ClickCount-Tag
https://ad13.adfarm1.adition.com/redi?sid=4306557&gdpr=${GDPR}&gdpr_consent=${GDPR_CONSENT_39}&kid=6481691&bid=19736518
Insellösungen sind per se nicht sicher, der Mensch ist eine Security-Schwachstelle und die EN IEC 62443 ist nahezu unbekannt. Das ist das Ergebnis einer Umfrage, die Pilz Österreich in Vorbereitung zu einer Veranstaltungsreihe im Herbst gemacht hat. Wir haben mit David Machanek, Geschäftsführer Pilz Österreich, die Details besprochen.
IoT4industry&business: Pilz ist Spezialist für industrielle Sicherheit. Wo sehen Sie im Moment die größten Schwachstellen?
David Machanek: Wir haben – als Vorbereitung zu einer Veranstaltungsreihe zu Safety und Security im Herbst – eine Umfrage unter 151 Unternehmen zu diesem Thema gemacht. Dabei haben wir gesehen, dass das Thema Security beim Großteil der Befragten noch nicht so richtig angekommen ist und die Gefährdungspotenziale nicht wirklich erkannt werden. Da herrscht etwa der Irrglaube vor, dass eine Maschine sicher ist, wenn sie keine Fernwartungsoption hat und vermeintlich im Inselbetrieb läuft. Es werden auch bestimmte Angriffsstellen nicht als solche identifiziert. Etwa, wenn jemand sein Handy über einen USB-Port an der Maschine auflädt. Wir haben auch gesehen, dass nur 60 % aller Befragten industrielle Firewalls eingebaut haben. Damit bietet sich eine extrem große Angriffsfläche. Da hilft der Blick eines Firmenfremden, um die Betriebsblindheit zu überwinden.
IoT: Digitalisierung ist in den letzten Jahren prominent geworden. Interessant, dass das Thema Sicherheit dennoch nachgelagert ist.
David Machanek: Das stimmt. Wir wollten im Rahmen unserer Umfrage auch wissen, wo die Befragten den schlechtesten Outcome nach Angriffen sehen. Laut unserer Untersuchung liegt das höchstempfundene Risiko nach Ransomwareangriffen beim wirtschaftlichen Schaden des Unternehmens, gefolgt vom Diebstahl von Betriebsgeheimnissen und/oder Rezepturen. Erst an dritter Stelle wird die Gewährleistung der Maschinensicherheit durch den Eingriff in die Maschinenfunktion genannt. Der fehlenden Awareness der Mitarbeiter wird im Verhältnis nur ein niedriges Risiko attestiert. Dass dem Potenzial durch aufmerksame Mitarbeiter so wenig Bedeutung beigemessen wird, ist insofern interessant, als eine aktuelle Bedrohung durch die sog. Follina-Schwachstelle – das ist eine kritische Schwachstelle in Microsoft Dokumenten, die bei unbedachter Nutzung von Office-Dokumenten Malware auf den Computer spielt – zeigt, dass neben technischen Maßnahmen die Schulung von Mitarbeitern eine sehr wichtige Maßnahme bei der Abwehr von Angriffen ist. In den meisten Fällen ist es nämlich der Mensch, der in welcher Art auch immer, durch unvorsichtige Auslegung der Maschine – Stichwort USB-Anschlüsse – oder durch das unvorsichtige Aufmachen von diversen E-Mails, die dann einen Trojaner freisetzen und sich so ins Unternehmen einschleusen, verantwortlich ist.
Dazu muss die entsprechende Awareness bei den Mitarbeitern geschaffen werden und diese entsprechend geschult werden. Im Herbst launchen wir daher ein Security-Dienstleistungs-Programm: vom Risk-Assessment von bestehenden Systemen bis zur Gefahrenbeurteilung in den Unternehmen selbst. Eine zusätzliche Aufgabe zu diesem Dienstleistungs-Programm heißt für uns auch Awareness zu schaffen. Aufgrund unseres Vorfalls nimmt man uns diese Expertise ab.
IoT: Für alle, die es nicht wissen, was ist passiert?
David Machanek: Im Oktober 2019 wurde das weltweite Firmennetzwerk von Pilz durch einen Ransomewareangriff lahmgelegt und ein Teil der Daten verschlüsselt. Wir haben dann vorsorglich sämtliche Netzwerke und Server abgeschaltet. Und dann funktionieren Dinge, die sonst ganz selbstverständlich sind nicht mehr und darauf sollte man vorbereitet sein. Dazu gehört etwa, dass man nicht mehr auf die Telefonnummern der internationalen Kollegen zugreifen kann, weil die am Server hinterlegt sind. Für uns war es auch wichtig weiter zu produzieren und auszuliefern. Diese beiden Beispiele sollen versinnbildlichen, dass vermeintlich banale und als selbstverständlich wahrgenommene Prozesse des Alltages, einfach nicht mehr funktionieren und in einer ohnehin schon zeitkritischen Situation nach einer erlittenen Cyberattacke, nicht gerade zur Steigerung der Handlungsfähigkeit führen.
IoT: Security basiert nicht nur auf Freiwilligkeit. Mit der EN IEC 62443 gibt es auch eine Norm dazu.
David Machanek: Knapp 70 % der befragten Unternehmen kennen die Inhalte dieser Norm nicht. Das ist sehr bedenklich, da es sich um jene Normenreihe handelt, die die „Industriellen Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“ betreffen und dabei sowohl technische als auch prozessorale Aspekte der industriellen Cybersecurity beschreiben. Je nach Tätigkeitsfeld – Betreiber, OEM, Integrator – verfolgen die Unternehmen verschiedene risikobasierte Ansätze zur Vermeidung und Behandlung von Sicherheitsrisiken bei den entsprechenden Tätigkeiten. Der Stand der Technik hinsichtlich der EN IEC 62443 wird nur von vier Prozent der befragten Unternehmen angewandt.
IoT: OT und IT sind nach wie vor sehr unterschiedliche Welten. Wie bringt man diese beiden zusammen?
David Machanek: In den meisten Fällen noch gar nicht. Das ist die traurige Wahrheit. Wir wollten in der Umfrage auch wissen, wo die Unternehmen die Verantwortlichkeit für den Schutz der OT sehen. Von den 151 Befragten haben nur elf Prozent einen eigenen Verantwortlichen für den OT-Security-Bereich angegeben. Der Großteil der Befragten sieht die Verantwortlichkeit in der IT- Abteilung. Die Praxis zeigt allerdings, dass man dort keine bzw. nur wenig Verantwortung für die OT-Security übernimmt. Nicht aus einem Unwillen heraus, sondern vielmehr weil die Vulnerabilität nicht bewusst ist. Das mag auch an der historischen Entwicklung liegen, da der OT-Bereich seit jeher die Domäne der Automatisierer ist.
IoT: Predictive Maintenance gehört in gewisser Weise zum Thema Sicherheit dazu. Wie sehen die Lösungen von Pilz aus?
David Machanek: Predictive Maintenance haben wir mit dem Revolution Pi umgesetzt. Eingesetzt als IIoT-Gateway sendet es Daten aus Maschinen und Anlagen. Und je nach Einsatz von Sensorik kann man mehr oder weniger alles aus einer Maschine herauslesen, was man möchte. Aber natürlich helfen wir auch sehr gerne bei der Interpretation der Daten. Um diesen Weg gemeinsam mit dem Kunden gehen zu können hinterfragen wir genau, welche der Daten für den Kunden wirklich relevant sind und wie diese zu interpretieren sind. Wenn es uns gelingt, dem Kunden eine noch bessere Lösung anzubieten bzw. mit ihm gemeinsam zu entwickeln, als er es sich vorgestellt hat, dann haben wir gewonnen.
IoT: Industrie 4.0, IoT – wo liegen ihrer Meinung die Unterschiede zwischen diesen Begriffen?
David Machanek: Aus meiner Sicht ist es wichtig zu verstehen, dass der Grundgedanke hinter IoT bedeutet, Elemente über das Internet miteinander kommunizieren zu lassen. Industrie 4.0 ist auch ein schönes Schlagwort und kein Kochrezept. Und es bedeutet für jeden etwas anderes. Wir wollen mit unseren Kunden gemeinsam an seiner idealen Lösung für Industrie 4.0 arbeiten.
