Sind denn große Konzerne aufgrund ihres größeren Knowhow-Pools hier eher besser aufgestellt als z. B. KMU?
Nur weil ein Unternehmen groß ist, werden die Herausforderungen nicht einfacher. Auch die Hürden skalieren entsprechend. Bayer z. B. hat sicherlich mehr Ressourcen, um Security ganzheitlich anzugehen als ein KMU, allerdings fällt es uns naturgemäß aufgrund der Größe des Unternehmens schwerer, Prozesse dann auch wirklich zu verändern und sicherer zu gestalten. Das geht in kleineren Unternehmen deutlich schneller und einfacher. Im Gegensatz dazu fällt es KMU eher schwer, genug Fachwissen vorzuhalten, um Security strukturiert angehen zu können. Diese Wissenslücken können externe Security-Firmen sehr gut schließen und die Entwicklung beschleunigen. Trotzdem kann man sich Security nicht einfach kaufen, es braucht eine etablierte Kultur im Unternehmen, wie mit dem Thema umgegangen wird.
Der berühmt-berüchtigte Faktor Mensch als größtes Security-Risiko.
Es klingt inzwischen abgedroschen aber trifft immer noch zu. Es dauert einfach, bis sich eine über Jahre entwickelte Kultur und Prozesse nachhaltig ändern. Sprich, bis Türen wirklich immer abgeschlossen werden oder Passwörter nicht mehr auf Klebezetteln irgendwo herumhängen, um mal ganz banale Beispiele zu nennen.
Wie geht Bayer hier vor, um die Mitarbeitenden für das Thema zu sensibilisieren?
Nach umfassenden globalen Analysen haben wir uns 2016 entschieden, ein einheitliches globales Security-Programm auszurollen, dass unabhängig von den einzelnen Divisionen ist. In diesem Programm ist neben technischen Aspekten wie etwa der Netzwerksegmentierung oder der Firewall-Implementierung das Change Management als zentrale Säule definiert. Dazu gehören auch klassische Online-Schulungen und Trainings, die strukturiert Zugang zu Security-Themen bieten. Viel wichtiger für die Sensibilisierung ist aber etwas anderes.
Was denn genau?
Security lebt vom Austausch der Mitarbeitenden. Bei Bayer legen wir viel Wert auf unsere globale Community. Die dazugehörigen Kommunikationskanäle nutzen einerseits wir Security-Verantwortlichen, um Änderungen anzukündigen oder bestimmte Vorgehensweisen zu erklären, aber auch um Schulungen anzubieten, wenn zu einem Thema besonders viele Rückfragen kommen. In diesen Schulungs-Sessions stehen unsere Fachleute dann dem Anlagenpersonal zur Verfügung und können im direkten Austausch Antworten geben.
Wie werden diese Formate von der Belegschaft angenommen?
Aus unserer Sicht sehr gut, wir bemerken einen sehr regen Austausch in den Communities, wo die Mitarbeitenden nicht nur nachfragen, sondern sich auch untereinander aus tauschen, Best Practices teilen und auch uns Anregungen zurückspielen. Neben diesen globalen Chaträumen haben wir, um auf regionale Unterschiede z. B. in der Gesetzgebung reagieren zu können, auch lokale Chaträume aufgebaut, wo eben dann auch in der Muttersprache kommuniziert werden kann. Viele dieser kleineren Communities sind auch tatsächlich aus den jeweiligen Standorten heraus selbst entstanden.
Wer trifft sich denn in diesen Chats?
Tatsächlich würde ich schätzen, dass rund 80 % der Automatisierungstechnik angehören. Hinzu kommen auch andere Kolleginnen und Kollegen z. B. aus der Logistik oder anderen Bereichen, die ohnehin viel mit der Digitalisierung zu tun haben und jetzt auch Security-Expertise aufbauen wollen. Und genau an dieser Stelle müssen wir noch sehr viel mehr Know-how vermitteln. Denn in der Regel hat kein IT-Security-Profi das notwendige OT-Wissen, um zu verstehen, warum er das System nicht einfach patchen und neu starten kann. Auf der anderen Seite fehlt den OT-Fachleuten das notwendige IT-Domänenwissen. Hier müssen IT und OT nicht nur auf dem Shopfloor, sondern auch in der Ausbildung der Nachwuchskräfte und der bestehenden Belegschaft noch besser verschmelzen. Denn für uns als Querschnittsfunktion in einem globalen Unternehmen sind wir auf lokale Security Experts angewiesen, weil sie uns einen offenen Austausch über den Security-Zustand ermöglichen und uns genau sagen können, an welchen Stellen sie nicht weiterkommen oder noch nachgebessert werden muss.
Am Ende braucht es auch in der Security jemanden, der sie vor Ort umsetzt.
Ja, auch weil keiner in den jeweiligen Standorten möchte, dass jemand remote und ohne den Anlagenzustand zu kennen einfach mal einen Patch aufspielt. Es braucht zwingend Ansprechpartnerinnen und Ansprechpartner, die vor Ort sind und uns lokal dabei helfen, Security voranzutreiben. Wir als globale Einheit bieten Trainings an und organisieren die Weiterbildung sowie technische Lösungen, um Synergien zu erziehlen. Bezogen auf diese Trainings ist es außerdem nicht ratsam, einheitliche Schulungen für alle anzubieten. Das ist nicht zielführend. Eine Mitarbeiterin in der Messwarte braucht ein Training, dass ihr zeigt, wo sie sich melden muss, wenn ihr etwas auffällt. Ein Administrator hingegen muss wissen, dass „1234“ kein wirklich gutes Passwort ist, überspitzt formuliert. Security muss immer anwendergetrieben sein!
Wie passt dieser Ansatz mit dem Status Quo der Anlagen zusammen? Gerade in der Prozessindustrie haben wir es ja mit sehr viel Brownfield und den damit einhergehenden Problemen zu tun.
Ja, wobei wir auch hier differenzieren müssen. Längst nicht alle Assets in der Chemie- und Pharmaindustrie sind wirklich 40 Jahre und mehr im Einsatz. Das trifft vielleicht auf Behälter und Reaktoren zu, aber nicht auf die elektrotechnischen Bauteile und Komponenten.
Aber auch eine 15 Jahre alte SPS ist doch ein großes Risiko, oder?
Absolut, auch eine so alte Steuerung wird nicht über die heute notwendigen Sicherheitsfunktionen verfügen oder die Möglichkeit bieten, sie einfach entsprechend zu patchen. Dieses Problem werden wir auch in absehbarer Zeit nicht lösen können und müssen uns hier auf andere Maßnahmen wie z. B. die Netzwerksegmentierung verlassen. Das sind aber auch keine Projekte, die von heute auf Morgen einfach durchzuführen sind. Je nach Größenordnung kann so etwas schon inklusive Planung und Implementierung ein Jahr dauern.
Zeit, die man heute nicht unbedingt hat, oder?
Nein, aber als Alternative bleibt sonst nur der Austausch der veralteten Komponenten. Und auch dann ist ein ausgeklügeltes Security-Konzept notwendig. Letztendlich bergen Komponenten immer ein gewisses Risiko. Je älter diese Geräte sind, desto höher der Risiko-Score. Trotzdem sind sie ja im Idealfall durch mehrere das Risiko reduzierende Maßnahmen geschützt, wie z. B. Firewalls, segmentierte Netzwerke und Intrusion-Detection-Systeme. Hinzu kommt, dass gerade in der Prozessindustrie viele Komponenten physisch gar nicht erreichbar sind, weil sie z. B. eingeschlossen sind, sodass dieses Risiko fast ausgeschlossen werden kann. Wichtig ist in diesem Zusammenhang aber auch, dass wir nicht nur an die unmittelbar in die Produktion involvierten Systeme denken, sondern auch z. B. an die Aufzugs- oder Gebäudetechnik.
Warum?
Weil sowohl in Aufzügen als auch in Lüftungsanlagen inzwischen Steuerungen verbaut sind, die im Zweifel nicht gepatcht sind. Und wenn so ein Lastenaufzug oder eine Lüftungsanlage, die den Luftaustausch sicherstellt, mal nicht funktionieren, wird es sehr schwierig, die Fertigung aufrechtzuerhalten. Denn hier sind unter Umständen auch Sicherheitsanforderungen aus der funktionalen Sicherheit zu berücksichtigen, wie z. B. der Explosionsschutz, oder aber es ist schlicht unmöglich, die benötigten Produkte an die vorgesehenen Orte zu transportieren. Diese Randbedingungen sind am Ende des Tages genauso wichtig wie die direkten Produktionsanlagen, werden aber leider oft vergessen. Sie sind schlicht zu weit weg von der täglichen Arbeit.
Zeitlich weit weg waren für lange Zeit auch Security-Regularien wie beispielsweise die NIS-2-Richtlinie, deren nationale Umsetzung jetzt im Oktober 2024 ansteht oder der Cyber Resilience Act, der noch dieses Jahr beschlossen werden soll. Was kommt da auf die Prozessindustrie zu?
Neben den genannten Richtlinien gibt es auch noch andere Regularien, wie etwa KAS51 oder das IT-Sicherheitsgesetz 2.0 (KRITIS), die erfüllt werden müssen. Hinzu kommen bei global agierenden Unternehmen auch noch Anforderungen aus anderen Ländern. Die größte Herausforderung aktuell ist es daher aus meiner Sicht, den Überblick über diese Flut von Regularien zu behalten und mit kühlem Kopf Strategien zu entwickeln, wie die notwendigen Anforderungen am besten erfüllt werden können. Dabei wird es nicht einen universellen Plan geben, der dann einfach standortübergreifend ausgerollt werden kann. So würden wir enorm viel Ressourcen verschwenden. Security muss anwenderfreundlich sein und dem Business helfen. Wir schauen uns also tatsächlich jeden einzelnen Standort an und versuchen herauszufinden, wo er steht und wie wir ihn am effizientesten auf das richtige Security-Level bringen können, so dass wir mit den neuen rechtlichen Anforderungen compliant sind, aber eben auch das Business sicherstellen.
Schauen wir nochmal genauer auf die NIS-2-Richtlinie, weil deren Umsetzung ab Mitte Oktober gesetzlich festgelegt wird. Wo sehen Sie hier die drängendsten Baustellen?
Aus meiner Sicht ist das kein technischer Aspekt, sondern eher der Austausch mit den Behörden. Denn hier geht es um Gesetze, deren Auslegung unterschiedlich interpretiert werden kann. Wenn in den Anforderungen steht, dass man über Angriffserkennungsmaßnahmen verfügen muss, kann damit ein aufwendiges und teures Intrusion Detection System gemeint sein oder ein einfaches Antivirenprogramm. Dieser Interpretationsspielraum muss im engen Austausch mit den Behörden abgesteckt, dem notwendigen Business-Risiko harmonisiert sowie in einem individuellen Plan verankert werden. Genauso wichtig ist es, dass sich die zuständigen Behörden aber auch Hersteller genauso wie Anwender untereinander austauschen und Erfahrungen weitergeben. Anderenfalls droht jede Umsetzungsstrategie der NIS-2-Richtlinie zur Einzelfallbetrachtung zu werden. Wir brauchen hier auf beiden Seiten des Tisches einen harmonisierten Ansatz und dürfen nicht jedes Mal das Rad neu erfinden.
Droht diese Art der Doppelarbeit nicht auch einfach aufgrund der ganzen verschiedenen Regularien, die es jetzt umzusetzen gilt?
In gewisser Weise schon, die entscheidende Frage ist allerdings, ob diese Doppelarbeit dann immer negativ ist. Wir haben uns beispielsweise in den letzten Jahren stark mit dem IT-Sicherheitsgesetz 2.0 auseinandergesetzt, das nur in Deutschland gilt. Jetzt kommt mit NIS2 eine EU-weite Regulierung dazu und es gilt zu prüfen, ob die Anforderungen nicht teilweise schon erfüllt worden sind. Dieses nochmalige Durcharbeiten und vielleicht teilweise adjustieren ist für mich positive Doppelarbeit, denn auch die Bedrohungslage ändert sich kontinuierlich. Schlimmer wäre es, wenn z. B. die deutsche Regulatorik viel weiter gehen würde als die der EU und so wieder neuer Interpretationsspielraum entstehen würde. Das könnte auch dazu führen, dass rechtlich ein so hohes Security-Level gefordert wird, das eine wirtschafliche Produktion unmöglich wird.
Technische Herausforderungen sehen Sie in Bezug auf NIS2 aber eher nicht?
Zumindest keine neuen. Natürlich kann es aufgrund der relativ alten Assets in der Prozessindustrie problematisch sein, wenn ein regelmäßiges Patchen oder Life Cycle Management gefordert wird und das entweder technisch nicht möglich ist oder einfach für diese Gerätegeneration keine Aktualisierungen mehr angeboten werden. Aber auch wenn es neue Herausforderungen geben sollte, haben wir aus der Vergangenheit gelernt und werden auch hier wieder neue Lösungswege finden.
Die dann auch immer stärker KI einbinden?
Sicherlich wird KI auch in der Security zum Einsatz kommen, weil sie auch in unserer Domäne natürlich viel mehr Informationen verarbeiten und Muster erkennen kann als wir Menschen. Ich sehe hier vor allem bei der Netzwerkanalyse und der Schadsoftwareerkennung Vorteile. Aber diese Vorteile bietet KI auch ebenfalls für Angreifer, die mit Hilfe Künstlicher Intelligenz Schwachstellen im System vielleicht in Zukunft einfacher finden können. KI ist für uns daher ein zweischneidiges Schwert.
