Rahmenwerke genügen nicht

Schneider: Wir sind uns aktuell in Deutschland, was IIoT und Se­curity angeht, ein bisschen uneins: Es gibt gute Rahmenwerke, es gibt gute Forschungsgruppen und Arbeiten, aber es existiert eben nichts, was bindend oder verpflichtend wäre – eine Art Best Prac­tice fehlt. Auf diese Art fängt jeder an, so ein bisschen sein eigenes Süppchen zu kochen. Ein Rahmenwerk wäre zum Beispiel RAMI, was für Referenzarchitekturmodell Industrie 4.0 [PDF] steht. Diese Bestrebungen sind da und werden auch vorangetrieben, man muss sie aber erst wirklich durchsetzen.

Es treffen meiner Meinung nach auch zwei Lager aufeinander: die klassischen IT-Security-Anbieter, die mit der klassischen Angst- und Panikmache kommen – das ist es, was man normalerweise sieht – und auf der anderen Seite die fehlende Übersetzung „Was bedeutet das denn eigentlich für die Produktion?“ An dieser Stelle sehe ich eine grosse Herausforderung für die IT: Es ist unsere Aufgabe als IT-Menschen, zu verstehen, was die Produktion überhaupt will und benötigt.

Ist das denn nur Panikmache?

Schneider: Nun, diese «Angst-Marketingmasche», das kann die IT-Security sehr gut. Wir verkaufen es immer ganz gern als Aufklärung – aber das kommt beim Empfänger im Industriebereich häufig anders an: «Mein Hochofen ist mit dem Internet verbunden. Ja gut, aber wo ist das Problem?»

Im Consumer-Bereich gebe ich im Zweifelsfall dem Anwender einfach eine «Off-the-shelf»-Lösung mit dem Kommentar, wenn du das installierst, dann bist du erst einmal ziemlich gut abgesichert. Im Industriebereich kann man so aber wohl kaum vorgehen.

Schneider: Genau, ein derartiges Produkt gibt es (leider) nicht. Was es aber gibt, sind Lösungen, die diese Problematik adressieren. Die zeigen, wie ich so ein System aufbaue, oder Fragen klären wie «Muss denn mein System unbedingt offen am Internet sein oder wäre es nicht sinnvoller, es hinter ein VPN zu setzen?» – das sind dann rein infrastrukturelle Lösungen.

Schneider: Ja, auch wenn das sicher keine Lösung für alle Fälle ist: Alte Hardware muss zwangsläufig irgendwann ersetzt werden. So kann dann eine Scada-Software, die bisher unter Windows 2000 auf einer mehr als zehn Jahre alten Hardware lief, auf einer neuen aktuellen Hardware innerhalb einer virtuellen Maschine betrieben werden. Und sobald ich im Bereich Virtualisierung bin, kann ich auch mit ganz anderen Schutzmechanismen arbeiten. Ich fasse dabei das eigentliche Scada-System gar nicht an, kann aber eine Firewall/Sicherheitslösung auf Netzwerk- oder Hyper­visor-Ebene einsetzen.

Ich kann also sicher etwas für die Sicherheit tun. Es gibt nur nicht ein «Industrie-Sicherheitsprodukt 3.0», das ich einfach so in­stallieren kann. Ich muss im Grunde genommen meine Sicherheit aus bestehenden Technologien, Lösungen und infrastrukturellen Entscheidungen aufbauen.

Schneider: Genau – entweder ich schaffe mir das Wissen selber an, was ich für sinnfrei halte, wenn meine Expertise «Wie baue ich Produktionsstrassen und/oder Maschinen» heisst – oder ich greife auf Consulting beziehungsweise auf ein erfahrenes Systemhaus zurück.

Bei solchen Consultingfirmen gibt es dann diejenigen, die klassisch aus dem Industriebereich kommen, und es gibt genauso gut Consultingfirmen beziehungsweise Systemhäuser aus dem IT-Bereich, die sich den «Industrie-Sprech» angeeignet haben, die also das Verständnis für die Industrie und ihre Probleme besitzen. Firmen müssen sich als zunächst einmal die Frage stellen, was passt besser zu mir.