„Gib mir 4“: Interview mit Thomas Käfer anlässlich unseres Vortrages zu IT-Sicherheit in Industrieumgebungen
Am 18. Juni 2020 fand als Online-Stream das Kolloquium der weyer gruppe statt. Es ging dabei um IT-Security für Maschinen und Anlagen. Thomas Käfer hat den Tag mit sieben Referenten moderiert und uns durch das Thema geführt. Mein Beitrag war es, mit einem Live-Hacking des fiktiven Unternehmens „Stein zu Sand AG“ zu zeigen, wie Täter vernetzte Industrieumgebungen (Industrie 4.0) angreifen und z.B. Sach- sowie im Extremfall auch Personenschäden verursachen.
Der Beitrag „Live-Hacking Stein zu Sand AG“ ist über Youtube abrufbar (über den folgenden Screenshot verlinkt). Im Nachgang habe ich den öffentlich bestellten und vereidigten Sachverständigen Thomas gefragt, wie seine Erfahrung bei Produktionsanlagen ist, und was es bräuchte, um zu einer nachhaltig besseren Situation in Sachen IT-Sicherheit zu kommen.
Martin: Wie ist deine Erfahrung in Bezug auf IT-Sicherheit für Produktionsanlagen (Industrie 4.0)?
Thomas: Bei den Produktionsanlagen verhält es sich prinzipiell wie bei den automobilen Infrastrukturen und den vernetzten Fahrzeugen: Wenn man sich ein solches System unter IT-Sicherheitsaspekten bzw. im Rahmen eines Pen-Tests näher anschaut, ist man als Fachmann erschrocken darüber, wie schlecht und fahrlässig Security vielfach implementiert ist. Da werden selbst Basics zur Absicherung von Systemen vergessen oder durch ungeeignete Eigenkonstruktionen ersetzt und nach einer gewissen Eingewöhnungszeit in die für den Hacker zunächst fremde Welt ist er dann doch buchstäblich „drin“.
Martin: Wie reagieren Unternehmen, wenn du sie auf bestehende Lücken hinweist, also im Rahmen einer Forschung etwas findest und darüber mittels „Responsible Disclosure“ berichten möchtest?
Thomas: Manchmal gar nicht, meist unfreundlich bis ungehalten und nur manchmal dankbar und offen für den kostenlosen Input. Ein ehrlich gemeintes „Danke schön“ habe ich selten gehört, eher, dass es eine Reflexhaltung gibt und die Lücke kleingeredet wird bzw. mit Marketing-Bla-Bla Besserung gelobt wird (die es dann nicht oder sehr langsam gibt).
Martin: Was bräuchte es, um zu einer nachhaltig besseren Situation in Sachen IT-Sicherheit zu kommen?
Thomas: Es muss auch in der produzierenden Industrie ankommen, dass IT-Security genauso wichtig ist, wie Safety (also funktionale Sicherheit). Die Angriffe sind real und funktionieren und sind für Angreifer äußerst lukrativ, weil sie oft mit vergleichsweise kleinem Aufwand einen großen Nutzen bringen können. Die Gefährdung der Produktion durch IT-Sicherheitsvorfälle ist m.E. genauso hoch zu bewerten, wie durch Feuer, Einbruch, physische Sabotage usw. und die Eintrittswahrscheinlichkeit und der Impact liegen vielleicht sogar noch höher als bei klassischen Bedrohungsszenarien. Beim Kolloquium der Weyer Gruppe haben wir live aus erster Hand von einem Betroffenen erfahren, was es heißt, wenn das Office-Netz einer Firma von einem Verschlüsselungstrojaner lahmgelegt wurde. Und die hatten noch Glück im Unglück, denn die Produktion war nicht betroffen. Die Erkenntnis des Unternehmers war jedoch, dass es auch diesen Teil hätte treffen können und die Auswirkungen noch schmerzhafter gewesen wären. Das kann einen Betrieb ruinieren. Also: IT Sicherheit ernst nehmen, Fachleute hinzuziehen und sich von Leuten beraten lassen, die sich damit auskennen.
Martin: Gibt es einen Punkt, der dir bei diesem Thema besonders am Herzen liegt?
Thomas: Ich finde es immer angenehmer, wenn man im Vorfeld als Berater und Pen-Tester gerufen wird, bevor etwas passiert ist. Ein Incident bedeutet immer Hektik und Panik beim Auftraggeber. Und wenn ich erst ganz zum Ende als Sachverständiger den Fall analysieren soll, dann ist bereits viel Geld verbrannt worden. Ergo könnte es mir egal sein, wann wir gerufen werden, aber schöner ist es, wenn man im Vorfeld durch geeignete Maßnahmen dazu beitragen kann, dass der Fall der Fälle erst gar nicht eintritt.