<\/p>\n\n\n\n Hallo Dale, wir freuen uns sehr, Dich heute hier begr\u00fc\u00dfen zu d\u00fcrfen. Du blickst inzwischen auf eine 37-j\u00e4hrige Erfahrung mit allen m\u00f6glichen Sicherheitsthemen zur\u00fcck. Du hast Deine Karriere bei der NSA begonnen und unterst\u00fctzt nun seit \u00fcber 20 Jahren die Sicherheits-Community der Wirtschaft. Viele unserer Leser kennen Dich und sind auch Fans Deines Podcasts<\/a> oder lesen Deinen w\u00f6chentlichen <\/strong>Newsletter<\/strong><\/a>. Kannst Du unsere Zuschauer an einigen besonders denkw\u00fcrdigen Momenten Deiner Karriere teilhaben lassen?<\/strong><\/strong><\/p>\n\n\n\n Nun ja, 37 Jahre, das ist eine lange Zeit, aber ich w\u00fcrde sagen, dass die meisten besonders denkw\u00fcrdigen Momente einfach so passiert sind und dass ich einfach Gl\u00fcck hatte, dar\u00fcber zu stolpern. Ich sto\u00dfe immer auf Dinge, die mein Interesse wecken, und st\u00fcrze mich darauf, egal, ob es aus gesch\u00e4ftlicher Sicht profitabel ist.<\/p>\n\n\n\n Ein Beispiel: Ich habe in Illinois studiert und hatte vor, 1984 meinen Abschluss in Finanzen zu machen. Ich wollte Versicherungsmathematiker werden. Ich hatte aber diesen Artikel gelesen, dass das Au\u00dfenministerium einen wirklich spannenden Test zur Eignung f\u00fcr den diplomatischen Dienst durchf\u00fchrte. Also wollte ich mich daf\u00fcr anmelden, weil es viel aufregender klang als die Ausbildung zum Versicherungsmathematiker. Dort hie\u00df es dann aber, ich sei zu sp\u00e4t; die Anmeldefrist sei bereits verstrichen. Es gebe aber noch eine andere Beh\u00f6rde, die National Security Agency, die auch einen Eignungstest durchf\u00fchre. Ob ich nicht vielleicht daran teilnehmen wolle. Damals, 1984, wusste niemand ganz genau, wer oder was die NSA war. Also zuckte ich mit den Schultern und sagte: \u201eKlar, warum nicht?\u201c Ich nahm an dem Test teil und schnitt letztendlich so gut ab, dass ich mich f\u00fcr die Position eines Kryptoanalysten qualifizierte. Ich hatte also die n\u00f6tigen Kompetenzen, ein \u201eCodeknacker\u201c zu sein, und bekam eine Stelle daf\u00fcr.<\/p>\n\n\n\n Nicht vergessen, das war 1984. Mein Vater fragte mich damals, was ich denn mit diesen F\u00e4higkeiten anfangen wolle. Niemand schere sich um Security! Das sei doch eine Sackgasse und ich solle an meinem urspr\u00fcnglichen Plan, Versicherungsmathematiker zu werden, festhalten, denn das sei ja eine sichere Sache. Das und nichts anderes solle ich tun. Ich aber fand, dass der NSA-Job sehr spannend und interessant klang. Also habe ich mich daf\u00fcr entschieden. Inzwischen wissen wir alle, dass Sicherheit ein wichtiger Bereich ist, und so hat sich das alles f\u00fcr mich sehr gut gef\u00fcgt.<\/p>\n\n\n\n Mit ICS [Anm. d. Red.: Industrial Control Systems, also industrielle Steuerungssysteme] war es ganz \u00e4hnlich. Im Jahr 2000 waren wir ein kleines Unternehmen: Vier Leute arbeiteten als Sicherheitsberater und irgendwie wurde ein Wasserversorgungsunternehmen drau\u00dfen im Mittleren Westen auf uns aufmerksam und kontaktierte uns. Ich wei\u00df immer noch nicht, warum. Wir sollten das SCADA-System beurteilen. Klar! Ich wusste nicht einmal, was SCADA war. Aber wir brauchten den Auftrag, und da ich ja Berater war, sagte ich zu.<\/p>\n\n\n\n Am Ende mussten wir uns gegen IBM behaupten und schafften es irgendwie, den Zuschlag zu erhalten. Und je mehr ich mich mit der Materie besch\u00e4ftigte, desto mehr begeisterte mich dieses Gebiet. Ich meine, statt in einem Rechenzentrum zu hocken, waren wir wirklich vor Ort und sahen uns Pumpwerke und solche Dinge an. Und da war mir klar: Das war genau das, was ich machen wollte. Wohlgemerkt, damals im Jahr 2000 war ICS-Sicherheit noch kein sonderlich zukunftstr\u00e4chtiges Gesch\u00e4ft. Es gab eigentlich niemanden, den das wirklich interessierte. Ich war \u00fcberrascht, dass sich diese Leute \u00fcberhaupt damit besch\u00e4ftigten und bin da quasi hineingestolpert.<\/p>\n\n\n\n Ich kann auch gar nicht sagen, dass alles von Erfolg gekr\u00f6nt war. Ich bin auch in Bereiche hineingestolpert, die mir \u00fcberhaupt nicht gefielen, zum Beispiel Sicherheitssysteme f\u00fcr Banken. Ende der Neunziger versuchten wir, ein Produkt f\u00fcr Online-Broker zu entwickeln, was sich aber als Flop erwies. Ich w\u00fcrde sagen, dass viele der besonderen Momente meiner Karriere aus Dingen entstanden sind, die ich wirklich gerne mache und spannend finde.<\/p>\n\n\n\n <\/p>\n\n\n\n Welche Personen w\u00fcrdest Du als Mentoren bezeichnen, die Dich auf Deinem Weg vorangebracht haben?<\/strong><\/strong><\/p>\n\n\n\n Das ist schwierig, weil es nicht viele gab, die in meinem Bereich aktiv waren. Oft leistete ich mehr oder weniger Pionierarbeit. Die meisten \u201eMentoren\u201c waren eigentlich keine Personen, sondern vielmehr B\u00fccher und Redner und Konzepte. Als ich mich dem Thema ICS-Sicherheit zuwendete, st\u00fctzte ich mich stark auf Tom Peters, der damals einer der ersten war, der das \u201eBrand you\u201c-Konzept vorantrieb. Und er sprach dar\u00fcber, wie man eine pers\u00f6nliche Marke entwickelt. Also kaufte ich sein Buch und fand heraus, dass man 50 unterschiedliche Dinge tun konnte, um sich in diesem Bereich einen Namen zu machen. Es sind also eher solche Leute, von denen ich gelernt habe oder die mir auf meinem Weg geholfen haben.<\/p>\n\n\n\n <\/p>\n\n\n\n Was war eine der gr\u00f6\u00dften technischen Herausforderungen, die Dir in Deinem T\u00e4tigkeitsfeld begegnet ist, und wie seid Ihr im Team damit umgegangen?<\/strong><\/strong><\/p>\n\n\n\n Nun, wenn es konkret um technische Herausforderungen geht, dann hatten wir 2006 eine besonders harte Nuss zu knacken. Wir schlossen einen Forschungsvertrag mit dem Department of Homeland Security ab, um signaturbasierte Angriffserkennungsmethoden f\u00fcr ICS-Protokolle zu entwickeln. Einige der Protokolle wie DNP3 und Ethernet\/IP erforderten Pr\u00e4prozessoren, um Pakete zu verarbeiten, die auf mehrere Pakete aufgeteilt und auf mehreren Ebenen des Stacks involviert waren.<\/p>\n\n\n\n Also stellte ich Daniel Peck ein, der extrem clever und erfahren war. Er versuchte ein oder zwei Monate lang, das R\u00e4tsel zu l\u00f6sen, aber es gelang ihm einfach nicht. Wir waren aber in der Pflicht; wir mussten liefern. Also versuchten wir es immer und immer wieder. Vergeblich.<\/p>\n\n\n\n Schlie\u00dflich beschlossen wir, jemanden an Bord zu holen, der zuvor einen der komplexesten Pr\u00e4prozessoren entwickelt hatte, und stellten ihn als Berater ein. Das erste, was er sagte: \u201eOh je, die gesamte Dokumentation ist ja falsch.\u201c<\/p>\n\n\n\n Und er hatte Recht. Auch Jahre danach, also in den Jahren 2011 und 2012, war die Doku immer noch v\u00f6llig falsch. Wenn man sich genau an die Vorgaben der Dokumentation gehalten h\u00e4tte, w\u00e4re man gescheitert, aber der neue Berater sagte uns, wie es wirklich funktioniert. Daniel war nach einer Woche fertig.<\/p>\n\n\n\n Das war jetzt ein ganz konkretes Beispiel, aber es gibt noch eine ganz allgemeine technische Herausforderung, die jeden Anlagenverantwortlichen (Asset Owner) betrifft: Wir haben nur begrenzte Ressourcen und es gibt so viele Dinge, die wir tun k\u00f6nnten. Worauf konzentrieren wir uns?<\/p>\n\n\n\n Das Kriterium, das ich immer anwende, ist eine effiziente Risikominderung. Wo k\u00f6nnen wir mit jedem weiteren Dollar, den wir ausgeben, oder jeder weiteren Stunde, die wir darauf verwenden, das Risiko am st\u00e4rksten senken? Ich halte das f\u00fcr ein sehr interessantes Problem. Und es erfordert auch ein gewisses Umdenken, denn meistens sind es nicht die Bereiche, von denen man automatisch ausgeht, sondern ganz andere. Das ist in jedem Unternehmen eine Herausforderung.<\/p>\n\n\n\n <\/p>\n\n\n\n Wie gehst Du konkret vor, um Risiken zu bestimmen, z.B. gemeinsam mit Euren Kunden?<\/strong><\/strong><\/p>\n\n\n\n Der Schl\u00fcssel ist, sich gezielt auf die Konsequenzen zu konzentrieren. Wenn man so viel zu tun hat, ist es wichtig, sich zu fragen: \u201eKann ich, wenn ich diese funktionierende Sicherheitsma\u00dfnahme umsetze, meine Risiken tats\u00e4chlich mindern? Und das wei\u00df man erst, wenn man die Konsequenzen eines Angriffs kennt und wei\u00df, ob eine Ma\u00dfnahme die Wahrscheinlichkeit oder die Folgen eines Angriffs mindern w\u00fcrde. Und man muss nat\u00fcrlich Priorit\u00e4ten setzen.<\/p>\n\n\n\n Wir beobachten derzeit immer mehr Cyberrisiko-Analysen [sogenannte Cyber-PHAs, Process Hazard Analyses]. Ich glaube also, dass die Industrie sich langsam damit zurechtfindet.<\/p>\n\n\n\n <\/p>\n\n\n\n Welche aktuellen Entwicklungen bei industrieller Cybersicherheit findest Du besonders interessant?<\/strong><\/strong><\/p>\n\n\n\n Nun, das ist mein Metier. Unser S4-Event<\/a> befasst sich mit diesen Dingen, sucht nach Innovationen und richtet den Blick darauf, was die Zukunft so bringen wird. Unser Slogan lautet sogar: \u201eCreate the future\u201d. Ich verbringe inzwischen nur noch ca. ein Drittel meiner Zeit mit Beratung. Ich k\u00f6nnte also eine lange Liste herunterrattern, aber ich denke, f\u00fcr Eure Leser sind neue Sicherheitsentwicklungen von Level 1 am interessantesten \u2013 also SPS und Controller \u2013 es geht also um das, was jetzt verf\u00fcgbar ist und um das, womit wir in ein bis drei Jahren rechnen k\u00f6nnen.<\/p>\n\n\n\n Wenn man dar\u00fcber nachdenkt, dann ist eine der gr\u00f6\u00dften Herausforderungen der Schutz des eigenen Systems vor Angreifern, die sich bereits innerhalb des Systems befinden und so direkt Level 1 angreifen k\u00f6nnen. Wenn diese \u00fcber die n\u00f6tigen technischen und Automatisierungsf\u00e4higkeiten verf\u00fcgen, haben sie freie Hand, weil diese Systeme per se vom Design her unsicher sind.<\/p>\n\n\n\n Alles, was man als Angreifer braucht, ist ein dokumentiertes Feature. Wenn man neue Firmware hochladen will, reicht der Befehl zum Hochladen von Firmware. Wer ein Programm \u00e4ndern will, muss nur nach dem entsprechenden Befehl suchen. Man muss nichts hacken.<\/p>\n\n\n\n Wenn man diese Probleme kennt und l\u00f6st, hat man einen gro\u00dfen Schritt hin zu einem besseren Schutz des Systems gemacht. Einige der f\u00fchrenden Anbieter bieten inzwischen signierte Firmware. Ein Riesenschritt! Damit packt man das Problem an der Wurzel: Keine Angreifer mehr, die schlechte Firmware entwickeln, hochladen und Ger\u00e4te st\u00f6ren oder zerst\u00f6ren! Wenn man also nur noch vom Anbieter signierte Firmware hochladen kann, ist das eine enorme Verbesserung in puncto Sicherheit. Das sind Dinge, die jetzt f\u00fcr viele Systeme eingef\u00fchrt werden k\u00f6nnen.<\/p>\n\n\n\n Und wir sehen inzwischen auch immer mehr verschl\u00fcsselte und authentifizierte Protokolle, z.B. Modbus Secure, PROFINET mit TLS-Verschl\u00fcsselung. Endlich sind wir dort angelangt, was wirklich toll ist.<\/p>\n\n\n\n Was mich l\u00e4ngerfristig sogar noch mehr begeistert, ist die Idee einer Virtualisierung von Level 1. Alles au\u00dfer IO ist virtuell. Wenn wir erst einmal so weit sind, l\u00e4sst sich alles innerhalb von Minuten statt Monaten zerlegen und neu zusammensetzen. Das ist dann etwas ganz anderes.<\/p>\n\n\n\n Das Gleiche gilt f\u00fcr Level-1-Ger\u00e4te, die im Grunde Computer sind. Emerson beispielsweise hat einen virtualisierten<\/a> Controller. Aus Gr\u00fcnden der Sicherheit, Zuverl\u00e4ssigkeit, Wartbarkeit und Leistungsf\u00e4higkeit wird man k\u00fcnftig mehr davon sehen. In den USA sind die meisten gr\u00f6\u00dferen Kontrollsysteme, die eingesetzt werden, eigentlich virtuelle Plattformen auf Level 2. Und das wird sich in Richtung Level 1 entwickeln.<\/p>\n\n\n\n <\/p>\n\n\n\n![\"\"](\"https:\/\/cybercompare.com\/wp-content\/uploads\/2023\/09\/Paterson_Dale-1024x576.jpg\")