Klaus Lussnig und Jens Bußjäger: „Security bedeutet Management.“

Inwiefern kann die Security Appliance für vernetzte Automatisierungen eingesetzt werden, was bietet es und was bringt die Zukunft für mögliche Szenarien.

IRMA ist kein Tiefdruckgebiet. Im Fall von Industrial Automation (IA) bietet IRMA Schutz – ganzheitlich – vor möglichen Angriffen aus dem Cyberspace. Inwiefern die Security Appliance für vernetzte Automatisierungen eingesetzt werden kann, was es bietet und was die Zukunft für mögliche Szenarien noch bringen wird, haben IA GF Klaus Lussnig aus Innsbruck und Jens Bußjäger, GF von Acht:Werk aus Bremen, in einem persönlichen Gespräch erläutert. Beide sind sich einig, Datenarmut hat einen positiven Affekt.

IoT4Industry & Business: Um mich in Zeiten zunehmenden Risikos besser schützen zu können, kann ich auf IRMA zurückgreifen. Was bieten Sie damit an?

Klaus Lussnig: IRMA steht abgekürzt für „Industrie Risiko Management Automatisierung“ und ist ein Industrie Computersystem zur Identifikation und zur Abwehr von Cyberangriffen in Produktionsnetzwerken. Industrial Automation mit unseren Standorten in Innsbruck und in der Schweiz vertreibt Softwareprodukte (Hersteller- und Branchen-neutral) rund um die Automatisierungstechnik und das seit 2005. Unser Portfolio ist breit aufgestellt und reicht von Scada und Historian-Systemen über flexible Web-Portallösungen und intelligenten Alarmierungssystemen bis hin IoT-Security-Systemen.

IoT: Wie hat sich in den zurückliegenden Jahren das Angebot an Lösungen verändert?

Lussnig: 2005 waren viele Themen, wie Standard-Schnittstellen OPC UA oder auch das Thema Web noch lange nicht so weit wie jetzt und dort platziert, wo sie eigentlich hingehören. Wir haben jedoch relativ früh schon die Zeichen der Zeit erkannt und die Hersteller unterstützt. Wir sind mit ihnen gemeinsam am Markt aufgetreten und haben sie bei der Weiterentwicklung unterstützt. Jetzt sind wir in der glücklichen Lage, dass wir hieraus einen gewissen technischen und zeitlichen Vorteil genießen.

Klaus Lussnig Industrial Automation Geschäftsführer
Klaus Lussnig Industrial Automation Geschäftsführer „IRMA ist eine passive und automatisiert überwachende Security Appliance und bietet optimalen Schutz – auch vor derzeit noch unbekannten Gefahren.“

IOT: Seit Industrie 4.0 und IoT in den Vordergrund rücken muss es für Lösungen aus Ihrem Haus ja einen regelrechten Boom geben?

Lussnig: Die letzten Jahre waren sehr intensiv. Dennoch muss man so ehrlich sein und festhalten, dass zwischen den einzelnen Vertriebsgebieten ein riesen Unterschied feststellbar ist. In der Schweiz ist man schon von Beginn an sehr innovativ in Bezug auf Webtechnologien und OPC UA unterwegs gewesen. Hier gab es bereits vor vielen Jahren etwa bei Verkehrsleittechniksystemen Vorschriften diesbezüglich.

IOT: Warum?

Lussnig: Bei den Themen wie OPC UA ist es in der Schweiz so, dass die einzelnen Gewerke separat ausgeschrieben werden. In diesem Falle ist OPC UA natürlich ein wunderbarer Weg um später auf der Baustelle optimal mit verschiedenen Teilnehmern standardisiert kommunizieren zu können. Mit den Themen Web und OPC UA haben wir bei unseren Nachbarn sehr viel früher Fuß gefasst als in Österreich.

Jens Bußjäger: In diesem Zusammenhang spielt Standardisierung eine entscheidende Rolle. Wenn man wie eben angesprochen unterschiedliche Gewerke hat möchte man natürlich keine Heterogenität haben und demnach auch keine Abhängigkeit. Wenn wir ehrlich sind, gibt es seit vielen Jahren Standards am Markt, die IoT-fähig, aber eben einfach nicht verwendet worden sind.

Lussnig: Im Moment spüren wir alle die Schnelllebigkeit am Markt und vor allem auch die rasante Weiterentwicklung vieler Lösungen und das ist auch der Grund, weshalb wir auf Messen wie der C4I in Wien und der Sindex in Bern ausstellen.

IoT: In welchem Zusammenhang steht die Firma Acht:Werk nun zu IRMA?

Bußjäger: Acht:Werk ist Hersteller der Security Appliance IRMA für kritische Infrastrukturen und vernetzte Automatisierungen in Produktionsanlagen. Zudem engagieren wir uns in namhaften IT-Sicherheitsverbänden. Dadurch ist unser Ziel, eine angemessene IT-Sicherheit in Automatisierungsanlagen und -netzen zu gewährleisten. Und gerade im gesamten Industrie 4.0-Prozess, der uns alle seit etwa 2013 begleitet, spricht man ja laufend von Standard-Schnittstellen wie OPC UA. Was das Thema Security angeht, heißt es viel zu oft, dass man sich hiermit sehr viel später beschäftigen wolle.

Lussnig: Es stimmt schon, dass es immer noch Unternehmen gibt, die sagen, sie investieren in die Security nicht bevor „nicht etwas passiert ist“. Aber überwiegend wird man sich der Bedeutung dieses Themas schon sehr viel klarer.

Bußjäger: Security ist ein sehr sensibles Thema und führt dazu, dass es sehr unterschiedliche Wahrnehmungen gibt. Nichtsdestotrotz bin ich der Ansicht, dass die Hersteller gefragt sind hier geeignete Lösungen zu bieten. Die Themen Kryptographie und Verschlüsselung sind essenziellen Themen in diesem Zusammenhang.

Jens Bußjäger Acht:Werk Geschäftsführer
Jens Bußjäger Acht:Werk Geschäftsführer „Es müssen nicht alle internen Unternehmensdaten ins Internet gestellt werden, denn auch die Bösen können googeln.“

IOT: Weshalb wird dann aber dieses wichtige Thema in den Unternehmen zu selten beachtet?

Lussnig: Das Verständnis fehlt beim Thema Security einfach noch viel zu oft. Dabei passiert viel mehr in puncto Angriffe als noch vor einigen Jahren.

Bußjäger: Es gibt eben auch die Kehrtwende der Standardisierung. Denn wenn ich mit einem Mal viele potenzielle „Opfer“ mit einer Malware/Schadsoftware treffen kann, dann habe ich „mein“ Ziel als Angreifer erreicht. Und wenn sie die Standards des IoT nutzen, dann versuchen diejenigen, die Schaden anrichten wollen, natürlich auch ihre Angriffe passend zu diesen Standards zu standardisieren.

IoT: Wird es gefährlicher für Unternehmen?
Bußjäger: Ich bin kein Freund von Schreckens-Szenarien. Fakt ist aber, dass Wirtschaftsspionage und Angriffe einfach stattfinden und passieren – und sie werden mehr. Und viele Unternehmen bekommen leider gar nicht mit, dass Datenabfluss auch bei ihnen stattfindet.

Lussnig: In vielen Gesprächen, die ich führe wird oft eines ganz klar, dass das Bewusstsein, was Security ist und vor allem erreichen kann, nicht vorhanden ist. Viele sind sich ihrer Haftung auch gar nicht bewusst, denn wenn ein Angriff auf einen Betrieb stattfindet dann haftet üblicherweise die Geschäftsführung. Zu viele wollen sich hier mit den Verantwortlichkeiten auch nicht auseinandersetzen.

IoT: Was bietet IRMA den Kunden?

Lussnig: Was wir mit unserer Lösung ganz eindeutig wollen ist, die Einfachheit zu gewährleisten. Wir bieten dabei ein Produkt von Automatisierern für Automatisierer. Denn das Thema Security soll eben auch in der Praxis „nicht viel Zeitaufwand mit sich bringen“, so der Tenor.

Bußjäger: Nach einer schnellen Installation stellt IRMA dazu drei funktionale Bereiche zur Verfügung: 1. Das automatisierte Identifizieren der Assets im Netzwerk, 2. das Erkennen jeglicher Anomalien im Industrial Ethernet und 3. ein weiteres Unterscheidungsmerkmal zu anderen Lösungen ist das integrierte Risikomanagement. Wenn ja schon alle Daten der Anlage vorhanden sind lassen sich hier direkt die notwendigen Maßnahmen identifizieren.

IoT: Spielt die Unternehmensgröße eine Rolle?

Lussnig: Wenn das Unternehmen sehr groß ist, ist auch die Frage der Security meist keine Frage des ob oder ob nicht. Aber hier haben manche ein anderes Problem, z.B. dass sich jeden Tag viele externe Dienstleister auf den Anlagen befinden und ihre Notebooks einfach so ins Netz hängen und auch mal mitgebrachte Devices wie Mobil-Router im Netz „vergessen“. Security ist immer auch ein Thema der Organisation und wenn diese nicht vorhanden ist, dann brauchen sie auch keine verbesserten Lösungen. Ausschlaggebend ist, dass die Mitarbeiter eines Unternehmens mit abgeholt werden müssen.

IoT: Das bedeutet aber auch, Security ist ein psychologisches Thema.

Bußjäger: Stellen Sie sich doch einfach einmal vor, bei Ihnen zuhause befindet sich ein Fremder in ihrem Garten. Schauen Sie achtlos zu und lassen ihn oder sie dort walten oder fragen Sie direkt nach, was er/sie dort vorhat? So einfach ist die Frage zu beantworten, inwiefern Security im Unternehmen in Angriff genommen werden muss. Ein gesundes Misstrauen muss ich als Kultur in den Firmen in puncto Sicherheit etablieren. Wir sehen leider immer mehr eine so genannte VPN- und Firewall-Mentalität oder auch der „https“-Sicherheitsglaube ist weit verbreitet. Es stellt sich aber hier immer noch die Frage, wer die Sicherheit denn zur Verfügung stellt? Denn die Technologie kann auch von nicht sicheren Technologiepartnern zur Verfügung gestellt werden.

Lussnig: Eine Automatisierungsanlage ist ja auch eine dynamische Anlage und das bedeutet eben auch wieder, dass das Thema Security regelmäßig angepasst werden muss. Bedenken Sie nur die zahlreichen FirewallFriendlyApplikations, die Usus
sind. Hier muss man aktiv handeln als Unternehmen.

Bußjäger: In Bezug auf Industrial Security muss man umdenken. Etablierte Sicherheitselemente wie Antivirenschutz, signaturbasierte Intrusion Detection oder Prevention-Systeme erkennen nur bekannte traditionelle Schadsoftware wie Malware oder Trojaner. Für die neuesten Vorgehensweisen und Technologien heutiger Cyberangriffe ist dies nicht mehr ausreichend.

Dazu zählen Advanced Persistent Threats (APT – fortgeschrittene anhaltende Bedrohungen), also Angriffe, die mit hohem Aufwand und zielgerichtet die Standard-Schutzeinrichtungen umgehen und dabei meist unbekannte Schwachstellen (Zero-Day Exploits) ausnutzen. Solche Angriffe und Manipulationen können nur durch eine kontinuierliche Überwachung der Produktionsanlagen-IT entdeckt und Schäden mittels einer intelligenten Echtzeit-Analyse und Alarmierung vermieden werden.


Warning: A non-numeric value encountered in /is/htdocs/wp13258196_523RO7947X/www/technik-medien/htdocs/wp-content/themes/Newspaper/includes/wp_booster/td_block.php on line 392