Frage: Herr Habermann, viele mittelständische Unternehmen stehen den neuen oder runderneuerten regulativen Anforderungen, wie der neuen Maschinenverordnung, Cyber-Resilience-Act, NIS 2, ISO 13489 etc. noch eher ratlos gegenüber. Wie gelingt ein guter Einstieg?
Ralf Habermann: Auch wenn es in Thrillern häufig anders dargestellt wird: „Hacker“ verbringen in aller Regel mehrere Tage damit, das Zielsystem zu verstehen, auszuspionieren und möglichst wertvoll erscheinende Daten auszulesen. Wenn wir also den unerwünschten Eindringling sofort entdecken, gibt es keinen Grund zur Panik; man hat die Möglichkeit, durchdachte Maßnahmen zu ergreifen. Parallel dazu kann man versuchen herauszufinden, wo der unerwünschte Eindringling her kommt und über welche Hintertürchen und undichten Stellen er eingesickert ist.
Entsprechend ist also eine Einbruch-Meldeanlage für das Netzwerk ein äußerst sinnvoller Einstieg. Denn ein solches Intrusion Detection System (IDS) wie beispielsweise unsere alphaWatch hört den gesamten Netzwerkverkehr mit und schlägt bei Anomalien sofort Alarm.
Frage: Wie erkennt ein IDS, ob ein neuer Teilnehmer dazu kommt, oder ob sich etablierte Teilnehmer über Kanäle austauschen, über die sie sonst noch nie kommuniziert haben?
Ralf Habermann: Im Prinzip wird jeder Kommunikationsvorgang gegen eine Liste erlaubter Zustände geprüft. Vorgänge, die nicht in dieser Liste enthalten sind, lösen einen Alarm aus. Ein Mensch schaut sich diese Meldung dann genauer an und gibt dem System eine entsprechende Rückmeldung, damit es lernen und seine Regel selbst optimieren kann.
Ein gutes IDS setzt dafür ausgeklügelte KI-Algorithmen ein – und kann mit deren Hilfe die Positivliste der erlaubten Zustände in wenigen Stunden bis Tage selbst erstellen. Moderne IDS, wie z.B. unsere alphaWatch sind zudem flexibel skalierbar. Gerade im heterogenen OT-Umfeld ist dies von eminenter Bedeutung. Denn hier sind unterschiedliche und zum Teil alte Betriebssysteme im Einsatz, für die es keine Sicherheitsupdates mehr gibt. Oder der Maschinenhersteller gibt Updates des Betriebssystems nicht frei, weil die Kompatibilität mit den Maschinen im Feld nicht gewährleistet ist.
Frage: Gib es aus Ihrer Sicht ein unterschiedliches Vorgehen bei IT- und OT-Systemen?
Ralf Habermann: Nicht grundsätzlich. Die Endziele sind die gleichen. Aber man muss sich darüber im Klaren sein, dass diese Welten häufig sehr unterschiedlich sind. Wird die Büro-IT durch Hacker außer Gefecht gesetzt, kann ein enorm hoher wirtschaftlicher Schaden entstehen.
Im OT-Bereich ordnet sich alles der Verfügbarkeit unter – die Produktion muss laufen. Werden Maschinen und Anlagen aber ungeplant abgeschaltet, können nicht mehr steuerbare Prozesse im „worst case“ zu irreparablen Verlusten bis hin zu Personenschäden führen.
Greift jemand gezielt ein OT-System an, dann muss ich davon ausgehen, dass ich einen Profi vor mir habe, der in der Lage ist, herkömmliche Sicherheitsmaßnahmen zu umgehen. Genau aus diesem Grund ist es eminent wichtig, den Eindringling sofort zu erkennen, bevor dieser etwa Schadsoftware einschleusen kann. Denn bei einem Angriff trägt das OT-System die Hauptlast, weil es in diesem heterogenen Umfeld ungleich schwieriger zu reparieren ist. Im Extremfall muss danach jede einzelne Maschine nach unterschiedlichen Vorgehensweisen gereinigt und wieder hochgefahren werden.
Ein gutes IDS verschafft den Anwendern daher zwei Dinge: Die Sicherheit immer zu wissen, dass niemand im digitalen Raum ist, der da nicht hingehört – und die Zeit, den Ursachen einer erkannten Anomalie auf den Grund zu gehen.
Herr Habermann, vielen Dank für das Gespräch!
*OT steht für Operational Technology und umfasst die Netzwerk-Infrastruktur der Produktion eines Unternehmens, also anschaulich die Hard- und Software, welche für die Bereiche des Unternehmens zuständig ist, die nicht mit Teppich ausgelegt sind.
TG alpha ist 2020 aus dem Zusammenschluss der T&G Solutions GmbH und die ProtectEM GmbH entstanden. Mit diesem Schritt wurden in der TG alpha mehr als zehn Jahre Erfahrung aus den Segmenten OT-Security und Digitalisierung im industriellen Umfeld gebündelt.
TG alpha entwickelt sichere Digitalisierungslösungen, vorrangig für technische Anwendungen im Maschinen- und Anlagenbau, für produzierende Unternehmen aber auch für die Gebäude-(leit-) technik. Dabei ist dem Unternehmen wichtig, die gesamte OT-Prozesslandschaft im Blick zu behalten um seine Kunden umfassend dabei unterstützen zu können, Vorteile aus ihren Daten zu ziehen, Teilprozesse pragmatisch zu automatisieren und damit die Effizienz der Kunden deutlich zu steigern.
Die Geschäftsleitung hat Ralf Habermann übernommen, der zuvor bereits die T&G Solutions geleitet hatte. Dadurch ist die Kontinuität in der Weiterentwicklung der TG alpha gewährleistet. Durch die enge Zusammenarbeit mit der T&G Automation greift TG alpha auf umfangreiche Expertise in der industriellen Automation zurück und kann auch größere Aufgabenstellungen bewältigen.
Auf der Basis langjähriger Erfahrung aus dem industriellen Umfeld ist alphaWatch entstanden, ein intelligentes, KI-basiertes IDS, speziell optimiert für den OT-Bereich. Die Meldeanlage für Netzwerk-Einbrüche ist beispielswiese in der Wissenschaftsstadt Darmstadt im Einsatz und überwacht dort die Kommunikation zwischen der Verkehrsleitzentrale, den 180 Ampelanlagen und den rund 3.500 damit verknüpften Sensoren. TG alpha sorgt dafür, dass etwaige Anomalien in der Netzwerkkommunikation sofort gemeldet und zu Zwecken der Rückverfolgbarkeit bzw. zur späteren Analyse zusätzlich auch in eine Datenbank eingespeist werden. Mit der so geschützten Anlage gelingt es dem Mobilitätsamt, den gesamten Verkehr in Darmstadt nahe am ereignis- und umweltorientierten Optimum zu regeln.
TG alpha GmbH
Ulrichsberger Str. 17
94469 Deggendorf
Telefon: +49 (991) 402271-0
Telefax: +43 (3362) 21012-90
http://www.tgalpha.de
Ansprechpartner Fachpresse
Telefon: +49 9922 1033
E-Mail: tw@robologs.com