Endlich. Der Starttermin für den neuen James Bond-Film steht offiziell fest. Jetzt werden wir dann bald erfahren, was 007 dieses Mal wieder für neue Gadgets hat, um die Welt vor den bösen Mächten zu retten. Ja - es gab schon einige Dinge, um die er zu beneiden war. Zum Beispiel vor vielen Jahren, als er wichtige Nachrichten direkt auf seiner Uhr am Handgelenk lesen konnte oder, als er ein Auto fahren durfte, das nicht nur in der Lage war Raketen abzufeuern, um Verfolgern zu entkommen, sondern das sich auch bei Bedarf in ein U-Boot verwandelte, mitsamt Periskop.
Obwohl, einiges davon gibt es ja heute tatsächlich, weil die Idee wirklich überzeugend praktisch war – auch für Menschen, die nicht im Auftrag Ihrer Majestät unterwegs sind. Manches andere wäre aber vielleicht dann doch etwas übertrieben, weil bestimmte Features gar nicht so oft oder vielleicht auch nie – wann besteht schon mal die Notwendigkeit spontan mit dem Auto abtauchen zu müssen – zum Einsatz kommen müssten.
Doch wie lässt sich allgemein beurteilen, was de facto nutzbringend ist und was nicht? In Puncto IT-Sicherheit beziehungsweise Cyber-Sicherheit gestaltet sich dies definitiv nicht immer einfach – für viele Unternehmen, insbesondere im produzierenden Bereich, scheint dies oftmals eher eine Gratwanderung zwischen ‚Restrisiko nicht ausreichend gemindert‘ und ‚zu teuer erkauft‘ zu sein.
Um hier Abhilfe zu schaffen, also für eine universale Verbesserung der IT-Sicherheit zu sorgen, wurde mit dem am 25.07.2015 in Kraft getretenen IT-Sicherheitsgesetz (ITSiG) ein Standard festgelegt, der auch in der – seit dem 18.05.2018 gültigen – Datenschutz-Grundverordnung (DSGVO) aufgenommen ist: „Stand der Technik“.
Cybersecurity: Was bedeutet überhaupt "Stand der Technik"?
Hört sich gut und sinnvoll an – doch was steckt dahinter und warum müssen wir darüber sprechen? Erst einmal vorweg: Der Technologiestand „Stand der Technik“ (SdT) steht in Abgrenzung zu „allgemein anerkannte Regeln der Technik“ (aaRT) und „Stand der Wissenschaft und Forschung“ (SdWF) und kann im Prinzip als Phase der Transition zwischen den beiden definiert werden. Am besten bekannt sind gewiss die „allgemein anerkannten Regeln der Technik“ – ein Standard, der von den meisten Fachleuten als adäquat eingestuft wird, sich zudem bewährt hat und von daher etabliert ist.
Doch es gibt ein Manko dabei: Dieser Grundsatz erlaubt vieles, was eigentlich der technischen Entwicklung bereits hinterherhinkt – von daher also keinesfalls generell ausreichend ist, um gegen die zunehmend professionellen Angreifer ein angemessenes Schutzniveau zu bieten. Pauschal gesagt lassen sich dadurch am ehesten Angreifer ausschalten, die ‚aus Versehen‘ erfolgreich sein könnten.
Technologie gemäß dem „Stand der Wissenschaft und Forschung“ hingegen ist vor der Marktreife nicht flächendeckend einsatzfähig. Entsprechend wären die entwickelten technischen Maßnahmen in diesem Stadium bevorzugt zur Abwehr gegen gezielt feindliche Angriffe, etwa von Staaten geeignet – also eher dienlich für einen Auftrag, der eigentlich in den Zuständigkeitsbereich von James Bond fallen würde. Denn grundsätzlich ist deren Bewährung in der Praxis zu niedrig, so dass der Einsatz dieser Ressourcen anfangs in keinem Verhältnis zum Ergebnis stehen.
Warum man zwischen OT und IT unterscheiden muss
Aber jetzt zurück zu der Frage, warum wir darüber sprechen müssen. Meines Erachtens aus einem einfachen Grund: Mit zunehmender Digitalisierung werden die Angriffe ausgefeilter und gravierender – wie sich ja in den letzten Monaten vermehrt gezeigt hat. Eine Erklärung dafür ist sicher auch, dass Unternehmen den „Stand der Technik“ noch nicht umfassend realisiert haben. Im Umkehrschluss bedeutet das: Dieser Technologiestand - teilweise auch als ‚die beste verfügbare Technik‘ bezeichnet – ermöglicht es Unternehmen sich gegen kriminelle Öko-Systeme, die mit professionellen Methoden angreifen, besser zur Wehr setzen zu können.
Ja – das klingt in der Theorie erst einmal sehr gut. Doch abgesehen davon, dass die Gesetzgebung keinerlei konkrete Anforderungen oder Bewertungskriterien für den „Stand der Technik“ mitliefert, möchte ich noch auf einen weiteren Knackpunkt hinweisen und dieser tangiert alle Mitarbeiter, die für die Sicherheit der Produktionsnetzwerke verantwortlich sind. Denn diese stehen vor der Herausforderung, dass in der OT vollkommen andere Bedingungen maßgeblich sind als in der IT. Das resultiert zu einem Gutteil aus dem unterschiedlichen Lebenszyklus der eingesetzten Systeme – während sich die IT in zunehmend kürzeren Zyklen wandelt und Sicherheitsmaßnahmen dynamisch angepasst werden können, ist die Mechanik im Produktionsbereich für eine Dauer von fünf bis zu 20 Jahre ausgelegt. Somit ist der Anlagenbestand unterschiedlich veraltet, wodurch sowohl die Möglichkeiten begrenzt als auch der Aufwand zur Absicherung ungleich komplexer sind.
Aber auch relevante Kriterien wie Verfügbarkeit und Latenz spielen im Büro keine so entscheidende Rolle. In der Produktion schon. Von daher ist es nachvollziehbar, dass bestimmte Maßnahmen wie das regelmäßige Einspielen von Software-Updates oder das Implementieren eines Virenscanners – also alles was zwangsläufig einen Stillstand erzwingt oder zu einer Ausfallzeit führen könnte – nicht konsequent umgesetzt werden. Einfach aus dem Grund, dass dies die Verfügbarkeit – die ja 24x7x365 sein muss – tangiert. Eine Pattsituation? Nein.
Wie sich der „Stand der Technik“ umsetzen lässt
Es muss – und kann meiner Meinung nach definitiv auch – keinesfalls so sein, dass der Schutz der OT-Netzwerke nicht dem „Stand der Technik“ entspricht. Denn dann werden diese auch weiterhin vermehrt in den Fokus der Angreifer geraten, mit allen negativen Konsequenzen – etwa in Bezug auf die Verfügbarkeit.
Um hier eine Hilfestellung bei der Umsetzung zu bieten, wurde vom ‚Bundesverband IT-Sicherheit e.V. TeleTrusT‘ eine Handreichung erarbeitet, in der die relevanten Systeme, Komponenten und Prozesse im Sinne des IT-Sicherheitsgesetzes zusammengefasst sind. Des Weiteren erhalten Sie hierin unter anderem konkrete Hinweise dahingehend, wie die erforderlichen Maßnahmen zum „Stand der Technik“ – auch unter Berücksichtigung der speziellen Gegebenheiten in Produktion und Fertigung – umgesetzt werden können.
Mehr dazu, was in diesem Kontext momentan für produzierende Unternehmen relevant ist und warum Sie Vertrauen aufbauen können, dass diese Maßnahmen bestmöglich geeignet sind, erfahren Sie in meiner nächsten Kolumne.
Über den Autor
Siegfried Müller ist geschäftsführender Gesellschafter der MB connect line GmbH. In seinen ersten Berufsjahren als Steuerungstechniker für den Maschinenbau hat er den Nutzen von Fernwartung erkannt. Im Alter von 25 Jahren gründete er MB connect line. Unter seiner Leitung entwickelte sich das Unternehmen zum Technologieführer in den Bereichen Fernwartung, Datenerfassung und Industrial Security.
Seit über 20 Jahren treibt Siegfried Müller mit viel Engagement und Leidenschaft die Entwicklung neuer Produkte und Lösungen für die sichere industrielle Kommunikation über Internet voran. Als Stratege und Experte zur Cybersicherheit im industriellen Umfeld bringt er sein Wissen auch in nationalen und internationalen Arbeitskreisen ein – beispielsweise beim Cluster Mechatronik & Automation Bayern e.V., beim TeleTrusT – Bundesverband IT-Sicherheit e.V. und in der European Cyber Security Organisation (ECSO). Die wichtigen wirtschaftlichen Themen adressiert er als Senator im internationalen Wirtschaftssenat (IWS).