Cybersicherheit in Zukunft? „Wir haben noch viel zu tun!“
Cybersicherheit steht bei Siemens bereits seit den 1980er-Jahren auf der…
Siemens
Cybersicherheit steht bei Siemens bereits seit den 1980er-Jahren auf der Agenda. Seitdem haben sich die Bedrohungen und Sicherheitsrisiken stark verändert. Im Interview erzählen Natalia Oropeza und Andreas Kind, wie sie gemeinsam mit ihren Teams Siemens und seine Kunden vor Cyberangriffen schützen.
Bei Siemens gibt es seit mehr als 30 Jahren ein Team für Cybersicherheit. Inwiefern haben sich die Bedrohungen seit damals verändert?
Andreas Kind: In den 1980er-Jahren waren Computer noch kaum vernetzt. Schadsoftware und Computerviren wurden oft über Disketten und andere Datenträger auf Computer übertragen. Um Daten zu stehlen, wurden aus Rechenanlagen Datenträger gestohlen oder Informationen von Insidern abgegriffen. Damals war das Social Engineering bereits ein ernstzunehmendes Thema: Man gibt sich bei Mitarbeitenden einer Firma als bekannte Person aus, zum Beispiel als ein externer Dienstleister, und verschafft sich so Zugang in die Computeranlage. Seit den 1990er-Jahren haben sich Computer immer stärker vernetzt und über Kommunikationsprotokolle miteinander Kontakt aufgenommen. Lange Zeit standen vor allem die IT-Netze im Fokus der Angreifenden und der Cybersicherheitsexpert:innen. Doch mit der zunehmenden Vernetzung von Maschinen und Anlagen sind heute auch alle Arten von industriellen Anlagen verwundbar. Diese industrielle Welt bezeichnen wir als Operational Technology, OT. Dazu zählen zum Beispiel die Maschinen und Steuerungsanlagen in Fabriken, Kraftwerken oder Zügen. Ein erfolgreicher Hackerangriff kann heute also zu einem Produktionsstillstand, einem Blackout oder einem fehlgeleiteten Zug führen.
„Mit der zunehmenden Vernetzung von Maschinen und Anlagen sind heute auch alle Arten von industriellen Anlagen verwundbar.“
Andreas Kind verantwortet bei Siemens Technology das Thema Cybersecurity and Trust
Wie kann man in all diesen Bereichen eine Cybersicherheit gewährleisten? Es gibt doch sicher viele verschiedene Wege, um anzugreifen?
Natalia Oropeza: Ein Beispiel: Wir setzen aktuell vor allem auf das Konzept Zero Trust. Dieses besagt, dass ein IT-System stets überprüft, mit wem es Kontakt aufnimmt. Dabei verifiziert das IT-System zunächst, von welcher Person oder welchem Gerät eine Anfrage kommt. Anschließend wird geprüft, in welchem Gesundheitszustand sich das Gerät befindet. Ist es frei von Viren oder Schwachstellen? In Anbetracht des Kriegs in der Ukraine und der damit verbundenen wachsenden Internetkriminalität prüfen wir seit einiger Zeit auch verstärkt, aus welchen Regionen man mit unseren Systemen Kontakt aufnimmt. Wir können gezielt Filter aktivieren, um bestimmte Anfragen zu blockieren. Ein weiteres Beispiel ist unser 2002 gegründetes Product-CERT (Computer Emergency Response Team), das Siemens-Produkte permanent auf Schwachstellen überprüft. Sollte es welche entdecken, liefert es den Kunden zügig sogenannte Patches, Software-Updates, mit denen sie die Schwachstellen beheben können. Industrieanlagen wie etwa Kraftwerke laufen mehrere Jahrzehnte. Die Aufgabe des Product-CERT besteht auch darin, die Produkte über die ganze Lebenszeit in Sachen Sicherheit auf dem neuesten Stand zu halten.
„Was man beim Blick in die Zukunft aber auf keinen Fall vergessen darf, ist der Mangel an Fachkräften für Cybersicherheit.“
Natalia Oropeza ist Chief Cybersecurity Officer der Siemens AG und somit Chefin der weltweiten Cybersicherheit des Unternehmens. Sie arbeitet seit rund 30 Jahren auf dem Gebiet der Informationstechnologie und war in Mexiko, den USA und Deutschland tätig.
Und in Zukunft? Wie können wir sicherstellen, dass die vielen über die Welt verteilten Anlagen über die Jahre vor Angriffen geschützt bleiben?
Kind: Dafür betreiben wir zum Beispiel ein eigenes Forschungsteam, das Technologien daraufhin untersucht, inwieweit diese in Zukunft angreifbar sein werden. Wir blicken dabei drei bis zehn Jahre in die Zukunft und schauen uns zum Beispiel neue Verfahren der künstlichen Intelligenz an, um etwa herauszufinden, wie Angreifende damit Schaden anrichten können, zum anderen, um Schwachstellen in neuen KI-Technologien zu finden, die das Ziel von Hackern sein könnten.
Kann denn ein Unternehmen wie Siemens allein für absolute Cybersicherheit sorgen?
Oropeza: Es wäre blauäugig, das zu denken. Schon allein, weil wir ja mit Zulieferern und anderen Unternehmen zusammenarbeiten. Siemens hat sich daher 2018 mit anderen großen Technologie-Unternehmen zur Charter of Trust zusammengeschlossen, einer globalen Initiative, die unter anderem an gemeinsamen Sicherheitsstandards arbeitet – auch entlang ihrer Lieferketten. Darüber hinaus gibt es für OT verbindliche weltweite Industriestandards wie den Standard IEC 62443, der definiert, wie man OT sicher macht.
Bekanntlich finden Cyberkriminelle und Geheimdienste immer wieder neue Wege, um anzugreifen. Welche konkreten Herausforderungen sehen Sie für die Zukunft?
Kind: Ein großes Thema ist die neue Ära der Quantencomputer, die manche der heute gängigen Sicherheitsverfahren brechen werden. Siemens arbeitet schon länger in Projekten zu diesem Thema, um auch zukünftig Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Systemen sicherzustellen. Unser Fokus ist, die neuen quantensicheren Cryptoverfahren auf Anwendbarkeit in industriellen Umgebungen zu prüfen und Migrationsstrategien zu entwickeln.
Oropeza: Eine ebenfalls große Zukunftsfrage ist für uns, wie wir die Industrie trotz wachsender politischer Unsicherheit schützen können – etwa in Situationen wie dem Krieg in der Ukraine, der von Cyberangriffen flankiert wird. Ein Thema sind auch neue Handelshürden, die künftig durch unterschiedliche Cybersicherheits-Standards in verschiedenen Ländern entstehen könnten. Was man beim Blick in die Zukunft aber auf keinen Fall vergessen darf, ist der Mangel an Fachkräften für Cybersicherheit. Nach einer Studie des International Information System Security Certification Consortium fehlt es derzeit weltweit an rund 3,5 Millionen Cybersecurity-Expert:innen – Tendenz steigend. Oder mit anderen Worten: die Bedrohungen wachsen deutlich schneller, als neue Fachkräfte ausgebildet werden. Um dieser Knappheit zu begegnen, hat Siemens 2022 etwa die Cyberminds-Academy gegründet, in der die Teilnehmenden in einem Jahr zu Sicherheitsexpert:innen weitergebildet werden – nicht nur junge Menschen, sondern auch ältere Leute, die umsatteln möchten. Die Akademie achtet darauf, dass sich die Gruppe der Teilnehmenden möglichst vielfältig zusammensetzt, aus Frauen, Männern und Menschen aus verschiedenen Ländern, mit unterschiedlichen Lebensläufen und Denkweisen; auch, weil die Cyberbedrohungen äußerst vielfältig sind. Nur mit solchen Ansätzen wie auch den hier im Gespräch genannten Beispielen können wir weiterhin die wachsenden Risiken der digitalen Welt möglichst beherrschen. Das ist gut. Aber wir haben noch viel zu tun.