Thought Leadership
Welche Chancen beinhaltet proaktive Advanced Cyber Defense und warum führt der Weg über Deepnet Mining im Darknet? Wie gelingt Unternehmen derzeit die Umsetzung der EU-Datenschutzgrundverordnung? Und warum muss die Industrie in punkto Absicherung einen Paradigmenwechsel einläuten? Björn Haan, Geschäftsführer im Geschäftsfeld Cyber Security Deutschland bei TÜV Rheinland, mit aktuellen Einsichten aus der Praxis der Cyber Security.
Herr Haan, was treibt Unternehmen in punkto Informationssicherheit in Deutschland derzeit besonders um?
Björn Haan: Einer der größten Schmerzpunkte ist zurzeit die Umsetzung der europäischen Datenschutzgrundverordnung (EU-DSGVO). Frühzeitig waren wir hier mit einer bundesweiten Roadshow unterwegs, um für das Thema zu sensibilisieren und um über die Herausforderungen aufzuklären. Der Zuspruch war enorm. Dies zeigt uns, wie dringlich die EU-DSGVO in allen Unternehmen und über alle Branchen hinweg gesehen wird. Die Anforderungen der EU-DSGVO sind so komplex und hoch wie nie, das hat erhebliche Auswirkungen auf die Unternehmen. Nach jüngsten Berechnungen benötigen Organisationen für die exakte Umsetzung der neuen Standards rund fünf Personenjahre. Die wachsende Komplexität stellt auch veränderte Anforderungen an die Berater: Die Auflagen fordern neue Prozesse, Workflows und Kontrollmechanismen, aber auch Antworten auf technische Fragen. Ob es nun um Verschlüsselung, Identity- und Access-Management, Data Leakage Prevention oder Threat Management geht. Wichtig ist es, das gesamte Bild im Blick zu haben. Die EU-DSGVO hat mit Fragen traditioneller Data Privacy-Lösungen nur noch wenig zu tun. Es handelt sich um gewaltige Veränderungen bis hin zur betrieblichen Mitbestimmung und der Beantwortung juristischer Fragestellungen.
Welche anderen neuen Trends kommen Ihrer Erfahrung nach gerade in den Unternehmen an und setzen sich im operativen Alltag durch?
Björn Haan: Es kann in der Informationssicherheit künftig nicht mehr reichen, die technologische Entwicklung nachzuvollziehen – und damit den Angreifern hinterherzuhinken und sich lediglich um die Abwehr zu bemühen. Deshalb: Zu den spannendsten Themen in der Cyber Security zählt aus meiner Sicht aktuell die Proaktive Cyber Security Intelligence, die Unternehmen auch bei uns immer öfter anfragen. Ziel ist es, Sicherheitsvorfälle nicht mehr nur passiv zu erkennen und quasi hinzunehmen, sondern über verschiedene Kanäle proaktiv Informationen zu sammeln und so zu verknüpfen, dass man Erkenntnisse über die möglichen nächsten Hacker-Attacken gewinnt – und entsprechend vorsorgen kann. Wichtige Stichworte sind hier Darknet und Deepnet Mining.
Welche Techniken werden in einschlägigen Hacker-Foren diskutiert? Welches könnten die nächsten Angriffsziele sein? Welche „Tools“ und „Services“ an Schadsoftware werden auf Marktplätzen gerade angeboten bzw. nachgefragt? Anders als bei klassischen, ereignisgetriebenen SIEM-Systemen, die ja „nur“ die Vergangenheit abbilden, geht der Trend im Threat-Management klar zu Datensammlung, Datenaggregation und prediktiver Analyse. Auf der Basis von Verfahren maschinellen Lernens und intelligenter Datengewinnung sollen bestimmte Lösungen in der Lage sein, mehr als 90 Prozent entsprechender „Produkte“ und rund 80 Prozent der Diskussionen, die sich in Foren mit Schadsoftware befassen, präzise identifizieren können.
Mit einer solchen kontextbezogenen Advanced Cyber Defense, die Informationen in Echtzeit auswertet, hätten Unternehmen die Chance, ein proaktives Cyber-Security-Management zu betreiben, indem sie Themen identifizieren, bevor sie zu einem echten Risiko werden – ein wissensbasiertes Verfahren, das in der Forensik und der Polizeiarbeit auch immer mehr an Bedeutung gewinnt.
Die Daten, von denen ich hier spreche, haben Anbieter von Sicherheitslösungen früher „nur“ genutzt, um ihre eigenen Produkte zu verbessern. Heute stellen sie sie Unternehmen gewissermaßen im „Abo“ zur Verfügung – auch ein Geschäftsmodell. Immerhin haben Organisationen so die Chance, ihre Schutzschilde hochzufahren und ihre Sicherheitsstrategie entsprechend anzupassen. Interessant ist, dass sich mit der Erhebung und Auswertung der Daten keine reinen Computer-Experten befassen, sondern Researcher. Auch eine typische Begleiterscheinung unserer aktuellen disruptiven Entwicklung.
Bereits seit einiger Zeit setzen Sie sich dafür ein, dass Cyber Security und funktionale Sicherheit in der Industrie 4.0 integriert betrachtet werden. Warum ist das aus Ihrer Sicht wichtig?
Björn Haan: Um dem Bedarf nach höherer Innovationsfähigkeit und Effizienz gerecht zu werden, planen einer aktuellen Studie zufolge rund 89 Prozent der deutschen Unternehmen die Einführung von IoT-Technologie in ihrer Produktion – allein bis 2019. Gartner rechnet damit, dass die Welt in der gleichen Zeit nahezu 3000 Milliarden Dollar in IoT-Hard- und Software investiert. Weltweit gibt es derzeit rund 640 industrielle IoT-Projekte in über 60 Ländern, die sich in der Implementierung befinden oder bereits umgesetzt sind. Daran beteiligt sind mehr als 300 Unternehmen als Anbieter für IoT-Hardware, -Software und Vernetzung. Die Produktionsstraße – Maschinen, Bauteile, Roboter – wird sich immer stärker vernetzen – und das weit über einen einzelnen Fabrikstandort hinaus. Alle Player sind miteinander vernetzt, vom Hersteller über Zulieferer bis hin zum Maintenance-Dienstleister.
Ein nächster Level ist die Kommunikation zwischen Werkstoffen, Produkten und den verarbeitenden Maschinen. Das ist ein unglaubliches Potenzial. Es zeigt aber auch, dass es wichtiger denn je ist, die damit verbundenen Risiken aktiv zu managen. Ein erhebliches Risiko ist es, in diesem Zusammenhang Cyber Security zugunsten von Functional Safety zu vernachlässigen. Denn Cyber Security ist für das Internet of Things wie für die Industrie 4.0 ein zentraler Erfolgsfaktor, zur Absicherung zentraler Versorgungssysteme, als wesentliche Voraussetzung für die funktionale Sicherheit in Fertigungsprozessen, für den sicheren automatisierten Datenaustausch vernetzter Systeme und für die Verfügbarkeit und Ausfallsicherheit der Produktion. Sie sehen: Es MUSS eine zwangsläufige Annäherung stattfinden zwischen Functional Safety und Cyber Security. Nur dann ist der aktuellen Entwicklung Erfolg beschieden – auch, wenn es sich hier um einen Kraftakt handelt.
Warum ist dieser Ansatz eine Herausforderung?
Björn Haan: Beide Disziplinen – Functional Safety und Cyber Security – haben unterschiedlichste Erfordernisse, die sich diametraler nicht entgegenstehen könnten. Bei Functional Safety geht es darum, die Menschen vor den Auswirkungen der Technik zu schützen, z.B. durch Fehlfunktionen von Maschinen und Anlagen, hervorgerufen durch ungewollte oder unberechtigte Eingriffe in die IT-Komponenten. Functional Safety greift auch, wenn es darum geht, dass Abläufe wie vorgesehen funktionieren und beim Auftreten von Fehlern entsprechende Maßnahmen sichergestellt sind, z.B. die Einstellung von Aktivitäten.
Cyber Security zielt darauf ab, Fabrikautomation und Prozesssteuerungen abzusichern. Hier geht es um Schutz und Verfügbarkeit von Kontroll- und Steuerungssystemen gegen absichtliche herbeigeführte oder ungewollte Fehler. Ziel muss es sein, eine Störung oder gar einen Ausfall der Produktion zu verhindern.
Lassen Sie mich das an ein, zwei Punkten erläutern: Bei der Corporate IT ist Verfügbarkeit ein klassisches Schutzziel. Selbstverständlich ist eine Störung oder gar der Ausfall der IT ärgerlich und kostet unter Umständen auch Geld. Vor allem, wenn Sie z.B. in der Broker-Branche tätig sind und pro Minute Millionen verlieren können.
In der Produktion dagegen ist Verfügbarkeit das höchste Gut: Eine Störung oder ein Ausfall hat Auswirkungen auf die komplette Supply Chain und gegebenenfalls gerade auch innerhalb von Kritischen Infrastrukturen Auswirkungen für Leib und Leben! Nicht umsonst rücken Predictive Maintenance und die proaktive Überwachung von Komponenten, Maschinen und Systemen auch immer stärker in den Vordergrund.
Oder nehmen wir das Thema Lifetime-Cycle-Management: In der Office IT ist das völlig anders getaktet als in der Produktion. Während Updates in der IT und vor allem in der Cyber Security gewissermaßen das tägliche Brot und laufend erforderlich sind, um Schwachstellen zu schließen, ist das Thema Patching in der Produktion ein eher heißes Eisen – das man am liebsten selten anfasst. Never touch a running system!
Wie kann eine verlustfreie Integration von Functional Safety und Cyber Security gelingen?
Björn Haan: Aus unserer Sicht ist der „by-design“-Ansatz zentral. Functional Safety und Cyber Security werden darin zu Beginn des Lebenszyklus sämtlicher Komponenten integriert berücksichtigt. Die Entwicklung von Anlagen und Komponenten muss so gestaltet sein, dass mögliche Sicherheitslücken schon im kleinsten Bauteil idealerweise vermieden oder bereits so früh wie möglich erkannt und eliminiert werden, damit sie nicht zu einem Sicherheitsrisiko für die Anlage bis hin zum Gemeinwesen werden.
Es ist nicht weniger als ein Paradigmenwechsel, der Cyber Security als Teil des Business Case versteht. Dieser muss getrieben werden von Menschen, die beide Seiten begreifen. Das kann z.B. der Digitalization Officer sein, der die Zukunft im Kontext der Digitalisierung auf Basis klassischer IT Verbindung mit dem Prozess-Know-how versteht!
Denn auch die damit verbunden KPI werden sich verändern, die Datenmasse, die entsteht, muss nicht nur erfasst und analysiert werden. Die Verantwortlichen müssen auch die richtigen Empfehlungen daraus ableiten können. Auch hier kommt der proaktiven Cyber Security Intelligence, von der wir oben gesprochen haben, eine enorme Bedeutung zu. Darüber hinaus wird für Hersteller von IoT-Lösungen der Nachweis, Datenschutz und Datensicherheit eine hohe Priorität einzuräumen immer wieder wichtiger, z.B. durch Zertifizierungen.
Sie haben auch festgestellt, dass die Nachfrage nach Penetrationstests exponentiell wächst. Wie erklären Sie sich das?
Björn Haan: Jahrelang war das Thema Cyber Security in den Management-Etagen nicht mehr als ein Kostenfaktor. Angesichts der dynamischen Bedrohungslage, aufgrund wachsender regulativer Anforderungen und nicht zuletzt auch aufgrund einer deutlich höheren öffentlichen Sensibilität für Datenschutz und Datensicherheit aufgrund einer wachsenden Anzahl an Sicherheitsvorfällen, die in den Medien Schlagzeilen macht, wächst in Unternehmen das Bewusstsein dafür, wie wichtig es ist, Sicherheitslücken zu finden, bevor Hacker sie ausnutzen können. Auch die Frage der Manager-Haftung ist hier sicher ein wichtiger Treiber.
Nochmal zurück zur EU-DSGVO: Welche Rolle spielt in diesem Zusammenhang das Thema Zertifizierung?
Björn Haan: Die EU-DSGVO bietet Verantwortlichen und Auftragsverarbeitern die Möglichkeit, sich einem gesetzlich festgelegten Zertifizierungsverfahren zu unterziehen. Das Zertifizierungsverfahren dient dem Nachweis, dass die Bestimmungen der DSGVO in vollem Umfang eingehalten werden. Eine entsprechende Zertifizierung wird zukünftig eine wichtige Rolle spielen, so u.a. bei der Entscheidung über das Ob und die Höhe von Bußgeldern.
Herr Haan, Danke für das Gespräch.
