OT Security für kleine und mittelständische Unternehmen (KMU)

Ralph Langner

Ralph Langner ist Gründer und Vorstandsvorsitzender der Langner Group. Seit 1988 sammelte er praktische Erfahrungen in Fragen der Cybersicherheit in Kraftwerken, Wasseraufbereitungsanlagen, Nuklearanlagen, bei Lebensmittel- und Getränkeherstellern, in Automobilwerken, Stahlwerken und vielen anderen Bereichen.

Langner gilt als weltweit führender Experte für Cyberabwehr und hat für seine Analyse der Stuxnet-Malware weltweite Anerkennung erhalten.

Gemeinsam mit Jannis Stemmann von CyberCompare diskutiert Ralph Langner den Stand und die Zukunft der OT-Security. Dabei geht es um die Frage der Frequenz und Schwere von OT-Angriffen, welche Arten von Cybersecurity-Investments sich für einen Mittelständler am ehesten lohnen und wie die Zukunft des Cybersecurity-Marktes aussieht.

CyberCompare Interview mit Ralph Langner: OT Security für KMU

Herr Langner, ich habe mal versucht, so ein bisschen zu überlegen, wie kam das eigentlich, dass Sie auf das Thema OT-Security überhaupt gekommen sind?

Als ich mich dann selbständig machte mit einer Software Firma, das war 1988 der Fall, dann hat mich eigentlich so der Zufall dahin gebracht, dass ich, dass meine Software an Industriefirmen verkauft wurde, die damals die ersten PCs dann mit Industriegeräten, also SPS-en im weiteren Sinne, verbinden wollten und ich hatte dafür zufälligerweise dann eine Softwarekomponente gerade auf den Markt gebracht, also im Grunde als mein erstes Produkt, wenn sie so wollen, mit dem das funktionierte.

Was sind denn jetzt heute eigentlich die typischen Anfragen, mit denen Kunden auf Ihr Team zugehen?

Das ist im Grunde ganz simpel. Wir haben uns ja ungefähr vor fünf Jahren komplett aus dem Consulting zurückgezogen. Wir haben etwa 20 Jahre lang nur OT Security Consulting gemacht und das habe ich aber dann sein gelassen vor fünf Jahren, habe also der Firma eine komplette Neuausrichtung gegeben, nämlich wieder zurück zur Software-Entwicklung und, da können wir auch noch darüber sprechen, wenn Sie das interessiert, welche Gründe das hatte, aber weil wir eben jetzt auch ein sehr klares Profil haben, ist im Grunde klar, wer zu uns kommt, der interessiert sich für OT Asset Management, der interessiert sich nicht mehr für ein Beratungsprojekt, weil, glaube ich, inzwischen die meisten Leute verstanden haben, ja, das macht der Langner nicht mehr. Das ist nicht mehr unser Bereich und jetzt kommen die Anfragen alle zum Thema Asset Management.

Jetzt sind Sie ja, also Sie und Ihr Team, sind ja weltberühmt, vor allen Dingen für Stuxnet, dafür Struxnet gecracked zu haben, die amerikanische Regierung dazu beraten zu haben. Gibt es denn vielleicht noch eine andere sehr knifflige technische Herausforderung, die Sie mit Ihrem Team gelöst haben und Sie auch was erzählen können?

Ja, ich denke mal, Stuxnet würde schon reichen für ein Leben, aber Sie wollen da noch ein bisschen mehr rauskitzeln. Da kann ich Ihnen auch was erzählen.

Also wir haben ja versucht aus der Struxnet-Analyse die Quintessenz rauszuziehen und dann uns zu fragen oder auch die Kunden zu fragen, sag mal, was sollte man eigentlich jetzt tun, wenn man solche Bedrohungen, die dadurch deutlich geworden sind, wenn man die vermeiden möchte und die minimieren möchte, und dazu haben wir uns eine Zeitlang beschäftigt mit einem Analyseansatz, den habe ich genannt „Critical Penetration Analysis“. Sie werden jetzt keine Whitepapers oder so zu finden, wir haben aber praktisch so für uns so eine interne Methodik entwickelt, wo wir sagen, also diese Angriffsvektoren wären da und die könnten dann zu kritischen Konsequenzen führen.

Und das, weiß nicht, inwieweit das bekannt ist, wir haben uns ein paar Jahre lang hier auch in der Nuklearindustrie bewegt. Wir haben dazu eben solche technischen Analysen gemacht und das ist aus meiner Sicht eine sehr spannende Sache gewesen, die nur letztendlich folgenlos geblieben ist und, ja, schade, dumm gelaufen, aber Sie müssen dann ja natürlich also Unternehmer irgendwann die Konsequenz daraus ziehen, ja, interessiert keinem. Also es gibt ja so ein paar Dinge, also ich habe ja ein bisschen was dazu veröffentlicht, also es gibt ein Vortrag von mir, ich glaube von 2016 in Miami bei der S4-Konferenz, wo ich auf Basis dieser Analyse, auch mal so ein bisschen zu verdeutlichen, wie man darangehen kann, darstelle, also ein glaubhaftes Szenario, wie Sie mit einem Cyberangriff eine Kernschmelze im Kernkraftwerk herbeiführen können. Also wenn ihr versucht, das wirklich mal zum Exzess zu führen, und ich sag Ihnen was, also auch für Ihre Zuschauer, für jemanden den es interessiert, ist keine Fantasie, dieses Szenario ist sehr sorgfältig recherchiert.

Und zwar haben Sie auch zum Teil kontrovers die Position vertreten, dass Sie sagen, ok, also ehrlich gesagt, so viele OT-spezifische Angriffe gab es gar nicht oder zumindest sind sie nicht bekannt.

Ich weiß nicht, was daran kontrovers ist, es ist eine Tatsache. Also Tatsachen sind nicht kontrovers. Also Meinungen können Kontroversen, aber keine Tatsachen.

Ja, ok, genau, also es gibt eben auch Wortäußerungen, die sagen, ok, „just because you are not invited to the prom, does not mean there is no dance“, oder so ähnlich. Also das es in Wirklichkeit doch jede Menge geben würde, Angriffe, die OT-spezifisch sind, aber […]

Also, das ist völliger Blödsinn. Wenn Sie mal genauer nachfragen, was meinst Du denn da, was sind denn das für Angriffe? Dann kommen Sie zu den absurdesten Behauptungen. Also ich sag mal als Beispiel, was ich damals sehr blödsinnig fand.

Israelischer Wasserbetreiber: „Ja, wir haben pro Tag über eine Million Cyberangriffe.“ Völliger Schwachsinn. Ja, wenn Sie jeden Ping, der über das Internet auf Ihre Webseite kommt oder Spam, wenn Sie das als Cyberangriff betrachten, dann ja ok. Na, dann ist natürlich klar, dann reden wir von völlig verschiedenen Dingen. Tatsächliche cyber-physische Angriffe hat es nicht gegeben. Angriffsversuche vielleicht, aber tatsächliche Angriffe, erfolgreiche Angriffe, nicht, und ich kann Ihnen sagen, kann Ihnen auch erklären und den Zuschauern, warum wir das wissen, denn wenn es das gegeben hätte, wüssten Sie sofort davon, dann würden nämlich die üblichen Verdächtigen wie FireEye oder Dragos,   so ein riesen Fass aufmachen und würden in aller feinsten Detail Ihnen erklären, was da gelaufen ist und warum das so wichtig ist und vor allem Dingen, was hätte passieren können, weil in der Regel passiert eben sehr sehr wenig, zum Glück. Ja, was alles hätte passieren können. Da würden sie Whitepaper darüber lesen, Sie würden Webinare dazu, Einladungen dazu kriegen et cetera pp. Sie würden Konferenzvorträge hören. Das alles passiert nicht.

Und, was viele Leute nicht verstehen, die Größenordnungen sind einfach völlig aus den Fugen geraten. Sie können das leicht nachvollziehen. Ihre Zuschauer werden das auch wissen, auf Fachkonferenzen:  „Hören Sie mal. Ja, da gab es, guck mal, da Stuxnet und dann hier in […] Florida und dann gab es damals in 2000, gab es den Vitek Boden in Australien, der hat da in Maroochy Shire das Brackwasser in die […]“. Und da kommen Sie insgesamt, ich sag jetzt mal über den dicken Daumen, auf 10 angebliche Angriffe und in der Regel ist dann […] noch dabei, was überhaupt nichts mit OT zu tun hatte. […] Jetzt bleiben wir mal bei der Zahl 10. Wir haben noch ein paar unterschlagen, das sind ja 20. Was viele jetzt dabei übersehen, 20 ist nichts. Da müssen sie einfach mal die Größenordnung sehen. Vergleichen Sie das mit IT-Angriffen, also Ransomware, wie wir es heutzutage praktisch jeden Tag sehen. Vergleichen Sie das mit Cyberspionage. Da reden sie von ganz anderen Größenordnungen, von Hunderttausenden. Also deswegen mal nur grob zur Einordnung und weshalb ich das so sage.

Und ich glaube, wenn Sie diesen Realitätscheck nicht machen, dann werden Sie zumindest Kunden gegenüber unglaubwürdig, weil jeder, der logisch denken kann, wird zu denselben Konsequenzen kommen. „Komm mal, da war doch jetzt nicht so viel.“ Und für mich hat sich das Ganze wirklich geändert in der Nachfolge von Stuxnet, weil ich damals wirklich Schiss hatte. Ich war in Panik. Ich habe gedacht, guck mal, da muss es doch Leute geben, die jetzt verstehen, genau so wie wir das verstanden haben, ja, man kann diesen Angriff auch abwandeln und anders fahren und dann haben wir ein Riesenproblem. Und da habe ich gar nicht mal so an die kritische Infrastruktur gedacht, sondern damals war für uns natürlich das Thema zum Wirtschaftsstandort Deutschland. Sie können einen ähnlichen Angriff fahren gegen die komplette deutsche Autoindustrie und können die lahmlegen. Hätte, könnte, so. – Und jetzt sehen wir aber zehn Jahre später, ist aber nicht passiert. Gott sei Dank, ist nicht passiert, hätte passieren können, ist aber nicht passiert. Und ich habe dann eben die Konsequenz daraus gezogen, ja, haben wir Glück gehabt und warum auch immer die Packer da nicht ran wollen, ich nehme nur das Faktum zur Kenntnis und sage, ja, haben wir Glück gehabt, und müssen jetzt auch eben nicht das Thema so übertreiben, sondern fokussieren uns darauf, dass wir das Thema so angehen, dass wir den Kunden wirklich einen echten Mehrwert liefern und der liegt eben nicht darin, imaginäre Risiken zu mindern, sondern der liegt in anderen Aspekten noch mit drin, dass wir nämlich zum Beispiel  den Instandhaltern das Leben noch ein bisschen leichter machen.

Aber heißt das im Umkehrschluss, viele unserer Kunden beispielsweise kommen aus dem Mittelstand, heißt es denn eigentlich, dass Sie ihnen sagen würden, „Okay, so eine Investition in OT Security lohnt sich eigentlich nicht für Euch“?

Das würde ich so nicht sagen. Ich glaube, die Kunst besteht eben darin, die Investitionen dort zu tätigen, wo es auch was bringt. Und das ist nicht so ganz einfach und da spielen jetzt auch Berater eine Rolle. Denn in der OT Security Geld zu verballern, das geht wahnsinnig leicht. Also zu verballern, ohne irgendetwas dafür zu kriegen, außer vielleicht ein gutes Gefühl. „Ha! Jetzt kann uns aber nichts mehr passieren“, was natürlich unsinnig ist.

Investieren muss man schon was, also allein jetzt schon aus betriebswirtschaftlicher Sorgfaltspflicht heraus. Man kann das Thema nicht ignorieren, aber das weiß ja heute eigentlich auch jeder. Also jeder weiß es ja schon als privater Nutzer, dass es Hacker gibt und dass es auch über die Hacker hinaus, dass es Nationalstaaten gibt, die hier massiv ihr Unwesen treiben. Ich glaube, das hat der Mittelstand ganz gut verstanden. Nur der Mittelstand, der deutsche Mittelstand, ist ja auch massiv von einem ganz spezifischen Thema betroffen, nämlich Wirtschaftsspionage. Also Sprichwort China – das läuft im großen Stil. Und ich glaube, das wissen die und deswegen machen ja auch einige was. Ob sie jetzt genug machen und an der richtigen Stelle, weiß ich nicht. Aber ich denke mal, das Thema ist schon präsent und jetzt zu sagen: „Ja, bisher gab es keine Stilllegung von Produktionsanlagen, es gab hier keine katastrophalen Cyberangriffe, nichts ist explodiert, deswegen müssen wir nichts machen“, das natürlich völlig naiv.

Ich weiß, Pauschalaussage ist immer schwer, aber man als Geschäftsführer eines KMU bisher wenig im Bereich OT Security gemacht hat, wo würden sie normalerweise anfangen?

Ja, das ist natürlich jetzt für mich eine Steilvorlage, denn die Antwort ist ja ganz einfach: Sie müssen mit dem Asset Management anfangen.

Das ist die sachliche Grundlage von allem anderen. Denn sonst, solange Sie nicht wissen, was da überhaupt in Ihren Netzwerken installiert ist und wo jetzt auch Übergänge sind, zum Beispiel auch Fernwartungszugänge, dann ist alles Gerede über Cybersicherheit nur Gerede. Dann findet das nur so im imaginären Raum statt. Und alles, was Sie dann tun, wird auch nur imaginär bleiben. Also das wäre schon ganz wichtig und bei den KMUs halte ich für ein besonderes Problem noch, dass es halt sehr schwierig ist für die kleineren Unternehmen – das sehen Sie übrigens auch in der kritischen Infrastruktur, in der Wasserversorgung oder bei den Stromnetzbetreibern, wo wir auch viele kleinere Betreiber haben – die ganzen Fernwartungszugänge abzusichern, die ganzen Laptops, die von Fremdfirmen mit in die Firmen reingebracht werden, das einigermaßen zu kontrollieren, obwohl das eigentlich eine der Hauptaufgaben wäre, da mal ein bisschen Ordnung reinzubringen. Das ist für kleinere Unternehmen sehr schwierig. Die großen Autobauer sagen einfach: „Ne, ihr kommt hier nicht mit eurem Laptop rein. Punkt. Und wenn ihr für, was weiß ich, Daimler oder BMW arbeiten wollt, ja, dann geht das nicht. Wir stellen euch den Laptop hin, da könnt ihr euch dann dransetzen, aber euer Laptop bleibt draußen.“ Und das können Sie sich natürlich jetzt als ein kleinerer Mittelständler nicht leisten.

Wobei, wir dürfen ja nicht vergessen, Mittelstand ist ja ein dehnbarer Bereich, es gibt ja auch sehr große, die das auch versuchen, gegenüber ihren Lieferanten durchzusetzen, aber das ist ein so neuralgischer Punkt, der sehr schwierig anzugehen ist, weil jedem klar ist, naja, wenn er sein Ding mitbringen kann, wo seine ganze Engineering Software usw. drauf ist, seine ganzen Projekte, dann erleichtert das vieles. Ja, nur er bringt eben nicht nur seine Projekte mit, sondern möglicherweise bringt er auch noch seine Schadsoftware mit, von der er natürlich nicht weiß, dass die da drauf ist. Und das ist ein Problem, was ich als sehr wichtig und dringend sehe, denn die üblichen Verdächtigen nehmen im Bereich, also ich nehme mir noch mal das Stichwort „China“, die wissen natürlich genau, wo sie reinkommen können. Und das wäre gerade bei den Fremdfirmen, bei den Ingenieurbüros, die in der Regel praktisch nichts an Cybersicherheit haben, die aber auch ein Internetauftritt haben, die über irgendwelche Mailinglisten zu finden sind, die also auch anfällig gegen Spear-Phishing sind et cetera. Da würde man ansetzen. Ja, kein leichtes Thema.

Wenn wir beim Thema Inventarisierung bleiben. Welche Aspekte sind denn vielleicht nicht so ganz offenkundig, wenn man ein Inventar nicht nur von den IT, sondern auch von den OT Assets erstellen und auch aktualisieren möchte?

Ja, also, ich denke mal, was nicht offenkundig ist, Sie müssen so ein Inventar haben und sie können es nicht per Hand machen.

Jetzt kennen Sie den OT Bereich seit über 30 Jahren. Was glauben Sie denn: Wird sich der Markt noch weiter konsolidieren oder wird er immer neue Nischenplayer geben? Gibt es vielleicht auch Lösungen oder Unternehmen, wo Sie abschätzen, dass die wahrscheinlich zu den Gewinnern zählen werden?

Ja, also ich glaube, dass wir da erst am Anfang stehen, denn Sie dürfen ja eins nicht vergessen: in der OT, in der Automatisierungstechnik, da gehen die Uhren 10x langsamer als in der Rest der Welt. Aber ich denke mal, was sich am meisten verändern wird, das ist jetzt mal eine Vorhersage, die ich mache, das ist die Beratungsbranche. Die Beratungsbranche für Cybersicherheit in der OT, die wird es weiterhin geben, weiterhin geben müssen, weil wir sie nur zu einem gewissen Grad automatisieren können, also was die Security anbetrifft. Und ich denke mal, der Umbruch, der uns bevorsteht in der Beratungsbranche, befördert durch Covid, wird sein, dass wir jetzt massiv von diesen Projekten, wo Sie 20 Workshops beim Kunden on site machen, da kommen wir von weg.

Was sind denn Halbwahrheiten oder manchmal auch Falschaussagen, die ihnen über den Weg gelaufen sind oder die Ihnen vielleicht jetzt auch schon kürzlich wieder begegnet sind?

Ja, also, ich glaube, der wichtigste Blödsinn, den man konstatieren muss, ist ja: Die Anzahl der Angriffe, die steigt ja ständig. Das ist völliger Blödsinn.

Und ansonsten bin ich der Meinung, ja, bei der Cybersecurity im ICS Umfeld sollte man immer wieder darauf hinweisen: Es gibt nicht so Patentrezepte, wie jetzt ICS Detection Produkte oder Threat Intelligence oder sowas, sondern es ist immer noch wichtig, da zu einem sinnvollen Mix von Maßnahmen zu kommen, wo jetzt auch die Berater immer noch ihre sehr wichtige Position haben.

Herr Langner, wenn Sie eine E-Mail an alle CIOs oder CISOs dieser Welt schicken könnten, was wäre die Kernbotschaft? Was würde vielleicht auch in der Betreffzeile stehen?

Ich würde schon sagen: Pass mal auf. Wir müssen jetzt zusehen, dass uns dieses Thema Cybersicherheit in der Produktion nicht komplett aus dem Ruder läuft. Denn wir sind jetzt an so einer Weggabelung angelangt und die Weggabelung, die heißt im Grunde Industrie 4.0 oder Digital Transition.

Wir wissen jetzt völlig klar, die Digitalisierung der Produktion nimmt immer mehr Tempo auf und das war vor ein paar Jahren noch nicht so ganz klar. Also ich kann mich noch an Zeiten erinnern, wo die Meinung vorherrschend war, ja, dieses Ganze mit der IT in der Produktion mit PCs für Visualisierung, sei alles nur Ad-On, also Pillepalle. Lass es doch komplett ausfallen, interessiert keinen. So, und inzwischen, paar Jahre später weiß jeder, also Stichwort „Colonial Pipeline“ – Nein, das ist nicht mehr so. Jetzt hängt halt die IT oder digitale Komponenten und Architekturen hängen überall drin und sind jetzt zu so einer Krake geworden, ohne die es nicht mehr geht. Das Problem, was wir haben, ist, wenn Sie diese Krake nicht mehr genau kennen und nicht mehr verstehen, dann kontrollieren Sie eigentlich Ihren Betrieb und Ihre Produktion nicht mehr. Ja, und wir nähern uns jetzt diesen, der Amerikaner würde sagen „Inflection Point“. Wenn Sie es jetzt nicht in den Griff kriegen, dann ist vorbei.

Also ich kann nur jedem raten, sich mit dem Thema zu beschäftigen und vor allen Dingen auch nicht den Mut zu verlieren und zu sagen: „Oh, das ist alles so furchtbar mit den Bedrohungen. Und die Russen und APT 5 und APT 16 und soweit …“ – Alles quatsch.

Also ich würde das Ganze gerade jetzt den deutschen Zuschauern empfehlen. Das ist ein technisch spannendes Thema, was sich auch technisch lösen lässt und da sollten mehr Leute daran mitarbeiten, als das bisher der Fall ist.

Schönes Schlusswort.

Herr Langner, vielen herzlichen Dank nochmal für Ihre Zeit und Ihre Beiträge und wir wünschen Ihnen alles Gute weiterhin und wir würden uns natürlich freuen, im Gespräch zu bleiben.

Sie denken über Cyber-Sicherheitsmaßnahmen nach? CyberCompare hat geprüfte Anbieter A wie Awareness bis Z wie Zero Trust im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote für Ihre IT, OT oder IoT. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.