IT-Sicherheit für die Industrie 4.0

Sven Weizenegger: Hallo und herzlich willkommen zum Hackers Podcast von Digital Kompakt. Mein Name ist Sven Weizenegger und heute sprechen wir über die Sicherheit von Industrie 4.0. Mein Gast heute ist Max Weidele und wir sprechen über die Probleme und Herausforderungen, die entstehen bei der Verschmelzung von IT und Industrie und auch über die Brisanz, die unsere Systeme für unser Leib und Leben bedeuten können. Vielen Dank, dass du mit dabei bist beim Hackers Podcast. Stell dich doch mal kurz vor, was du in der Vergangenheit gemacht hast und was du aktuell eigentlich.

Max Weidele: Hallo Sven, mein Name ist Max Weidele und ich bin Gründer und Geschäftsführer der BlueSap GmbH, einer Industrial Security Beratung. Was ich aber viel eher mache, ist eigentlich, ich bin der Mitinitiator oder der Initiator der freien Wissensplattform sichereindustrie.de, wo wir letztendlich das Know-how zum Thema Industrial Security aufbereiten, sodass es halt auch leicht verständlich ist für diejenigen, die sich da draußen mit Industrie 4.0 jetzt zwangsläufig beschäftigen müssen. Vielen Dank.

Sven Weizenegger: Industrial Security klingt erstmal nach großen, großen Maschinen. Und da sind wir in Deutschland gewohnt, große Maschinen zu entwickeln. Da sind wir ja auch Weltmarktführer in einigen Bereichen. Erklär uns doch mal, was das eigentlich genau bedeutet. Ich selbst komme ja aus der IT-Welt, eher mit Software zu tun. Und ich glaube, die meisten, die gerade zuhören, können mit der Begrifflichkeit vielleicht schwer etwas anfangen und können sich vielleicht schwer vorstellen, was hat das eigentlich mit Cyber und was hat das mit IT zu tun?

Max Weidele: Im Prinzip, wenn ich mir so ein Unternehmen angucke, ein klassisches Produktionsunternehmen, nehmen wir mal einen großen Lebensmittelversorger, dann haben wir dort eigentlich immer zwei Welten. Wir haben eine IT-Welt, das ist die Welt, in der wir ja regelmäßig unterwegs sind, die eigentlich auch jeder kennt von seinem Arbeitsplatz her. Man weiß, wie ein E-Mail-Programm funktioniert. Man hat ein SAP, was man nutzt. Man hat verschiedene andere Dateifreigaben, die man verwendet. Das ist alles, sage ich mal, bekannt. Das ist so die normale IT-Welt. Und jetzt hat aber dieses Produktionsunternehmen eigentlich so eine Schattenwelt. Das heißt dort, wo die Produktionsanlagen stehen, wo die großen Fertigungsstraßen laufen und Jetzt war es in der Vergangenheit so, dass dort sehr, sehr wenig IT eigentlich zum Einsatz kam. Jetzt ist aber mittlerweile in diesem Automatisierungsbereich, also in diesen Produktionsnetzen, gibt es mittlerweile fast nur noch IT. Die Komponenten sind mittlerweile über Netzwerk miteinander verbunden. Es gibt zentrale Steuerungskomponenten, es gibt WLAN für den Industrietechniker, das er nutzen möchte. Das heißt, auch das Wartungspersonal, was mit diesen Anlagen kommuniziert, nutzt immer mehr Standard-IT-Komponenten, die aus der anderen Welt, aus der bekannten Welt stammen. Und genau da ergibt sich die Hauptproblematik schon, denn wir haben zum Beispiel im Bahnbereich, wenn wir dort Anlagen einkaufen, sei es für Gleise oder ähnliches, dann haben wir Laufzeiten von 30 Jahren. Und auch eine Maschine, die von einem Industrieunternehmen gekauft wird, die werden auf 20 bis 30 Jahre teilweise gekauft. Und der Witz an der Geschichte ist, diese Anlagen werden in der Zwischenzeit üblicherweise nicht angefasst. Das heißt, da wird auch ein bisschen, sage ich mal, auf Verschleiß produziert. Das heißt, eine Anlage läuft und läuft und läuft und jetzt geht was kaputt. Und in dem Moment werde ich diese Anlage halt warten. Und genau dort kann man ganz gut aussehen. Was jetzt kommt, sind so Themen wie Predictive Maintenance, also Wartungszyklen vorhersagen. was ganz Neues, Modernes eigentlich heutzutage. Und jetzt fange ich eigentlich an, meine alte Bestandsanlage, die ich ja noch habe, weil die muss ja noch 15 Jahre laufen, mit, sag ich mal, Predictive Maintenance Methodik zu versorgen, also mit einer ganz neuen Art, sich mit diesem Thema zu beschäftigen. und in dieser Kombination habe ich damit automatisch eine Vermischung von sehr alt mit sehr neu. Und genau dieses sehr alt mit sehr neu sorgt jetzt dafür, dass ich vielleicht eine alte Anlage habe, die läuft noch mit Windows XP, wenn man Glück hat. Alles das, was wir im IT-Bereich schon lange, lange, lange losgeworden sind. Und jetzt fange ich an, diese Anlage, weil sie halt mit dieser Predictive Maintenance-Lösung zusammenarbeiten muss, ins Internet zu bringen. Und in dem Moment habe ich mir eigentlich alles das wieder an Bord geholt, was ich in der normalen IT-Welt losgeworden bin, durch Virenschutz, durch Patch-Zyklen, automatische Updates und ähnliches. Das gibt es dort in dieser Produktionswelt so nicht. Ich kann eine Anlage nicht einfach herunterfahren, um sie zu patchen. Verfügbarkeit ist da eines der wichtigsten Güter. Und das ist eigentlich Industrial Security. Also im Prinzip diesen Altbestand an vielen Ecken abzusichern sichern und das Alte mit dem ganz Neuen jetzt sicher zu kombinieren, aber auch den Einkauf von neuen Anlagen zu verbessern.

Sven Weizenegger: Könnte man sagen, dass die alte Welt mit ihren relativ langen Zyklen in einer gewissen Art und Weise überrollt wurde, ohne das zu bemerken? Oder war das eher so ein schleichender Prozess? Ich frage aus folgendem Hintergrund, braucht man dafür ein bestimmtes Mindset und Personal, um da irgendwie Schritt halten zu können?

Max Weidele: Also wenn man sich das so historisch anguckt, ich sage mal ganz gerne, vor 20 Jahren hat ein Mitarbeiter aus der Produktion einen Switch bekommen, also ein Netzwerkgerät, mit dem er seine Anlagen verkabeln konnte. Und jetzt, 20 Jahre später, hat er davon 200. Und wir haben einen ganz schleichenden Prozess eigentlich dort durchgemacht, der auch ganz oftmals der Geschäftsführung und Ähnlichem gar nicht klar ist, dass es dort diese riesige IT-Landschaft mittlerweile gibt, weil die taucht doch in der normalen IT-Welt nicht auf. Wir haben dort einen Elektriker, der beispielsweise Netzwerk-Admin gleichzeitig Und einfach als Standardadministrator dort durch die Werke unterwegs ist und Switche konfiguriert. Das hat er sich so Learning by Doing mäßig beigebracht, aber er hat es nie gelernt und auch in seiner Stellenbeschreibung steht das nirgends wo drin, diese Position, diese Rolle. Ich sage mal, wenn man da in Richtung Mindset denkt, ich glaube, grundsätzlich sollte man erst einmal über diesen Zaun rübergucken, um sich mal anzusehen, was ist denn da eigentlich in der Zeit gewachsen? Und auch für mich als Geschäftsführer dann in dem Sinne, muss ich mal genau auch hinterfragen, wie kam es dazu und welche Rollen haben wir vielleicht in dieser Welt sogar schon, haben sie aber nie betitelt? Ich glaube, das ist eigentlich so das Wichtigste, überhaupt mal wahrzunehmen, dass es diese Welt gibt und die bei einem großen Produktionsunternehmen ganz gerne sogar viel, viel größer ist als die normale IT-Welt. Beispielsweise, ich habe ein Unternehmen mit 10.000 Mitarbeitern. Davon arbeiten vielleicht 1.000 Mitarbeiter in der Verwaltung und 9.000 arbeiten in der Fertigung. Und dann weiß man schon genau, in welchen größten Dimensionen sich das auf einmal abspielt. Wenn alle meine 30 Werke weltweit mittlerweile abspielen, Also es

Sven Weizenegger: heißt ja im Umkehrschluss, bevor ich den Wandel überhaupt angehe, von der alten Welt in die neue, muss ich erst einen Schritt zurücktreten und einen gewissen Respekt haben gegenüber der neuen Welt und mich damit auseinandersetzen, was da eigentlich gerade passiert. Kann man das so zusammenfassen?

Max Weidele: Ja, kann man so sagen.

Sven Weizenegger: Jetzt haben wir über Mindset geredet und wenn wir mal den Wandel uns angucken auf technischer Ebene, was sind dann so die größten Baustellen, die du gerade so siehst? Einerseits diese offensichtlichen, die vielleicht direkt wehtun und die man direkt vielleicht beheben kann. Und vor allem aber auch die, die vielleicht, weil du hattest am Anfang gesagt, die Menschen denken in sehr langen Zyklen, so 20, 30 Jahre. Gibt es da Stellschrauben, die man vielleicht jetzt nicht sieht, aber die vielleicht wehtun können irgendwann ein?

Max Weidele: Also bei uns ist es zum Beispiel so, der Kunde oder derjenige, der Unterstützung halt einfach braucht, der möchte mit uns über Industrial Security sprechen, also über den Schutz, über die Absicherung der Produktionsanlagen. Wenn man jetzt dort aber in diese Anlagen kommt, dann redet man, sage ich mal, eigentlich gar nicht über das Thema Security, sondern das, was ich eigentlich machen muss, ist, sage ich mal, eine Professionalisierung. des IT-Betriebs in der Produktion. Also wir sind noch gar nicht an dem Punkt, wo wir über Security und Ähnliches sprechen, sondern wir reden eigentlich nur über eine Professionalisierung des IT-Betriebs. Dazu gehört es überhaupt, erst einmal eine Netzwerkarchitektur zum Beispiel sich bewusst zu überlegen oder Fernwartungszugänge bewusst zu überlegen. Das gibt es schlichtweg alles nicht. Und die Gefahr ist jetzt recht groß, dass wir in der Vergangenheit einfach eine Netzarchitektur, eine Systemlandschaft bekommen haben dort in diesen Produktionsnetzen. Jetzt sehen wir auf einmal dieses shiny Object, schöne neue Welt, Industrie 4.0 und tolle neue Möglichkeiten, wo man jetzt sehr schnell dazu neigt, diese halt auch direkt auf seine Infrastruktur, die man hat, aufzusetzen. Und man ist sich darüber gar nicht im Klaren, dass diese Infrastruktur auf einem Professionalisierungsgrad von vor 15, 20 Jahren halt einfach ist. Und die Gefahr ist sehr, sehr groß, dass ich mir damit zwangsläufig bestimmte Innovationsfähigkeiten in den nächsten Monaten, Jahren einfach nehme, weil alleine diese Basisinfrastruktur ist ziemlich kaputt.

Sven Weizenegger: Also das heißt, es geht mit klassischem Asset Management los. was wir aus Klassen und IT auch kennen. Wir sagen ja auch ganz gerne in der Security-Branche, wer seine Assets nicht kennt, weiß nicht, was er zu beschützen hat. Ist die Sicht auf Assets bestimmt noch eine andere, nehme ich an. Also da sieht man halt große Anlagen, Produktionsanlagen. Das kann man sehen und fühlen. Da kann man auch mal hingehen und das vielleicht auch mal anfassen, überspitzt gesagt. Ist das dann was Neues für dich, auf einmal in Assets zu denken? Und Asset ist dann auch ein Stück Software oder auch ein Prozess oder eine Versionsnummer. Das ist ja auch ein Asset oder ein Teil eines Assets. Wie gehen die damit um? Ist das für die nicht überfordernd?

Max Weidele: Ja, natürlich. Also wenn man zum Beispiel sich diese Professionalisierung des IT-Betriebs dort anguckt, dann reden wir über so Dinge wie Entwurf eines Netzwerkkonzepts, Entwurf eines Asset-Managements. Es nennt sich das Thema OT-Basis-Modell, OT, Operational Technology. Also alle Komponenten, die eigentlich diese Systemlandschaften im Produktionsbereich, im Automatisierungsbereich unterstützen. Das kann ein Server von Siemens beispielsweise sein oder Und so ein OT-Basismodell beinhaltet zum Beispiel auch Definitionen zum Thema Incident Response, wie ich damit umgehe. Also wenn Vorfälle einfach in meinem Unternehmen passieren, in dieser Systemlandschaft, wie ich darauf halt reagiere. Aber genauso, wie meine Automatisierungsnetzarchitektur eigentlich aussehen sollte. Also einfach grundsätzliche IT-Betriebsthemen. Und um auf deine Frage zurückzukommen zum Thema Asset Management, das ist wirklich bei vielen Unternehmen so, dass die per Excel-Liste ihre Listen pflegen. Es gibt dort keine Software. Und wenn ich mir das ganze Thema Industry Security auch so angucke, dann würde ich sagen, die Großkonzerne sind jetzt gerade dabei, die ersten Dinge zu tun und richtig zu tun und auch mit viel Team-Unterstützung da auch was zu tun. Im großen Mittelstand, sage ich mal, da kommt es auch so langsam an, aber im normalen Mittelstand oder beim kleinen Unternehmen keine Chance, dass das derzeitig irgendwie besondere Berücksichtigung findet.

Sven Weizenegger: Du hattest gerade erwähnt, Incident Management, das ist ja so einer meiner Lieblingsthemen. In der klassischen IT sagt man, du musst schnell reagieren, auch wenn man jetzt nicht genau sagt, wie schnell. Das können mal Minuten stattfinden. mal auch tage sein. und jetzt haben wir industrieanlagen. wir als itler würden denken unsere welt ist die wichtigste. wenn man das mal differenziert betrachtet würde ich behaupten wenn dort etwas passiert hat es eine ganz andere brisanz als wenn jetzt markus office ausfällt zum beispiel befallen wird von dem kripto trojaner. wir laufen die prozesse dort ab. also das hat eine ganz andere schnelllebigkeit. auf einmal anscheinend. und gleichzeitig sagst du ja das finde ich interessanten spannungsbogen die haben eigentlich kaum etwas, die sind eigentlich noch gefühlt bei null. Wie passt das zusammen?

Max Weidele: Das ist genau dieser schleichende Prozess, den man halt die letzten 20 Jahre dadurch gemacht hat. Es ist halt einfach dort in dieser Welt was passiert, aber es wurde nie professionell begleitet, aufgebaut. Es ist auch so, dass wenn man ein Automatisierungstechnikstudium in der Vergangenheit gemacht hat oder den klassischen Ingenieur noch, Dann gab es dort keinen Punkt zum Thema Netzwerktechnologien, Aufbau von Netzwerken. Und jetzt haben wir genau diesen Stand, dass wir dort sehr, sehr sensible Systeme haben. Man muss sich ja mal das vergegenwärtigen. Wir haben dort Anlagen, die echtzeitfähig sind. Und echtzeitfähig heißt, wir haben eine bestimmte Zeitspanne, in der sie antworten müssen im Millisekundenbereich. Und wenn sie das nicht tun, dann bekommt die Folgekomponente, das Folgesystem, seine Werte nicht rechtzeitig und steht. Und durch diese Echtzeitfähigkeit, wenn die beeinflusst ist, die zum Beispiel auch beeinflusst werden kann, wenn ein Virenscanner zur falschen Zeit einfach läuft, dann haben wir ganz schnell einen Anlagenstillstand und der kann unter Umständen Millionen kosten. Beispiel, Thema, ein Kunde aus der Lebensmittelindustrie stellt Verpackungsmaterialien her, meistens natürlich aus Kunststoff. In dem Moment, wo die Anlage steht, verkleben sämtliche Rohre und dann kann er die Anlage abreißen. Da ist dann der Ofen aus, wortwörtlich. Und das ist das Thema Brisanz. Und als ein solches Unternehmen stehe ich vielleicht jetzt auch dort und muss mich um das Thema Versicherung bemühen. Jetzt habe ich meinen Versicherer im Haus, was für unangenehme Fragen der mir wohl stellen wird. Und es wird sogar so weit gehen, dass der Versicherer sagt, Moment mal, das Risiko ist zu hoch. Das können wir nicht zahlen, machen wir nicht. Und auf einmal muss der Kunde dann doch wieder selber schauen, wie er so welche Thematiken in den Griff bekommt.

Sven Weizenegger: Also wow, das muss ein bisschen durchschnauben. Das klingt ja eigentlich halt spannend, aber auch andererseits auch beängstigend. Dein Beispiel, was du gerade genannt hast, das kann man sich vielleicht noch vorstellen im Sinne von, naja, dann passiert das halt. Dann gibt es halt keine Packung. Gibt es denn Bereiche, wo du sagen würdest, und vielleicht hast du auch Beispiele ohne Kundinnen, wo es lebensbedrohlich wird? Ich stelle mir das im Gasbereich, in der Chemie vor, im Medizinbereich. Was gibt es dort für konkrete Bedrohungen?

Max Weidele: Zum Beispiel im Hafenbereich Container-Terminals. Ganz klassisch, wo auf einmal das ganze Thema autonomes Fahren ja jetzt kommt oder auch schon da ist an vielen Ecken. Das heißt, da Er fährt einen 40-Fuß-Container auf seinem Lader vollautonom über das gesamte Werksgelände. Das ist schon eine heftige Ansage. Wenn er den Container an der falschen Stelle vielleicht abstellt, dann steht da vielleicht gerade einer. Und da kommen wir auf einen ganz wichtigen Punkt im Bereich der Industrial Security. Wenn man aus der Automatisierungsecke kommt, dann gibt es eigentlich immer zwei Begriffe, mit denen sich der Automatisierer beschäftigt. Das ist das Thema Verfügbarkeit und das Thema Safety. Safety, da geht es darum, die Umwelt zu schützen und vor allem Menschenleben zu schützen. Und das ist auch ganz spannend zu beobachten, wenn ich ein System oder einen Computer, ein Netzwerk einem Automatisierer zeige oder einem ITler. Die gucken immer mit zwei unterschiedlichen Sichtweisen drauf. Der Automatisierer, der guckt sich die Verfügbarkeit an und die Safety. und der ITler sieht auch Netzwerk, der sieht auch Security. Das sieht der normale Automatisierer einfach nicht, weil es historisch bedingt keinen Nutzen hatte. Und dazu kommt halt auch im Deutschen zum Beispiel, wir haben nur das Wort Sicherheit. Und dieses Wort Sicherheit wird auch für alles verwendet, was halt irgendwie Sicherheit bedeutet. Und im Englischen haben wir zum Beispiel Safety und Security. Und wenn der Automatisierer von Sicherheit spricht, meint er immer die Safety. Und der ITler meint immer die Security.

Sven Weizenegger: Kann ich mir das so vorstellen, dass die eigentlich zusammen in einem Raum sitzen müssten und sich einmal über die Grammatik verständigen? Also die Sprache, mit der sie gewisse Begrifflichkeiten definieren? Absolut. Passiert das häufig noch?

Max Weidele: Ja, es passiert wirklich häufig. Und man darf auch nicht vergessen, dass diese beiden Bereiche, die wir am Anfang angesprochen haben, diese IT-Welt und wir nennen sie diese Industriewelt, diese OT-Welt, dass die ja auch historisch bedingt sehr, sehr wenig bis gar nichts miteinander zu tun gehabt haben. Es gab keine Notwendigkeit. Und erst seit einigen Jahren kann man so sagen, da kam das Thema Fernwartung vielleicht auf. Und durch das Thema Fernwartung hat auf einmal die Produktion Internet gebraucht. Und kam auf einmal zu der IT, weil die ja irgendwie wohl das Internet machte im Konzern. Und auf einmal hat die IT gesehen, huch, was wird denn da bitte da drüben getrieben? Und so kam dieses ganze Thema so langsam halt hoch. Und Kommunikation ist ein echtes Thema.

Sven Weizenegger: Das hört sich so ein bisschen an, als würde die IT-Welt, die OT-Welt ein wenig für sich einnehmen oder auffressen, weil der Wandel halt in diese Richtung geht, im Rahmen der Digitalisierung, im Rahmen der kundenzentrischen Ansprüche. der Konsumenten. Ich gebe immer das Beispiel von Like-Tonschuhen. Da bestellt dann jemand einen Like-Tonschuh mit seinem eigenen Schriftzug und dann sendet er direkt in der Maschine. So kann man sich das dann etwa vorstellen heutzutage.

Max Weidele: Du sprichst da was ganz Spannendes an und das ist das Thema Supply Chain, die vernetzte Supply Chain. Das heißt, wie eng eigentlich ich als Unternehmen mit anderen Unternehmen vernetzt. Und im Prinzip sage ich das immer so, ich als Unternehmen für mich fange jetzt an, meine Anlagen untereinander miteinander zu vernetzen, fange dann an, innerhalb meines Unternehmens die Anlagendaten immer weiter nach oben in die IT zu reichen, in das ERP-System zu reichen. Auch ein SAP möchte gerne, sage ich mal, vereinfacht die Motorensteuerung gerne mit übernehmen. Und so habe ich eigentlich meine Daten in meinem gesamten Unternehmen einmal transparent durchgereicht. Und jetzt habe ich aber genau den Kunden, der mir jetzt Daten über einen Online-Shop reinreicht und das landet auch in meinem ERP, dann habe ich vielleicht selber Daten, die ich halt auch wieder rausgeben muss, weil mein Kunde möchte vielleicht auch wissen, wann seine Nike Turnschuhe kommen. Und in dem Moment habe ich auf einmal sogar Faktoren, wo von externen Daten in meine Systeme geschrieben werden, die im schlimmsten Fall bis auf meine Anlage nachher landen könnten. Und das sind, sage ich mal, Herausforderungen. Da kratzen wir an vielen Ecken gerade erst an der Oberfläche.

Sven Weizenegger: Es gibt ja so einen schönen Satz, all users input is evil. Und ich würde mal behaupten, dass die OT-Welt gedacht hat, da gibt es nie Input, wir steuern das. Und auf einmal kommt der Kunde und sagt, anstatt 12 erlaubt ein Zeichen in dem Namen mit dem Nike-Tonschuh oder Adidas oder was auch immer, werden es auf einmal 200. Das heißt, da gibt es anscheinend neue Bedrohungen, aber vielleicht auch Lösungen dafür. Jetzt nehmen wir an, jetzt haben bestimmt einige zu, die aus dem Mittelstand kommen und sich damit auch beschäftigen werden oder müssen. Was können die denn allgemein tun? Du hattest ja schon einiges angerissen, da geht es so viel um Awareness, Wahrnehmung zu reflektieren, was passiert in der IT-Welt. Und was kann man konkret tun? Gibt es da Lösungsansätze, die auf dem Markt schon vorhanden sind? Gibt es da Frameworks, Regularien, Leitplanken setzen? Da bin ich ein großer Freund von. Man muss sich die Welt nicht immer neu erfinden. Das gibt es ja eigentlich immer schon ganz viel.

Max Weidele: Also im Bereich der Industrial Security, das ist durchwachsen mit dem, woran ich mich jetzt einfach stumpf halten könnte. Thema Regularien, wir haben das IT-Sicherheitsgesetz, was faktisch in der Lage ist, kritische Infrastrukturen zu beurteilen und erst einmal zu definieren, ob ein Unternehmen eine kritische kritische Infrastruktur ist, also einen bestimmten Versorgungsgrad, Wichtigkeit für die Bevölkerung hat. Und wenn ich eine kritische Infrastruktur bin, dann muss ich faktisch den Stand der Technik erfüllen. Stand der Technik heißt in diesem Kontext erst einmal, alles zu tun, um möglichst das umzusetzen, auch an Security-Maßnahmen, was halt Stand heute bedeutet. Das ist immer wichtig, Stand heute, nicht Stand Einkauf der Anlage, umgesetzt werden sollte. In diesem Kontext kann man natürlich auch beim BSI gucken, in Richtung des IT-Grundschutzes, die mittlerweile auch den einen oder anderen Industriebaustein haben. Aber die Branche geht eigentlich eher in Richtung IC 62443. Das ist im Prinzip eine Normfamilie. Die hört man oder hat man bisher weniger gehört, bis gar nicht. Im IT-Bereich auch gar nicht bekannt oftmals. Die sich von ihrer Struktur her sowohl an den Betreiber richtet, als auch den Integrator und auch den Hersteller. Und wir haben Stand heute die ersten Hersteller wie eine Siemens oder eine Phoenix Contact, die bestimmte Prozesse bei sich. danach haben auch zertifizieren und auditieren lassen. Wir sind aber immer noch Ein sehr, sehr gutes Stück davon weg, damit auch eine breite Anwendbarkeit vielleicht im Markt zu finden. Also ganz hands-on vielleicht, was man machen kann. Mittlerweile haben eigentlich, ich glaube, fast alle Branchenverbände das eine oder andere Paper dazu auch rausgelassen. Thema Industrial Security, der VDMA hat da zum Beispiel etwas. Da sollte man mal reingucken und das ist auch eigentlich ein ganz guter Einstieg. Der Witz an der ganzen Geschichte mit diesen Regularien und diesen Standards vielleicht auch ist, wir wurden damals vor anderthalb, zwei Jahren immer von unseren Kunden gefragt, ob wir nicht White Paper hätten oder sowas oder irgendwas, was helfen könnte und zwar praxisorientiert helfen könnte. Und es gab schlichtweg nichts. Natürlich kann ich jemanden eine ISO 27001 geben mit irgendwie 30 Seiten sehr losen Formulierungen oder einen BSI IT Grundschutz mit ein paar hundert Seiten. Aber in diesem Bereich Industrial Security war das gar nicht so einfach, da, sage ich mal, wirklich nutzbare Sachen zu finden. sodass wir angefangen haben, das eine oder andere White Paper zu produzieren. Und das führte ganz schnell dazu, dass wir gesagt haben, White Paper sind auch nicht besonders nachhaltig. Und wir haben angefangen, vieles von unserem Wissen einfach in diese freie Plattform zu packen, also in diese sichere-industrie.de. Das haben wir das erste Jahr lang alleine gemacht. Und dann haben wir angefangen, alle einzuladen, die wir eigentlich kennen, dort auch zu veröffentlichen und dort auch ihr Know-how so ein bisschen breiter, einfacher, anwendbar zu publizieren. Und das ist eigentlich, glaube ich, eine ganz gute Ecke. Also in die Richtung Branchenverbände gucken, natürlich bei uns auch auf die Plattform gucken. Ich glaube, das sind so die ersten Schritte, die ich jetzt da empfehlen würde.

Sven Weizenegger: Gibt es denn Lösungsanbieter auf dem Markt oder Produktanbieter? Wenn ich jetzt an die IT-Welt denke und an Artivierenlösungen, kann ich ja heutzutage schon in den Medienmarkt gehen und kriege einen ganz guten Schutz für den Privatanwender. Das Thema, was du ja machst, ist ja wesentlich komplexer und auch wesentlich neuer. Und von der Art und Weise, wie kritisch die Systeme sind, natürlich auch mal ganz anders aufgestellt. Gibt es da, Produkte, die man so kaufen kann und dann habe ich ein Oder ist das alles so customised? Stell dir mal so Anlagen vor, die sind ja sehr dediziert entwickelt worden für den jeweiligen Bedarf zu den jeweiligen Kunden. Oder gibt es dort Standardsoftware, die man kaufen kann?

Max Weidele: Also wenn man sich jetzt den Punkt Security nimmt, weniger. Es ist wirklich so, dass, nehmen wir mal das Thema Antivirenschutz, ich habe vielleicht eine Siemens-Anlage, dann hat auch eine Siemens dazu mittlerweile Anwendungshilfen und Standards rausgebracht, wie man Antivirenschutz auf dieser Art von Siemens-Anlage benötigt. Man kann sagen, dass es die Schutzmaßnahmen, weil ja auch in der IT bekannt, alle gibt. Sie sind nur nicht eins zu eins anwendbar. Als Beispiel im IT-Bereich bin ich es gewohnt, bei einem Penetration-Test einfach Systeme auf Schwachstellen zu scannen aktiv. Wenn ich das im Produktionsnetz tue, dann muss ich damit rechnen, dass mir meine Komponenten einfach wegsterben. Und genauso ist es dann auch beim Einsatz von Antivirenlösungen. Das heißt, man muss es sehr mit Bedacht wählen. Und ich würde sagen, es passiert täglich, dass eine IT-Abteilung, weil sie sagt, hey, das ist doch eh, wie wir das alles kennen, die eine oder andere Produktionslinie lahmlegt.

Sven Weizenegger: Ist das vielleicht nicht eher das Ziel oder nicht das Ziel Sichere IT per se zu schaffen, sondern resiliente IT-Umgebung zu schaffen. Und wie schafft man das? Wir sagen ja, es wird ja so oder so passieren. Und dann andererseits sagen wir auch, wie gerade gehört, man kann gar nicht alles machen aus bestimmten Gegebenheiten, wie zum Beispiel Penetration Testing, weil ich damit die Produktionsanlagen vielleicht störe und die Prozesse. Ist da Resilienz vielleicht nicht der Schlüssel zum Erfolg?

Max Weidele: Ja, also das ist ja auch das Schlagwort so dieses Jahres, letzten Jahres, was in der regulären IT-Sicherheit da unterwegs ist. Dazu muss man aber noch sagen, in der Produktionslandschaft sind wir noch gar nicht da, dass das unser Hauptschlüsselwort sein sollte. Also wir müssen eigentlich die Basisinfrastruktur jetzt erst einmal aufräumen, dass die da ihr 60, 70 prozentiges Niveau hat. und Dann ist Resilience genau das Wort, mit dem wir uns da beschäftigen müssen, weil machen wir uns alle nichts vor. Wir haben, glaube ich, 3,2 Millionen Schadcode-Varianten für Android. Ich glaube, ein paar 60 Millionen Schadcode-Varianten laut BSI für Microsoft Windows. Wie wollen wir das denn in den Griff kriegen? Das heißt, wir müssen uns darauf einrichten, dass unsere Systeme, egal in welcher Welt, perspektivisch Schadcode haben werden. Und wir müssen gucken, wie wir damit umgehen können, wie wir auch trotz Virenbefall mit einer Produktion vielleicht weiter produzieren können. Und vielleicht nochmal ein Beispiel aus der Praxis. Wir haben ganz oft dieses Thema Ransomware mitbekommen oder auch Verschlüsselungstrojaner. Dafür sind Produktionslandschaften hochgradig angreifbar. Wir haben uralte Systeme und jetzt muss man sich mal überlegen, wir haben vielleicht ein ganzes Werk, was voll verschlüsselt ist. Und die Anlage steht jetzt sechs Wochen. Also was das heißt, da wird dann auch ein Vorstandschef schon sehr, sehr unruhig, weil es halt gleich um Millionen geht.

Sven Weizenegger: Ist das schon vorgekommen in Deutschland? Also gibt es da konkrete Beispiele?

Max Weidele: Ja.

Sven Weizenegger: Kannst du die benennen?

Max Weidele: Nicht direkt, aber wir haben eigentlich tagtäglich Sicherheitsvorfälle. Wir haben auch in diesem Produktionsbereich verschiedenste Vorfälle gehabt. Öffentlich durch die Medien ging ja zum Beispiel Norsk Hydro vielleicht oder auch Maersk. Und wenn man sich jetzt mal den Vorfall bei Norsk Hydro anguckt, Norsk Hydro ist ein sehr großer Aluminium- Und die wurden betroffen durch einen Ransomware-Angriff, der denen unter anderem auch das Active Directory weltweit voll verschlüsselt hat. Und das alleine ist schon eine harte Geschichte und zwar an allen Standorten. Und jetzt muss man sich überlegen, wie die es eigentlich geschafft haben, sich so ein bisschen daraus zu retten.

Sven Weizenegger: Wie denn ist die Frage jetzt? Wie haben die das hingekriegt? Wenn man da drin ist, dann steht im Angreifer alles offen eigentlich.

Max Weidele: Für mich ist North Hydro eigentlich immer ein super Beispiel, wenn ein Produktionsunternehmen sagt, hey, Moment mal, wir machen dann Manual Mode. Manual Mode heißt halt immer, zur Not betreiben wir Anlagen per Hand. Und im Falle von North Hydro hieß es halt ganz konkret, dass Vertriebsmitarbeiter von anderen Standorten an wiederum andere Standorte geflogen worden, um Aluminiumblöcke mit Sackkarren von links nach rechts zu fahren. Das heißt Manual Mode. Und das heißt auch, dass ich hunderte von Leitsordnern habe, die ich mit meinen Mitarbeitern sichten muss, damit ich überhaupt weiß, welche Kundenaufträge ich Stand heute in der Anlage laufen habe. Und das ist schon eine harte Geschichte.

Sven Weizenegger: Also das heißt, Sie denken in Fallback-Mechanismen, werden wir nicht loswerden in nächster Zeit?

Max Weidele: Nein, nein, definitiv nicht.

Sven Weizenegger: Wenn du mal auf Deutschland schaust, prozentual, du siehst ja sehr viele Kunden, wie viele davon sind auf einem guten Niveau aktuell?

Max Weidele: Also das Furchtbare ist eigentlich, dass auch natürlich, wenn wir zum Kunden kommen oder mit unseren Lesern von der Plattform sprechen, die wollen immer gerne wissen, wie gut oder wie schlecht sind sie im Verhältnis zu anderen aufgestellt. Und es ist, ich würde sagen, durch die Bank meistens sehr, sehr furchtbar. Natürlich haben wir große Unternehmen wie vielleicht eine Bayer oder ähnliches, die aufgrund der Größe dann vielleicht auch ein paar mehr Leute in diesem Bereich haben und auch Dinge umsetzen. Was aber auch meistens wieder verschwindend gering ist für diesen riesen Konzern dann an vielen Ecken. Und ich würde sagen, wir stecken immer noch ganz, ganz, ganz weit am Anfang. Es nimmt so langsam Fahrt auf.

Sven Weizenegger: Du sagtest gerade Bayer. Groß, haben Ressourcen und Geld und auch das Wissen höchstwahrscheinlich. Jetzt gibt es ganz viele Kleine. Deutschland lebt auf dem Mittelstand. Würde da Standardisierung und Offenheit nicht helfen? Weil, dass jeder das Problem für sich alleine löst, ist ja eigentlich unmöglich.

Max Weidele: Ja, man sagt immer so schnell, die Großen haben genügend Geld und so das zu machen. Aber bei der Komplexität ist das auch wiederum verschwindend gering. Und wir haben eigentlich ein ganz anderes Problem, wenn man sich das Thema anschaut. IT-Security überhaupt einmal angucken. Was heißt denn das heutzutage? Security ist historisch bedingt schon immer ein Extra gewesen. Wir hatten ursprünglich mal HTTP gehabt als freies Protokoll und irgendwann war es halt notwendig, da ein HTTPS draus zu machen und es nachträglich in Anführungszeichen zu verschlüsseln. Und das haben wir bei ganz, ganz vielen Themen. Ich stelle mir die Frage, wie soll das denn alles gut werden, wenn ich selbst im Informatikstudium mir freiwillig im sechsten Semester noch das Wahlpflichtmodul Security geben kann oder halt auch nicht. Also selbst im Informatikstudium ist Security noch kein fester Bestandteil. Und man kann diese Diskussion weiterführen. Sollte es überhaupt ein eigenes Modul sein? Ich sage ja ganz oft Nein. Eigentlich gehört Security mit 5% in jedes andere Fach. Und ich will das nicht als Extramodul haben, sondern wenn mir mein Programmierdozent da was erzählt, dann sollte das dem Security-Niveau, sage ich mal, entsprechend, was man tun sollte.

Sven Weizenegger: Darum ist der Security für mich auch kein vertikales Thema, sondern ein horizontales, weil es alle Bereiche betrifft unseres Lebens. Das hatte ich auch schon in anderen Podcast-Folgen, glaube ich, gesagt. Du machst dein Handy an, da ist irgendwie Security. Du machst deine Lichtanlage an, die digitale, da ist Security drin. Das betrifft eigentlich alle Lebensbereiche und du hast recht, ich stimme dem auch zu. Das sollte immer Teil des Lehrstoffes werden, egal wo, auch wenn es nur ein kleiner Anteil ist. Du hast jetzt gesagt, das Niveau ist nicht so gut. Das macht ja ein bisschen Angst, ehrlich gesagt. Wie lange bräuchten wir denn, um da ein Niveau hinzukriegen, das akzeptabel ist aus deiner Sicht? Und was bräuchte es denn dafür? Also wünsch dir was, so nach dem Motto.

Max Weidele: Aus meiner Wünsch dir was. Liste passiert glücklicherweise auch schon vieles. Wir haben mittlerweile einige Standards, die im Kommen sind. Das heißt auch beim Thema OPC UA. Das heißt, ein Protokoll zum Austausch von Maschinendaten werden Security Standards mittlerweile entwickelt. Das Thema Security by Design. Das heißt, auch Hersteller reagieren mittlerweile und versuchen, ihre Komponenten nach securitykritischen Gesichtspunkten zu designen. Das dauert natürlich noch, bis uns das dann auch im Markt wirklich viel hilft. Das geht nur miteinander. Und das merkt man auch mal in der Industrial Security Branche. Wir sind eine sehr, sehr kleine Szene an vielen Ecken. Da kann keiner ohne den anderen. Jeder braucht den einen oder anderen Partner, um da zusammen halt auch dem Kunden halt bestmöglich zu helfen. Das ist auch etwas, glaube ich, was ich mir noch viel mehr wünsche, also dass sich der Betreiber von einer Anlage mit anderen austauscht, dieser Wissensaustausch, um halt auch schnellstmöglich sich einfach gegenseitig zu unterstützen.

Sven Weizenegger: Dieser Wissensaustausch, das hat ja auch eine strategische, politische Dimension vielleicht auch im Hinblick auf Europa, USA, China. Ist das eher eine weltweite mit dem Vermerk, dass man vielleicht auch Angst hat, sich gewisse Leute hineinzuholen, die man eigentlich gar nicht haben möchte? Ist das ein Thema bei euch auch?

Max Weidele: Weniger, würde ich sagen. Also weltweit passiert gerade sehr, sehr viel im Bereich dieser Industrial Security Community. Das heißt, die Experten weltweit haben begonnen, sich vor mehreren Jahren untereinander zu vernetzen. Und es gibt die ersten Konferenzen, vor allem im amerikanischen Raum. Mittlerweile stoßen aber auch immer mehr Betreiber, immer mehr echte Anwender dazu, die das jetzt bei sich umsetzen müssen. Also es ist schon regional irgendwo, wo ich jetzt sagen würde, Deutschland regional oder dann irgendwie Schweiz regional. Aber auch ein Austausch darüber hinaus findet durchaus statt. Es ist eine sehr online geprägte Szene, würde ich auch an vielen Ecken sagen. Und man tauscht sich definitiv miteinander aus.

Sven Weizenegger: Dann kommen wir zum Schluss dieser Folge. Was kann man von euch demnächst noch erwarten oder von dir? Ist da was auf der Roadmap, wo wir drauf achten? Also gern Eigenwerbung?

Max Weidele: Eigenwerbung ist super. Also vor allem werden wir mit unserer Online-Plattform noch viel, viel mehr machen. Wir machen damit schon viele Anwendertreffen und stellen vieles an Materialien bereit. Es wird aber auch von uns etwas mehr Videocontent kommen. Es werden weitere handhabbare Unterlagen kommen. Und auch wir werden immer mehr versuchen, andere Experten und auch Betreiber zum Gespräch eigentlich einzuladen, um mal zu teilen, was ihnen einfach geholfen hat. Das heißt, noch mehr handhabbare Werkzeuge und dafür gerne unseren Online-Stammtisch auf der sicherenindustrie.de abonnieren. Da gibt es sehr viel Information.

Sven Weizenegger: Also, liebe Zuhörer, auf die Website gehen und abonnieren. Lieber Max, vielen Dank für das spannende Interview. Ich hoffe, wir konnten einen kleinen Einblick in das neue und vielleicht auch komplexe Thema geben.

Max Weidele: Sehr gerne.