Industrie-IT-Sicherheit: "Die Kosten von Fehlern sind katastrophal hoch"

Eric van Gemeren ist Chief Technology Officer von Honeywell Process Solutions. Die Technik des Konzerns steckt in Industrieanlagen auf der ganzen Welt – die immer häufiger angegriffen werden. Im Interview mit heise online spricht er über die Digitalisierung konservativer Branchen, das Sicherheitsrisiko Mensch und die Frage, ob sich Technik aus den Siebzigerjahren weiterbetreiben lässt.

Herr van Gemeren, in der Industrie geht nichts ohne Prozessleitsysteme. Sie steuern, messen und regeln Anlagen, die alle möglichen Dinge produzieren. Die Technik war lange stark abgeschottet, auch aus Sicherheitsgründen. Wie weit sind hier Cloud-Dienste mittlerweile gekommen?

Dies ist je nach Branche und Region sehr unterschiedlich. Es gibt einige Regionen, die fortschrittlicher und risikotoleranter sind. Das soll nicht heißen, dass die Einführung solcher Digitalisierungsstrategien riskant wäre. Es ist nur so, dass manche offener dafür sind, Dinge anders zu machen. Und wenn man es etwas weiter fasst, dann ist China eines dieser Länder, die Chinesen neigen dazu, sehr viel fortschrittlicher zu sein. Auf der anderen Seite sind Regionen wie der Nahe Osten viel konservativer, und ich würde Europa in die gleiche Kategorie einordnen. Und die Region Amerika, einschließlich Kanada, USA und Mexiko, liegt irgendwo dazwischen, es gibt also definitiv ein geografisches Element. Aber es gibt auch eine vertikale Dimension der Branchen. Ich meine, unsere Öl- und Gaskunden gehören sicherlich zu den konservativsten Unternehmensführern auf diesem Planeten.

Das hat sicher gute Gründe, schließlich dürfen solche Anlagen nicht offline gehen.

Ganz genau. Das liegt daran, dass die Kosten von Fehlern hier sehr hoch sind, katastrophal hoch. Wenn man über die Wahrscheinlichkeit von Risiken nachdenkt, gibt es das Risiko, dass etwas schief geht – und dann die Kosten, wenn es tatsächlich passiert. Selbst wenn die Wahrscheinlichkeit unglaublich gering ist, wären die Kosten atemberaubend.

Wie sieht die Situation in Deutschland aus?

Der Grad der Digitalisierung ist auch hier sowohl geografisch als auch in Bezug auf die sogenannten Verticals sehr verschieden. Und natürlich gibt es auch hier Kunden, die sehr zurückhaltend sind. Es gibt aber einige herausragende Ausnahmen. Obwohl ich sagen würde, dass der deutsche petrochemische Markt einer der konservativeren überhaupt ist, gibt es einen bestimmten deutschen Chemieproduzenten mit vier Buchstaben, der wahrscheinlich einer der fortschrittlichsten auf dem Planeten ist.

Prozessleitsysteme können nicht einfach ausgetauscht und in die Cloud gebracht werden. Viele Systeme laufen 24 Stunden am Tag. Wie ist dies dennoch möglich?

Das Erste, was dies möglich macht, ist das Konzept der Virtualisierung. Also wie wir Hardware in Software emulieren können und dadurch in der Lage sind, große Blöcke von Legacy-Hardware vollständig aus dem System zu entfernen und sie in einer virtuellen Maschine zu emulieren. Auf diese Weise bleibt das gesamte geistige Eigentum in diesen Maschinen erhalten. Denn das ist eigentlich das größte Problem: Jeder denkt gerne an die physischen Herausforderungen bei der Verkabelung und in den Schaltschränken. Aber es geht eigentlich um etwas ganz anderes.

Was ist die größte Angst Ihrer Kunden?

Für unsere Endkunden ist der größte Knackpunkt ihr geistiges Eigentum. Denn wenn man mal darüber nachdenkt: Darum geht es letztlich. Gehen Sie in eine Raffinerie und schauen sie sich einen Hydrocracker oder irgendeinen anderen Teil der Anlage an. Es gibt den Regelkreis, der dort eingerichtet ist, die Beschickungsraten, die Temperaturen und all die anderen Komponenten, die gesteuert werden müssen. All die Variablen, die man in seinen Steuerungsprozess einbaut, damit die Dinge funktionieren, arbeiten wie ein gut abgestimmtes Uhrwerk. Das läuft zwar alles über unser Prozessleitsystem und unsere Technik sorgt dafür, dass es funktioniert. Doch da steckt teilweise Erfahrung mehrerer menschlicher Generationen drin, wie man das ganze System tunen kann.

Einst dachte man, es reicht zur Absicherung von Industrieanlagen aus, sie einfach nie an das Internet anzuschließen. Ist das realistisch?

Die Realität ist – und die Forschung ist da ziemlich schlüssig – dass die überwiegende Mehrzahl der Verstöße gegen die Cybersicherheit in solchen Systemen nicht auf ein schlichtes elektronisches Eindringen zurückzuführen ist. Sie entstehen durch menschliche Fehler, menschliche Schwächen und fehlerhafte Prozesse. In vielen Fällen sind diese isolierten Systeme also nicht sicherer, weil sie von vielen Menschen betreut werden. Jeder Einzelne von ihnen stellt ein Risiko dar.

Wie lassen sich Prozessleitsysteme grundsätzlich absichern?

Früher haben wir Software geschrieben – und anschließend haben wir Cybersicherheitslösungen entwickelt, um das Ganze abzudichten. Das ist nicht mehr die Art, wie wir heute arbeiten. Wir beginnen auf der Hardware-Ebene und bauen die Sicherheit dort ein, dann auf der Firmware-Ebene, dann auf der Software-Ebene und dann in jedem Teil des Software-Stacks. Die Herausforderung besteht darin, dass sich das Spektrum und die Komplexität der Angriffe jeden Tag ändern. Natürlich sind wir nicht unbesiegbar. Aber es bedeutet auch nicht, dass dies der Wilde Westen ist, in dem wir alle im Chaos leben und nur noch versuchen können, den Kopf über der Wasseroberfläche zu behalten.

Wie stark unterscheiden sich die Sicherheitsprobleme von Industrieanlagen von denen normaler Computerbenutzer?

Ich würde sagen, dass es in der überwiegenden Mehrheit, vielleicht in 80 Prozent der Fälle, darum geht, dass Sie die neuesten Patches und Updates installiert haben. Haben Sie die neueste Version des Betriebssystems installiert? Wir haben jetzt Systeme, die buchstäblich das gesamte Netzwerk durchkämmen und jeden einzelnen Rechner untersuchen und prüfen: Wie sieht es mit der Hardware aus? Wie sieht es mit der Firmware aus? Welche Programme laufen? Welche Version des Betriebssystems? Welche Version des Virenschutzes ist aktiv? Welche Version der Firewall? Dann erhalten Sie als Prozess-Controller ein Dashboard, das Ihnen anzeigt, wie viele Lücken Sie haben, die potenzielle Sicherheitsbedrohungen darstellen. Die Tools werden also immer besser.

Es gibt noch sehr viel Legacy-Technik in Industrieanlagen. Gibt es für die überhaupt noch Updates?

Es gibt sicher einige Dinge, bei denen wir nicht mehr viel tun können. Wie bei vielen anderen Unternehmen gibt es auch bei uns eine Richtlinie, wie viele Versionen wir unterstützen. Wenn es sich um eine fünfte oder sechste Version handelt, die Sie nicht installiert haben, werden wir Ihnen dafür keinen Patch mehr zur Verfügung stellen. Wir bekommen ständig Anrufe von Kunden, die sagen: "Hey, ich benutze dieses Ding, das ich in den Siebzigern gekauft habe. Ich will es nicht herausnehmen. Können Sie mir helfen?" Die Antwort lautet: Das können wir. Aber es wird sie eben auch eine Stange Geld kosten.

Wo sehen Sie die zentralen Sicherheitsprobleme in Prozessleitsystemen in den kommenden Jahren?

Der menschliche Faktor ist definitiv von zentraler Bedeutung. Der andere große Faktor ist die Komplexität, also dieser Flickenteppich aus Systemen, die die Kunden einsetzen. Das mag sich jetzt wie ein Verkaufsgespräch anhören, à la "Warum kauft Ihr nicht alles von Honeywell". Aber wir bieten eben auch keine kompletten End-to-End-Lösungen für jede einzelne Branche der Welt an. Und je mehr Integrationspunkte man hat, desto mehr Möglichkeiten gibt es für Schwachstellen, denn es braucht nur eine von ihnen – und jemand kommt in das Netzwerk rein.

(bsc)