Angriffssicher – Interview mit Thomas Pilz zu Safety & Security

Das Ziel der Industrial Security ist es, die Verfügbarkeit von Maschinen und Anlagen sowie die Integrität und Vertraulichkeit von maschinellen Daten und Prozessen zu gewährleisten. Thomas Pilz, geschäftsführender Gesellschafter der Pilz GmbH & Co. KG

Herr Pilz, der Slogan „the spirit of safety“ steht bei Pilz im Fokus. Was genau bedeutet diese Aussage für Sie persönlich?

Das ist sehr klar zu beantworten. „The spirit of safety“ setze ich persönlich mit der Geschichte unseres Unternehmens Pilz in Zusammenhang, denn seit 1986 begleitet uns das Thema Safety mehr und mehr und wir dringen immer tiefer in die Thematik ein. Zudem sind wir von dem Leitgedanken getrieben, dass ein Mensch „gesund“ von seiner Arbeit nach Hause kehren soll und wir möchten hierzu als Unternehmen mit unseren Lösungen gezielt beitragen.

Das modular aufgebaute Betriebsartenwahl- und Zugangsberechtigungssystem PITmode fusion von Pilz vereint Safety und Industrial Security in einem System.

Gleichzeitig sind wir auch immer mehr vom Thema Security betroffen. Seit Jahren schwebt die unmittelbare Gefahr mit uns mit, dass es jedes Unternehmen treffen könnte, wie Sie aus eigener Erfahrung wissen. Wo sehen Sie die Herausforderungen und wie schätzen Sie die derzeitige Wahrnehmung am Markt ein? Wird die potenzielle Bedrohungslage zu wenig verstanden?

Das ist eine interessante Frage, denn meiner Ansicht nach wiederholt sich Geschichte doch. Industrie 4.0 hat aufgezeigt, wie wunderbar die Technologie der IT-Welt produktivitätsfördernd in den Fabriken eingesetzt werden kann. Als das Internet erfunden wurde, hatte man sehr plötzlich die bestmögliche Kommunikation und Vernetzung von Menschen vorliegen, inzwischen auch für die Arbeitswelt. Dann kam das Darknet mit all seinen Facetten und es drängte in die „heile Welt der Industrie 4.0“ vor. Nun sind all die Produktivitätsgedanken der Industrie 4.0 davon abhängig, ob ein übelmeinender Mensch ein Verbrechen in Gang setzt und damit Schaden anrichten möchte.

Die Pilz Security Bridge dient Steuerungen zum Schutz vor Angriffen und unautorisierten Zugriff auf das Netzwerk, indem sie unerlaubte Veränderungen am Automatisierungsprojekt aufdeckt. Die SecurityBridge fungiert dabei wie eine Firewall.

Um es auf den Punkt zu bringen: Befindet sich die Industrie in düsteren Zeiten?

Sagen wir es so. Früher entführte man Menschen, heute entführt man Daten. Gleichzeitig wird einem Unternehmen im Zusammenhang mit einem Datenklau auch mit der Tatsache gedroht, dass Daten gegen den Willen der Betroffenen veröffentlicht werden und man so darüber hinaus dann auch noch gegen die DSGVO verstößt. Ein Irrsinn. Ein weiteres Problem und auch eine Tatsache ist, dass durch den Datenklau Arbeitsplätze gefährdet werden – es muss gehandelt werden!

Pilz nimmt als Hersteller sicherer Automatisierungslösungen Safety- sowie Industrial-Security-Aspekte gleichermaßen in den Blick – und das bereits in der Produktentwicklung. TÜV Süd hat die Produktentwicklung von Pilz nach IEC 62443-4-1 zertifiziert.

Der Imageschaden ist wahrscheinlich das geringfügigere Problem.

Da stimme ich Ihnen zu. Für das Thema Security muss einfach viel stärker sensibilisiert werden. Ich sehe das als Problem – nach wie vor –, dass hier die richtigen Stellen zu wenig erreicht werden. Tatsache ist, dass immer ein Mensch bzw. Mitarbeiter wissentlich oder auch unwissentlich einen Fehler begeht und einem ganzen Unternehmen einen immensen Schaden zufügen kann, indem beispielsweise auf einen falschen Link geklickt wird – um nur ein Beispiel zu nennen. Auch ich muss rückblickend eingestehen, dass wir damals diesem Thema zu wenig Bedeutung geschenkt hatten. Nun sind wir mit einer schlechten Erfahrung durch den eigenen Angriff im Unternehmen vorausschauender.

Das bedeutet?

Es ist immer auch ein Wettlauf mit der Zeit und eine Frage der Geschwindigkeit. Wir handeln inzwischen schneller.

Inwiefern können Pilz-Lösungen Unternehmen unterstützen, sich vor Angriffen zu schützen?

Lösungen sind bereits vorhanden, die Frage ist: Kommen sie auch an? Was wir festgestellt haben ist, dass unsere Firewall SecurityBridge derzeit eines der wichtigsten Themen am Markt ist. Mit dieser Industrie-Firewall bieten wir ein Produkt für den Bereich Industrial Security an. Sie ist für Industrieanwendungen gedacht und schützt industrielle Automatisierungsnetzwerke vor Manipulation und unbefugtem Zugriff. Spionageaktionen, wie eingangs erwähnt, und Manipulationen werden somit keine Chance haben und die Verfügbarkeit der Maschinen ist gewährleistet.

Mein Betrieb und meine Maschinen sind mittels dieser Pilz-Lösung sicher(er)?

Im Detail bedeutet dies, man schützt die konfigurierbaren sicheren Kleinsteuerungen PNOZmulti 2 und das Automatisierungssystem PSS 4000 und ermöglicht ferner nun auch die Kontrolle über die Datenkommunikation beliebiger, weiterer Teilnehmer außerhalb der Pilz-Familie. Die SecurityBridge wurde nach dem Secure Development Process gemäß der Norm IEC 62443-4-1 entwickelt und berücksichtigt damit das Prinzip von „Zones and Conduits“.

Die Application Firewall SecurityBridge hat beim GIT Sicherheits-Award vor einigen Jahren den 3. Platz belegt. Was zeichnet sie noch aus?

Die SecurityBridge kann den Basisgeräten von PNOZmulti, der SPS-Steuerung PSSuniversal PLC aus dem Automatisierungssystem PSS 4000 oder beliebigen, weiteren Teilnehmern außerhalb der Pilz-Produktfamilie vorgeschaltet werden. Die Verbindung bzw. der sichere Datenaustausch zwischen PC und Gerät ist somit gewährleistet. Konfigurationsänderungen an einem Projekt können nur Anwender durchführen, die eine entsprechende Berechtigung besitzen. Dies verhindert unautorisierten Zugriff auf das geschützte Netzwerk. Auf diese Weise ist die Datenübertragung zwischen dem Client-PC und der SecurityBridge abhör- und manipulationssicher. Außerdem kontrolliert die SecurityBridge den Prozessdatenverkehr und überwacht die Integrität des Safety-Systems. Veränderungen in der Prüfsumme geben Aufschluss über Veränderungen in den Projekten des Steuerungsprojekts.

Doch wie schütze ich die Maschine vor physisch Unbefugten?

Das ist eine gute Frage, auf die wir auch eine Antwort haben: mittels unseres modernen Zugangsberechtigungs­- und Betriebsartenwahlsystems PITmode. Es vereint Security- und Safety-Funktionen in einem System und ist ursprünglich als sicherer Betriebsartenwahlschalter entstanden. Inzwischen ist er um das Access Management ergänzt – sozusagen das Schild für die Maschine und gegen unbefugte Benutzung bei Fernwartung. Wir haben somit zum Kreis der Sicherheit zusätzlich den Kreis der Security hinzugenommen. Kunden erkennen den Mehrwert, dass mittels eines Schlüssels an der jeweiligen Maschine Sicherheitsvorkehrungen zur Erkennung durchgeführt werden. Denn somit haben sie eine Zwei-Faktor-Authentifizierung vorliegen.

Passwörter werden somit überflüssig?

Nein, das System ergänzt und macht Passwörter lediglich für den Zugang zur Anlage und für die Fernwartung obsolet. Es macht den Einsatz von zahllosen unterschiedlichen Schlüsseln nicht mehr erforderlich und ermöglicht zusätzlich auch noch die sichere Betriebsartenwahl der Maschine.

Sprechen wir kurz noch über das Thema White Hacking, das Pendant vom „schlechten“ Hacking. Es soll gezielt aufzeigen, wo Unternehmen ihre Schwachstellen vorliegen haben. Nun könnte man meinen, dies sei „DIE“ Lösung?

Vor allem einmal gibt es auch Grauzonen-Hacker, das sind die, die eine Schwachstelle erkennen, die keiner kennt, und diese dann kommunizieren. Doch wenn die Betroffenen dann nicht entsprechend schnell reagieren, wird das Problem nicht gelöst werden können. Es ist doch so: Bis die „träge Industrie“ agiert, vergeht zu viel Zeit, das ist ein immenses Problem und spielt den Angreifern in die Karten.

Ergo?

Müssen wir innerhalb der Industrie einfach schneller handeln, als wir es gewohnt sind. Die Lösungen sind vorhanden.

Vielen Dank für das interessante Gespräch!