Frage: Herr Habermann, viele mittelständische Unternehmen stehen den neuen oder runderneuerten regulativen Anforderungen, wie der neuen Maschinenverordnung, Cyber-Resilience-Act, NIS 2, ISO 13489 etc. noch eher ratlos gegenüber. Wie gelingt ein guter Einstieg?
Ralf Habermann: Auch wenn es in Thrillern häufig anders dargestellt wird: „Hacker“ verbringen in aller Regel mehrere Tage damit, das Zielsystem zu verstehen, auszuspionieren und möglichst wertvoll erscheinende Daten auszulesen. Wenn wir also den unerwünschten Eindringling sofort entdecken, gibt es keinen Grund zur Panik; man hat die Möglichkeit, durchdachte Maßnahmen zu ergreifen. Parallel dazu kann man versuchen herauszufinden, wo der unerwünschte Eindringling her kommt und über welche Hintertürchen und undichten Stellen er eingesickert ist.
Entsprechend ist also eine Einbruch-Meldeanlage für das Netzwerk ein äußerst sinnvoller Einstieg. Denn ein solches Intrusion Detection System (IDS) wie beispielsweise unsere alphaWatch hört den gesamten Netzwerkverkehr mit und schlägt bei Anomalien sofort Alarm.
Frage: Wie erkennt ein IDS, ob ein neuer Teilnehmer dazu kommt, oder ob sich etablierte Teilnehmer über Kanäle austauschen, über die sie sonst noch nie kommuniziert haben?
Ralf Habermann: Im Prinzip wird jeder Kommunikationsvorgang gegen eine Liste erlaubter Zustände geprüft. Vorgänge, die nicht in dieser Liste enthalten sind, lösen einen Alarm aus. Ein Mensch schaut sich diese Meldung dann genauer an und gibt dem System eine entsprechende Rückmeldung, damit es lernen und seine Regel selbst optimieren kann.
Ein gutes IDS setzt dafür ausgeklügelte KI-Algorithmen ein – und kann mit deren Hilfe die Positivliste der erlaubten Zustände in wenigen Stunden bis Tage selbst erstellen. Moderne IDS, wie z.B. unsere alphaWatch sind zudem flexibel skalierbar. Gerade im heterogenen OT-Umfeld ist dies von eminenter Bedeutung. Denn hier sind unterschiedliche und zum Teil alte Betriebssysteme im Einsatz, für die es keine Sicherheitsupdates mehr gibt. Oder der Maschinenhersteller gibt Updates des Betriebssystems nicht frei, weil die Kompatibilität mit den Maschinen im Feld nicht gewährleistet ist.
Frage: Gib es aus Ihrer Sicht ein unterschiedliches Vorgehen bei IT- und OT-Systemen?
Ralf Habermann: Nicht grundsätzlich. Die Endziele sind die gleichen. Aber man muss sich darüber im Klaren sein, dass diese Welten häufig sehr unterschiedlich sind. Wird die Büro-IT durch Hacker außer Gefecht gesetzt, kann ein enorm hoher wirtschaftlicher Schaden entstehen.
Im OT-Bereich ordnet sich alles der Verfügbarkeit unter – die Produktion muss laufen. Werden Maschinen und Anlagen aber ungeplant abgeschaltet, können nicht mehr steuerbare Prozesse im „worst case“ zu irreparablen Verlusten bis hin zu Personenschäden führen.
Greift jemand gezielt ein OT-System an, dann muss ich davon ausgehen, dass ich einen Profi vor mir habe, der in der Lage ist, herkömmliche Sicherheitsmaßnahmen zu umgehen. Genau aus diesem Grund ist es eminent wichtig, den Eindringling sofort zu erkennen, bevor dieser etwa Schadsoftware einschleusen kann. Denn bei einem Angriff trägt das OT-System die Hauptlast, weil es in diesem heterogenen Umfeld ungleich schwieriger zu reparieren ist. Im Extremfall muss danach jede einzelne Maschine nach unterschiedlichen Vorgehensweisen gereinigt und wieder hochgefahren werden.
Ein gutes IDS verschafft den Anwendern daher zwei Dinge: Die Sicherheit immer zu wissen, dass niemand im digitalen Raum ist, der da nicht hingehört – und die Zeit, den Ursachen einer erkannten Anomalie auf den Grund zu gehen.
Herr Habermann, vielen Dank für das Gespräch!
*OT steht für Operational Technology und umfasst die Netzwerk-Infrastruktur der Produktion eines Unternehmens, also anschaulich die Hard- und Software, welche für die Bereiche des Unternehmens zuständig ist, die nicht mit Teppich ausgelegt sind.