Joseph Weiss
Joe Weiss: PE, CISM, CRISC, ISA Fellow, IEEE Senior Member
Managing Director, ISA99
Managing Director, Applied Control Solutions, LLC
Blog: www.controlglobal.com/unfettered
Buch: http://www.momentumpress.net/books/protecting-industrial-control-systems-electronic-threats
Sie sind einer der angesehensten Experten in der Absicherung von Industrial Control Systems. Seit mehr als 40 Jahren arbeiten Sie daran, unsere Welt sicherer machen. Sie beraten zum Beispiel die US-Regierung, Kernkraftwerke, und warst als Managing Director des ISA99-Ausschusses maßgeblich an der Schaffung von Industriestandards wie der IEC 62443 beteiligt. Was waren noch einige andere Highlights in Ihrem Job?
Ich hatte das Glück mich in meiner Karriere mit einigen der klügsten Menschen der Welt auszutauschen. Darüber hinaus hatte ich die Möglichkeit an Projekten zu arbeiten, die dem Wohl der Gesellschaft dienten; wie bspw. zu helfen, dass die Lichter weiter leuchten und das Wasser weiter fließt.
Womit verbringen Sie heute die meiste Zeit?
Zusätzlich zu meiner Beratungstätigkeit als Managing Director von Applied Control Solutions setze ich mich mit einigen einzigartigen Herausforderungen der Cybersecurity auseinander – Herausforderungen, die vielen noch unbekannt sind. Ich arbeite daran, Level 0 und 1-Problemen zu identifizieren und dokumentiere Cyber-Vorfälle von Kontrollsystemen.
Was war eine der schwierigsten Herausforderungen, denen Sie in Ihrem Bereich begegnet sind?
Es gibt nur wenige Cyber-Forensiker für Kontrollsysteme. Die Herausforderung bei Kontrollsystemen besteht darin, zu verstehen, wann ein Zustand gestört wird: z. B. wenn bestimmte Ventile schließen, sich Relais öffnen. So ein Vorgang könnte auf einen Cyber-Vorfall hindeuten. Solche Anomalien zu erkennen gehört zu der Ausbildung, die Steuerungsingenieure dringend benötigen.
Welche aktuellen Entwicklungen in der ICS-Sicherheit finden Sie am interessantesten?
Besonders interessant finde ich neue Sensorüberwachungstechnologien, die Sensorsignale authentifizieren und die Identifizierung individueller Einzelgeräte ermöglichen.
Sie haben eine Datenbank mit mehr als 1.300 dokumentierten OT-Vorfällen. Können Sie einige Beispiele nennen, die die Relevanz des Themas für den Mittelstand aufzeigen?
Die meisten Zwischenfälle sind für kleine und mittlere Unternehmen relevant, da Mittelständler unabhängig von ihrer Größe ähnliche Steuerungsgeräte verwenden wie beispielsweise Sensoren, Pumpen, Ventile und Relais, die alle ähnliche Cyber-Schwachstellen aufweisen: Standardkennwörter, Verwendung anfälliger Protokolle usw. Ein Beispiel für einen öffentlich anerkannten Vorfall war der Abwasserhack in Maroochyshire Australien: Ein kleiner kommunaler Wasserversorger, bei dem ein verärgerter Systemintegrator Abwasserkanalventile aus der Ferne öffnete. Es gibt verschiedenste Beispiele in allen möglichen Branchentypen und Organisationsgrößen.
Eines der wiederkehrenden Themen in Ihren Publikationen ist der Fokus auf Sensoren und andere Prozesssteuerungsgeräte. Können Sie die wichtigsten Probleme aus Ihrer Sicht für unsere Lesenden zusammenfassen?
Die Sensoren und Steuerungsgeräte haben keine Cybersecurity, keine Authentifizierung und keine Cyber-Protokollierung. Das bedeutet, dass die gesendeten Daten nicht vertrauenswürdig sind. Alle OT-Überwachungssysteme gehen jedoch davon aus, dass die Pakete unkompromittiert, authentifiziert und korrekt sind. Das Ergebnis ist, dass schon die Eingabe in die Netzwerkanomalieerkennungssysteme nicht vertrauenswürdig ist.
Die Cybersecurity sollte das gleiche Maß an Akzeptanz haben wie die Prozesssicherheit. Das ist derzeit nicht der Fall.
Welche Auswirkungen hat das auf einen Geschäftsführer oder einen CIO eines KMU?
Ein Cyber-Vorfall am „Kontrollsystem Cybersecurity“ kann extreme Folgeschäden verursachen. Im schlimmsten Fall kann es zum Tod von Menschen führen. Es gibt Organisationen, die wegen solcher Vorfälle in den Konkurs gegangen sind. Darüber hinaus beginnen Versicherungsgesellschaften und Ratingagenturen das Cybersecurity-Sicherheitslevel der Kontrollsysteme in ihre Bewertung aufzunehmen.
Was denken Sie über OT-Netzwerküberwachungs- oder Anomalieerkennungssysteme?
Diese Systeme sind leistungsstark, adressieren aber nicht die Erkennung von Prozessanomalien. Das künftige Ziel sollte die Koordination von Geräte-(Prozess-)Anomalie-Erkennungssystemen und Netzwerkanomalie-Erkennungssystemen sein.
Man muss sich bewusst sein, dass es sich bei fast allen Sensordaten um nicht-vertrauenswürdige Informationen handelt. Fast alle Geräte haben eine MAC-Adresse, obwohl es keine Cybersecurity in den Feldgeräten gibt. Die Geräte verfügen jedoch über Ethernet-Konnektivität über den Hostcomputer und Feldkalibratoren.
Was ist eine Halbwahrheit oder eine falsche Aussage, der Sie in Ihrem Fachgebiet immer noch oft begegnen?
Die Vorstellung, dass mit „Luftlücken“ (Air Gaps) alles geregelt ist. Menschen denken, dass sie ihre Kontrollsystemnetzwerke von den Unternehmensnetzwerken und dem Internet isoliert haben. Aber in Wirklichkeit kann man Systeme nicht vollständig isolieren. Selbst für ein kleines bis mittelgroßes Unternehmen ist es unmöglich, echte Air Gaps zu haben. Viele Beratungsunternehmen behaupten das zwar – man kann sich aber nie vollständig auf Air Gaps verlassen.
Wie können wir am besten eine gemeinsame Unternehmenskultur zwischen Betrieb und IT schaffen? Wie bringen Sie das Management dazu, den Support für die Cybersecurity von Kontrollsystemen zu priorisieren? Wie können Sie das Management dazu bringen, sicherzustellen, dass Betriebs-/Engineering-Organisationen an Cybersecurity-Governance an Kontrollsystemen beteiligt sind?
Wenn ich eine Antwort auf diese Fragen hätte, hätten wir kein Problem. Leider handelt es sich dabei um schwierige Fragen und einen laufenden Prozess. Die Geschäftsführung versteht Ransomware und IT-Cybersecurity nur so weit, wie die Themen in den Medien und der Öffentlichkeit behandelt werden. Aber viele sehen Cyber-Schwachstellen des Kontrollsystems wie Stuxnet nicht als Problem an, weil sie denken: „Wir haben keine Zentrifugen“. Und sie denken: „ein Nationalstaat wird mich nicht angreifen“. Nun, einige der führenden Anbieter von Cybersecurity wurden von SolarWinds kompromittiert – und Industrielle Steuerungssysteme liegen 5-10 Jahre hinter der IT in ihrer technischen Raffinesse und ihrer Fähigkeit, einen Angriff zu erkennen. Darüber hinaus wurden Kontrollsysteme nicht entwickelt, um einem vorsätzlichen Missbrauch standzuhalten.
Was bedeutet das für die Zukunft?
Ich denke, es wird immer schlimmer. Die Engineering-Welt und die Cybersecurity-Welt haben oft unterschiedliche Ziele, die sich gegenseitig ausschließen können. Die Ingenieure denken: „Cyber ist gleich IT und IT gleich E-Mail“. Ihre Ausrüstung kann also nicht beeinflusst werden. Die Netzwerkspezialisten denken, dass die Netzwerke das finale Ziel sind, und die Ausrüstung der Ingenieure nicht wichtig ist. Jede Seite denkt, dass die andere nicht versteht, was sie sagt.
Würden Sie nicht sagen, dass die Kontrollen für Stufe 2 und höher besser sind als nichts?
Nun, ja und nein. Es ist natürlich wichtig, Level 2 nach oben zu sichern. Wenn man jedoch dort endet, erhält man ein falsches Gefühl der Sicherheit, da die Cybersecurity-Risiken für die Level 0/1-Geräte ignoriert werden. Die Level 0,1 und sogar einige der Level 2-Geräte sind speziell entwickelte Geräte, die so konzipiert wurden, dass sie sicher und zuverlässig sind. Cybersecurity war keine Designanforderung. Selbst dreifache Redundanz garantiert nicht zwangsläufig Sicherheit – es garantiert lediglich hohe Zuverlässigkeit.
Ich mag auch den Begriff „Cyber-physisches System“ nicht. Ich denke, der Begriff ist irreführend. Eine Pumpe ist ein physisches System mit Cyber-Konnektivität. Eine Firewall ist ein Cyber-System.
Wenn Sie eine E-Mail an alle CIOs der Welt senden könnten, was wäre dann die Kernbotschaft?
Die Aufgabe von Unternehmen ist es Dinge herzustellen. CIOs müssen die Ausrüstung schützen, die das Unternehmen benötigt, um diese Dinge zu produzieren. Mit gutem Engineering kann man eine Menge Cybersecurity-Lücken beseitigen, trotzdem ist eine Zusammenarbeit zwischen Ingenieuren und Netzwerk Cybersecurity-Spezialisten notwendig.
Vielen Dank, Joe Weiss!
Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.