nicht; es müssen zudem gleichermaßen Security-Lösungen implementiert sein, die Maschinen und Mechanismen der funktionalen Sicherheit als Schild gleichermaßen schützt. Denn: Ist die Security gebrochen, entscheidet letztendlich der Angreifer, welchen Schaden er an der Maschine anrichten will. 

Welche Herausforderungen sehen Sie in der Zukunft für Safety und Security? 

Thomas Pilz: Ich sehe in der Zukunft Security als neue Herausforderung für die Safety, wenn Vernetzung über Netzwerktechnik stattfindet, sowie bei den Themen Trusted User und Multifaktor-Authentifizierung. Aber auch als Herausforderung für den Betreiber, der neben dem Umgang mit der statischen funktionalen Sicherheit lernen muss, mit einer Cyber-Abwehr im Hintergrund effizient zu produzieren – Stichwort: Verfügbarkeit der Anlagen während Security-Updates.

Ihr Unternehmen ist selbst Opfer eines Cyber- Angriffs geworden. Welche Lehren hat Pilz aus dem Cyber-Angriff gezogen?

Thomas Pilz: Ganz allgemein kann man festhalten, dass die Wirtschaft zum Ziel der Cyber-Kriminalität geworden ist. Diese Erpresser haben ein Geschäftsmodell aufgebaut, das hauptsächlich im Westen befindliche Unternehmen zum Ziel hat. 
Und dann muss man anerkennen, dass jede statische Cybersecurity überwindbar ist, dass aber mit dynamischen Konzepten die Folgen eines sogenannten ‚erfolgreichen‘ Angriffs minimiert werden können. Uns ist aber auch bewusst geworden, dass es den hundertprozentigen Schutz nie geben wird.

Lesen Sie hier den dazugehörigen Fachbericht “Maschinen brauchen unseren Schutz”

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Deutschland ist zu langsam
VDMA veröffentlicht Notfallhilfe-Papier
Maschinen brauchen ­unseren Schutz!
OT-Netzwerke vor Cyberbedrohungen schützen

Verwandte Artikel

Pilz GmbH & Co. KG

Safety & Security CARed