Pilz Security: Wettlauf zwischen Gut und Böse

Gerhard Stockhammer, Leiter des Customer Supports bei der Firma Pilz brachte es im Gespräch mit x-technik AUTOMATION auf den Punkt: Digitalisierung ist die Zukunft. Denn Evolution orientiere sich nun einmal nach vorne und nicht zurück. Allerdings stecke hinter jeder neuen Möglichkeit und somit hinter jedem Vorteil wie smarten Diagnoselösungen und intelligent vernetzten Produktionsprozessen auch ein Nachteil. So kann zum Beispiel wie die jüngere Vergangenheit zeigte selbst ein Spezialist für sichere Automation Opfer eines schweren Cyberangriffs werden. Von Sandra Winter, x-technik

Sicher verriegelt: Pilz bietet individuelle Schutztürlösungen, die optimal abgestimmt sind auf die Anforderungen unterschiedlichster Applikationen.

Sicher verriegelt: Pilz bietet individuelle Schutztürlösungen, die optimal abgestimmt sind auf die Anforderungen unterschiedlichster Applikationen.

Gerhard Stockhammer
Leiter des Customer Supports bei der Firma Pilz

„Die „artgerechte“ Nutzung der Daten ist so ein Thema, das uns in Folge der Digitalisierung in den nächsten Jahren ziemlich intensiv beschäftigen wird.“

Es gibt einige Flugzeuge, in der es keine 13. Sitzreihe gibt. Manche Hotels verzichten auf diese Zimmernummer und auch der Firma Pilz brachte diese Zahl, die vor allem in Kombination mit einem Freitag teilweise als Unheilsbringerin gilt, im Oktober letzten Jahres kein Glück. Ganz im Gegenteil, der Spezialist für sichere Automation, der mit seinem Produktportfolio nicht nur für mehr Safety in produzierenden Unternehmen sorgt, sondern zusätzlich auch noch das Thema Manipulations- und Zugriffsschutz (Industrial Security) abdeckt, wurde selbst Ziel und leider auch Opfer eines schweren Cyber-Angriffs. „Nun können wir aus erster Hand berichten, wie so eine Ransomware-Attacke abläuft“, scherzt Gerhard Stockhammer mit trockenem Humor über diese unliebsame Begegnung mit der dunklen Seite der Digitalisierung, die bei Pilz sowohl den Kundenservice als auch die Produktion eine Zeitlang lahmgelegt hatte.

„Die Angreifer nutzen Schadsoftware als Mittel der digitalen Erpressung. Auf infizierten Computern werden Daten verschlüsselt. Zur Wiederfreigabe wird Lösegeld gefordert“, beschreibt Martin Strommer, Security-Spezialist im Customer Support bei Pilz, eine kriminelle Vorgehensweise, die sich mittlerweile zu einem eigenen Geschäftszweig entwickelt hat. Die Firma Pilz brachte ihre Systeme mit Unterstützung von IT-Forensikern selbst wieder zum Laufen. Bezahlt wurde „lediglich“ eine Menge Lehrgeld. Diese Erfahrungen wollen die „Botschafter sicherer Automation“ nun auch mit ihren Kunden teilen, u. a. im Rahmen der nächsten User Conference, die von 16. bis 17. September 2020 am Grazer Flughafen stattfinden wird. „Die Themen Industrial Security im Allgemeinen und Zugangsberechtigungssysteme im Speziellen stehen bereits fix auf der Agenda“, verrät Marianne Ecker, Marketing Managerin bei Pilz. Fix ist mittlerweile u. a. auch Philipp Amann als Vortragender. Er ist Head of Strategy im European Cybercrime Centre (EC3) von Europol.

Kein Vorteil ohne Nachteil wie v. l. Gerhard Stockhammer, Gerhard Moser und Martin Strommer im Gespräch mit x-technik AUTOMATION immer wieder betonten.

Kein Vorteil ohne Nachteil wie v. l. Gerhard Stockhammer, Gerhard Moser und Martin Strommer im Gespräch mit x-technik AUTOMATION immer wieder betonten.

Gerhard Moser
Senior Manager System Integration bei Pilz

„Security sollte nichts sein, was nebenbei mitgemacht wird. In Anbetracht der steigenden Cyberkriminalität braucht es dafür spezielle Experten.“

Sicherheitslücke Mensch

Grundsätzlich müsse man laut Gerhard Moser, Senior Manager System Integration bei Pilz, zwischen drei Gefahrenquellen unterscheiden: Teilweise entstehen Sicherheitslücken durch menschliche Fehler bei der Software-Programmierung oder in der Elektrokonstruktion. Dann gibt es noch jene Art von Manipulation, bei der der Bediener einer Maschine an sich „nichts Böses“ im Sinn hat – er will nur schnell etwas richten und überbrückt dafür eine Schutzeinrichtung. Ein Delikt, für das in der Schweiz und in Deutschland übrigens sogar zwei, bis drei Jahre Haft drohen! Das dritte Problem sind mutwillige Angriffe auf die bestehenden Einrichtungen, die Zerstörung, Datendiebstahl oder Erpressung zum Ziel haben.

Sowohl bei Safety- als auch bei Security-Belangen erweist sich oftmals der Mensch als größte Schwachstelle. „Einer der Hauptgründe, warum Systeme versagen oder nicht das tun, was sie eigentlich tun sollten, ist nach wie vor menschliches Versagen – teilweise bereits in der Design-Phase“, gibt Gerhard Stockhammer zu bedenken. Deshalb sei es umso wichtiger, sich eingehend mit dem Thema funktionales Sicherheitsmanagement auseinanderzusetzen. Wer kann, darf, muss was? Wann ist der Hersteller in der Pflicht, wann der Systemintegrator, wann der Betreiber, die Instandhaltungs-, Monteurs- und/oder Bediener-Seite? All diese Dinge gelte es genau zu regeln.

„Wir merken sehr häufig bei den Schulungen, die wir abhalten, dass diese Verantwortlichkeiten nicht eindeutig geklärt sind in den Unternehmen. Außerdem wird Vieles im gelebten Automationsalltag einfach von irgendjemandem ‚mitgemacht', weil es keinen eigenen Zuständigen nur für dieses spezielle Aufgabengebiet gibt“, weiß Gerhard Moser aus zahlreichen Gesprächen mit Seminar-Teilnehmern. Er selbst widmet sich in seinen eintägigen Workshops dem „Sicheren Programmieren“ (Nächster Termin 28. April in Wien). Dabei geht es um Sicherheitsanforderungen an eine Software gemäß EN ISO 13849. „Inhalt dieses Seminars ist nicht nur die Code-Erstellung, sondern der gesamte Projektverlauf von der Design-Phase bis zur Validierung. Denn abgesehen davon, dass ein Code gut lesbar, jederzeit erweiterbar und auch für die Nachwelt gut verständlich sein sollte, muss zudem gewährleistet sein, dass bei der Programmierung tatsächlich das Gewollte umgesetzt wurde“, erklärt der Senior Manager System Integration, was dieses Schulungsangebot der Firma Pilz für Projekt- und Abteilungsleiter genauso interessant macht wie für Programmierer, Systemintegratoren und Inbetriebnehmer. Schließlich sei Sicherheit genauso wie Digitalisierung immer auch Chefsache.

Die Sicherheitsexperten der Firma Pilz mahnen bei der digitalen Aufrüstung alter Maschinen zu besonderer Vorsicht, damit potenziellen Angreifern nicht Tür und Tor geöffnet wird.

Die Sicherheitsexperten der Firma Pilz mahnen bei der digitalen Aufrüstung alter Maschinen zu besonderer Vorsicht, damit potenziellen Angreifern nicht Tür und Tor geöffnet wird.

Die Verantwortlichkeitsproblematik

Kein Vorteil ohne Nachteil und umgekehrt. Diese „Binsenweisheit“ gilt für fast alles im Leben – für den Einsatz moderner Technik ebenfalls. „Je mehr Verantwortung ich einem Produkt überlasse und je mehr Datenaufkommen oder Information dieses selbst verwaltet, desto weniger Gedanken muss sich ein Konstrukteur darüber machen, wie er es richtig eindesignt, konfiguriert sowie in das Gesamtkonvolut einer Maschine integriert. Mit smarten Diagnoselösungen wird ihm außerdem die Entscheidung abgenommen, wann eine Komponente zu tauschen bzw. zu warten ist. Er hat sich aber sehr wohl nach wie vor darum kümmern, mit all den ihm zur Verfügung stehenden Informationen richtig umzugehen – das heißt diese an die richtigen Stellen zu bringen, korrekt zu interpretieren und mit geeigneten Mitteln vor Manipulation und unbefugtem Zugriff zu schützen“, bringt Gerhard Stockhammer ein Beispiel dafür, dass zwar auf der einen Seite gewisse Zuständigkeiten wegfallen, während auf der anderen Seite neue Verantwortlichkeiten hinzukommen.

Früher dominierten isolierte Systeme den Shopfloor. Heute werden diese zunehmend in unterschiedlichste Richtungen intelligent vernetzt und um Fernwartungsmöglichkeiten ergänzt. „Solche digitalen Retrofits passieren viel zu häufig ‚gschwind, gschwind', um längere Stillstandzeiten zu vermeiden“, warnen die drei Sicherheitsexperten der Firma Pilz. Sie mahnen bei der Aufrüstung alter Maschinen zu besonderer Vorsicht, damit potenziellen Angreifern nicht Tür und Tor geöffnet wird durch unzureichend geschützte Router oder sonstige Kommunikationsmittel. „Ich persönlich empfehle unseren Kunden immer, das Pferd von der anderen Seite aufzuzäumen: Also sich nicht die Frage zu stellen, wo schotte ich mich ab, sondern wo mache ich eigentlich auf und lasse den Zugriff auf meine Maschinen und Daten zu. White- statt Blacklisting wäre zum Beispiel eine von vielen Strategien, um diese Thematik in den Griff zu bekommen“, regt Martin Strommer zum Umdenken an. Und zu einem genauen Hinsehen rät er insbesondere auch bei all jenen Funktionalitäten zusätzlich integrierter Devices, die im Hintergrund aktiv sind obwohl es für die jeweilige Anwendung gar nicht erforderlich wäre.

Martin Strommer
Security-Spezialist im Customer Support bei Pilz

„Meine Empfehlung lautet, sich nicht zu fragen wo schotte ich mich ab, sondern wo mache ich eigentlich auf und lasse einen Zugriff auf Maschinen und Daten zu.“

Awareness schaffen für „secures“ Handeln

„Hersteller sind Chancen-Denker. Bei ihren Entwicklungen steht immer das Positive im Vordergrund. Sie wollen mit ihren Lösungen Möglichkeiten, Arbeitserleichterungen oder andere Verbesserungen schaffen. Auch das Internet wurde nicht dafür erfunden, um Spionage zu fördern oder Manipulationen durchzuführen“, erinnert Gerhard Stockhammer mit seinem Statement noch einmal daran, dass jede noch so gut gemeinte technologische Errungenschaft zwei Seiten hat.

Laut dem Deloitte Cyber Security Report 2019 fühlt sich in Bezug auf Daten und IT-Systeme nur jedes zehnte Unternehmen absolut sicher. 41 % haben das Gefühl, dass sie nicht völlig sicher sind. KPMG wiederum fand im Rahmen einer Studie heraus, dass etwas mehr als die Hälfte der Befragten (53 %) Cyber Security nicht als fixen Bestandteil von Digitalisierungsinitiativen betrachten und lediglich 42 % über ein dezidiertes Cyber Security-Team verfügen. Und das alles in einer Zeit, in der in der IT-Erpresserbranche Hochkonjunktur herrscht. Pilz will hier – nicht zuletzt aufgrund der eigenen Negativ-Erfahrung – zu mehr Awareness für sicherheitstechnische Belange animieren. „Wir alle müssen uns dafür einsetzen, dass diese Form der organisierten Kriminalität noch mehr Beachtung findet und anderen erspart bleibt“, plädiert Susanne Kunschert, geschäftsführende Gesellschafterin von Pilz, abschließend für eine noch stärkere Zusammenarbeit zwischen Unternehmen, Verbänden, Behörden und Politik, um es potenziellen Angreifern möglichst schwer zu machen.

Filtern

Suchbegriff

Unterkategorie

Firmen

Inhaltstyp

Firmentyp

Land