Pressemitteilungen Rhebo

News

Erfahrungen aus 10 Jahren KRITIS-Cybersicherheit

Klaus Mochalski, CEO von Rhebo, beginnt die neue Podcast-Serie OT Security Made Simple mit einem Rückblick auf die letzten 10 Jahre in der OT-Sicherheit. Wie hat sich die Bedrohungslandschaft entwickelt? Hat sich das Sicherheitsniveau verbessert? Warum ist die OT-Sicherheit für viele Unternehmen immer noch eine Herausforderung? Und welche Schwachstellen und Risiken können als Klassiker in betrieblichen Technologienetzen angesehen werden?

 

 

 

Hören Sie uns auf:

  

 

Transkript

Anne Reinke

Hallo und herzlich willkommen zur allerersten Folge des Podcasts OT Security Made Simple. Mein Name ist Anne Reinke und ich bin bei Rhebo für die Unternehmenskommunikation zuständig. Ich sitze heute hier mit Klaus Mochalski. Wir wollen hier mit unserer ersten Folge beginnen und vielleicht möchtest du, Klaus, dich kurz vorstellen!

Klaus Mochalski

Sicher. Ich bin Klaus Mochalski. Ich bin der Gründer und Geschäftsführer von Rhebo. Ich habe einen technischen Hintergrund. Ich habe vor vielen, vielen Jahren Informatik studiert. Dann habe ich ein paar Jahre lang an der Universität geforscht, bevor ich 2005 mein erstes Unternehmen gegründet habe. Ich war also mein ganzes Berufsleben lang im Bereich Computernetzwerke tätig. Ich habe immer mit Computernetzwerken gearbeitet, und in den letzten 15 Jahren würde ich sagen, mit IT-Sicherheit, speziell Computersicherheit. Und mit dem Start von Rhebo haben wir als Team, insbesondere zum Thema OT-Sicherheit gearbeitet. Aber ich denke, dazu kommen wir noch. Es ist ein zentrales Thema unseres Podcasts, und so werden wir definitiv viel Zeit damit verbringen, darüber zu sprechen, was OT ist, was OT-Sicherheit ist. Ich freue mich also wirklich darauf.

Anne Reinke

Und vielleicht für unsere Hörer: Was ist das Ziel unseres Podcasts? Was wollen wir mit ihm erreichen?

Klaus Mochalski

In den letzten 7 bis 8 Jahren haben wir viele verschiedene Kunden getroffen, nun ja, Unternehmen, die nicht immer zu Kunden wurden. Einige von ihnen schon. Und im Laufe der Jahre haben wir eine Menge über Sicherheit im Allgemeinen oder OT-Sicherheit im Besonderen gelernt, aber auch über die Schmerzen, die Kunden in ihrem Tagesgeschäft haben. In diesem Podcast wollen wir einige dieser Erfahrungen weitergeben, und dazu laden wir Gäste zu diesem Podcast ein. Es werden also immer zwei Personen sein, manchmal vielleicht auch mehr. Und wir werden dies immer in einer Interviewsituation tun, in der ich mit den Gästen über ihre Einstellung zur Sicherheit spreche. Ihre Position in Bezug auf die OT-Sicherheit, und das können Leute aus Unternehmen sein, die für die OT-Sicherheit verantwortlich sind. Es könnte sich auch um Personen aus Regierungsstellen und Verbänden handeln, die, sagen wir mal, aus der Perspektive der Regulierung verantwortlich sind. Wir werden also versuchen, den Podcast interessant zu gestalten und viele Perspektiven zu vermitteln, und es wird definitiv nicht um Rhebo-Produkte gehen. Wir werden uns also vor allem auf die allgemeine Marktsituation und das Bewusstsein in diesem Bereich konzentrieren.

Anne Reinke

OK, das hört sich wirklich interessant an, aber bevor wir vielleicht darüber sprechen, was OT und OT Security ist. Möchtest du, Klaus, den Zuhörern auch sagen, was Rhebo genau macht.

Klaus Mochalski

Kurze Zusammenfassung, sicherlich hilfreich, um zu verstehen, woher wir kommen. Wir haben Rhebo also als kleines Team von IT-Sicherheitsexperten im Jahr 2014 gegründet. Wir hatten einen starken Hintergrund in der IT-Sicherheit. In unserem vorherigen Unternehmen haben wir gemeinsam Firewalls gebaut, Firewalls, die IT-Büros, IT-Umgebungen schützen sollten. Und ich erinnere mich noch, dass wir 2012/2013 die ersten Anfragen von potenziellen Kunden bekamen. Sie wollten nicht so sehr ihre Büro-IT-Infrastrukturen absichern, sondern es waren industrielle Infrastrukturen. Es handelt sich also um Gebäudeautomatisierungssysteme, elektrische Umspannwerke oder auch um industrielle Automatisierungssysteme und Fabriken. Wir begannen also, uns mit diesem Problem und dieser Herausforderung zu befassen und an einer Lösung zu arbeiten. Und so kamen wir auf die Idee, Rhebo zu gründen. Keiner von uns im Gründerteam hatte wirklich viel Hintergrundwissen und Erfahrung mit industriellen Steuerungssystemen, also mit der Art von Systemen, die wir normalerweise bei unseren Kunden schützen - heute bei den Kunden von Rhebo. Wir haben also sehr viel Zeit damit verbracht, mit potenziellen Kunden zu sprechen, aber auch mit Unternehmen, die Dienstleistungen in diesen Bereichen anbieten, um das Feld und die spezifischen Herausforderungen besser zu verstehen. Und so hatten wir Anfang 2015 unsere ersten Piloteinsätze bei Automobilunternehmen, bei Autoherstellern. Und hier sammelten wir die ersten Erfahrungen mit dem Prototyp, den wir gebaut hatten. Und das System, das wir damals gebaut haben, ist im Wesentlichen immer noch das, was Rhebo heute macht. Rhebo baut also eine Lösung, ein System zur Überwachung der Kommunikation in industriellen Steuerungssystemen und industriellen Infrastrukturen, und es verwendet einen lernenden Ansatz, um zu verstehen, wie die Kommunikation während des normalen Betriebs aussieht, und um dann Ereignisse zu erkennen, die möglicherweise zu einem Ausfall oder einer Unterbrechung dieser industriellen Infrastrukturen führen können. Das ist also im Grunde unser Wertversprechen an den Kunden, und das tun wir auch heute noch. In der Geschichte von Rhebps hat es natürlich viele Entwicklungsschritte gegeben. Es gab viele Entwicklungsschritte in der Geschichte von Rhebps: Risikokapitalinvestitionen, die Übernahme durch Landis+Gyr vor etwa zwei Jahren und vor allem das Wachstum des Kundenstamms mit der zunehmenden Erfahrung in verschiedenen Märkten, und wir werden versuchen, diese Erfahrung so weit wie möglich in diesen Podcast einfließen zu lassen.

Anne Reinke

Ja, wir bekommen eine Idee, was Rhebo macht, nachdem du es erzählt hast. Vielleicht möchtest du auch erzählen, warum OT-Sicherheit so wichtig für alle ist. Auch mit deiner Erfahrung, die du gemacht hast.

Klaus Mochalski

Das ist eine Frage, die immer noch erstaunlich oft gestellt wird. Und ich sage das, weil ich glaube, dass die Antwort ziemlich offensichtlich ist. Es gibt eine IT-Sicherheitsindustrie seit, ich würde sagen, mindestens 25 Jahren, vielleicht sogar länger. Es bestand also nie ein Zweifel daran, dass IT-Systeme, sobald sie vernetzt sind, aber auch wenn sie es nicht sind, vor Cyberangriffen geschützt werden müssen. Denn Cyberangriffe sind nicht neu, sondern etwas, das schon sehr früh auftrat, als die ersten Computer mit dem Internet verbunden wurden und sich der erste Internet-Wurm zu verbreiten begann. Es handelt sich also um ein sehr altes Problem, und als wir anfingen, IT-Systeme in industrielle Infrastrukturen einzubauen, haben wir im Grunde das Problem geerbt, das wir schon immer hatten, nämlich IT-Systeme in diesen OT-Umgebungen. Und vielleicht ist es für die Zuhörer sinnvoll, ein wenig darüber zu sprechen, was OT eigentlich bedeutet, denn das ist der Begriff, den wir täglich verwenden. Aber nicht jeder Zuhörer, nicht jeder versteht vielleicht, was es bedeutet, weil es kein allgemein akzeptierter, noch nicht allgemein akzeptierter Begriff ist. OT steht also für Operational Technology und ist im Grunde der Teil der Informationstechnologie, der zur Überwachung, zum Betrieb und zur Steuerung industrieller Systeme im weiteren Sinne eingesetzt wird. Es kann sich also um industrielle Fertigungssysteme handeln, wie sie in einer automatisierten Fabrik zu finden sind. Industrielle Kontrollsysteme, wie sie in elektrischen Umspannwerken zu finden sind, die von einem zentralen Kontrollraum eines Energieunternehmens gesteuert werden. Es kann sich aber auch um das Steuerungssystem in Anlagen zur Erzeugung erneuerbarer Energien wie Solardächer oder Windkraftanlagen handeln. Wir finden sie also im Grunde überall und in jedem Bereich. Und das ist auch der Grund, warum die OT-Sicherheit ein so wichtiges Thema ist. Wenn jemand Opfer eines Cybersecurity-Angriffs in einer IT-Umgebung wird, ist das Schlimmste, was normalerweise passiert, dass wir wertvolle Daten verlieren. Das Schlimmste, was passieren kann, ist ein weitreichender Ausfall der betroffenen Systeme, und je nachdem, welche Systeme betroffen sind, könnte dies ein weitreichendes Problem für ganze Städte, ja sogar Länder und die Gesellschaft im Allgemeinen darstellen. Denn stellen Sie sich einen Stromausfall in ganz Sachsen, in ganz Deutschland, in ganz Europa vor, und Sie haben eine Vorstellung davon, was wir hier zu schützen versuchen. 

Anne Reinke

Wie du schon sagtest, ist es ein wirklich wichtiges Thema, aber wenn du an die Zeit vor 8 oder 9 Jahren zurückdenkst, als du mit Rhebo angefangen hast, wie war der Kenntnisstand oder wie sah der Markt aus? Du hast auch einen kurzen Einblick gegeben, aber vielleicht möchtest du unseren Zuhörern ein paar Erfahrungen mitteilen.

Klaus Mochalski

Das Bewusstsein ist wirklich etwas sehr Wichtiges, ich würde sagen, zentral für unseren wirtschaftlichen Erfolg als Unternehmen. Wenn die Kunden nicht anerkennen, dass das Problem existiert, werden sie auch nicht das Beste tun, um das Problem zu lösen. Und wir haben in den letzten acht Jahren eine bedeutende, vielleicht sogar enorme Entwicklung in Bezug auf das Bewusstsein für OT-Sicherheit erlebt. Das heißt aber nicht, dass das Bewusstsein 2014/2015 noch nicht vorhanden war. Als wir mit den ersten Kunden sprachen, verstanden sie das Problem. Ich erinnere mich noch an ein Gespräch mit einem Ingenieur eines Automobilherstellers, in dessen Werk wir gerade eine vollautomatisierte Produktionsanlage in Betrieb nahmen. Wir hatten unser System in der Endmontage an der Endmontagestation in der Fabrik eingesetzt, und ihm war klar, dass ein Angriff aus dem Internet theoretisch den ganzen Weg durch den Fertigungsroboter finden könnte. Die Ausfallzeit einer Autofabrik kostet viele zehn- oder hunderttausend Euro. Er verstand also das Problem, aber das Risiko wurde als eher gering eingeschätzt, und es brauchte viele Jahre, um zu beobachten, was passiert, wie viele Angriffe stattfinden, wie viele Angriffe erfolgreich sind und wie viele einfache Angriffe hochkritische Infrastrukturen beeinträchtigen. Und das ist es, was das Bewusstsein geschärft hat, nicht so sehr für die OT-Sicherheit im Allgemeinen, sondern ich würde sagen, das Risikobewusstsein. Um zu verstehen, wie hoch das Risiko ist, und um eine fundierte Entscheidung darüber zu treffen, wie viel investiert werden muss, um dieses Risiko zu verringern.

Anne Reinke

Und wenn wir über die Angriffe sprechen, könntest du unseren Zuhörern vielleicht auch einen Einblick geben, was wir in unseren Infrastrukturen mit unseren Sicherheitsbeurteilungen sehen können, was wir auch in unserem Tagesgeschäft tun.

Klaus Mochalski

Das ist immer ein spannendes Thema, obwohl es, wenn wir uns unsere realen Erfahrungen anschauen, eher weniger spannend ist als das, was man in den Schlagzeilen sieht. Das liegt daran, dass die Infrastrukturen unserer Kunden recht gut geschützt sind, noch bevor wir kommen und ihnen mit unserer, wir nennen es manchmal letzte Verteidigungslinie, helfen, um sicherzustellen, dass wir sogar Cyberangriffe erkennen, die durch ihre Verteidigungssysteme, die sie vielleicht schon eingerichtet haben, hindurchgehen. Bei jedem neuen Kunden beginnen wir also mit einer Typisierungsprüfung. Das ist der standardisierte Prozess, bei dem wir unser System einrichten. Wir sammeln Daten für einen bestimmten Zeitraum und unsere Experten führen dann eine Analyse durch, um ein klares Verständnis für den Status quo der Infrastrukturen eines neuen Kunden zu bekommen. Ehrlich gesagt, können uns die meisten unserer Kunden keine Informationen in der Detailtiefe und Qualität liefern, die wir für die Schulung unserer Systeme benötigen. Auf der Grundlage dieser Aktivitäten haben wir also eine lange Liste von Erkenntnissen und statistischen Auswertungen darüber, was am häufigsten passiert, und hier sehen wir wirklich das häufigste Problem. Dabei handelt es sich um Systeme, Software oder Hardware, die in bestimmten Umgebungen aktiv sind, d. h. sie kommunizieren mit der Außenwelt oder mit anderen Systemen in der Infrastruktur. Und diese Systeme werden für keinen Zweck verwendet, sie werden für keinen Zweck benötigt. Es ist also ein bisschen so, als wäre ein IT-System der vergessene Drucker. Der immer noch mit dem Netz verbunden ist. Niemand benutzt es mehr, und es läuft vielleicht ein veralteter Webserver darauf, der für viele Cyberangriffe anfällig ist, weil er alle Schwachstellen hat. Und diese Art von Systemen sollte aus Sicherheitsgründen immer deaktiviert werden. Dies ist also wirklich das häufigste Problem. Dann folgen Dinge wie Sicherheitslücken. Wenn also Systeme mit bekannten Schwachstellen dem Kunden bekannt sind und er Schutzmaßnahmen ergriffen hat, weil ein Patching nicht möglich ist, ist das in Ordnung. Aber für unsere neuen Kunden ist das oft eine Überraschung. Das ist natürlich wichtig. Was wir auch sehen, ist die Verwendung veralteter Technologie. Denn in der Industrie sind die neuen Zyklen länger als in der IT. In der IT bekommen wir etwa alle vier Jahre neue Computer. In der OT laufen die Systeme normalerweise viel länger, 10 Jahre, manchmal 20 Jahre, je nach Bereich. Es ist also ganz normal, dass es Systeme gibt, die in den letzten fünf bis 10 Jahren nicht angerührt wurden. Das ist also nicht wirklich überraschend. Sie finden Softwareversionen, Firmwareversionen in Systemen, die bekannte Schwachstellen aufweisen, d. h. sie werden auf der Website des Herstellers veröffentlicht, und diese müssen natürlich entsprechend behandelt werden. Entweder indem man sie behebt, also patcht oder aktualisiert. Heutzutage sind wir alle mit Software-Updates vertraut, und wenn das nicht möglich ist, und das ist oft kompliziert oder nicht möglich, dann müssen diese Systeme auf andere Weise isoliert werden. Das ist also auch ein sehr häufiges Problem. Außerdem gibt es in industriellen Netzwerken häufig, sagen wir mal, Leistungsprobleme. Unser System ist also ein passives Überwachungssystem, wir greifen also nicht in die Systeme ein. Sie überwachen. Wir lernen nur, wie die Kommunikation funktioniert, und erkennen dann Ereignisse. Und wir erkennen nicht nur Ereignisse, die mit dem Cyberspace oder der Cybersicherheit zu tun haben. Wir stellen auch fest, wenn es ein technisches Problem und Instabilität gibt, wenn die Kommunikation abbricht, und wir benachrichtigen die zuständigen Mitarbeiter auch über diese Ereignisse. Und hier stoßen wir immer wieder auf Kommunikationsprobleme und Störungen, die genauso schwierig und wichtig sein können wie ein Sicherheitsvorfall.

Anne Reinke

Du hast auch gesagt, dass einige unserer Kunden überrascht waren. Sie wussten also nicht wirklich, was in ihrem Netzwerk oder in ihrer Infrastruktur vor sich geht.

Klaus Mochalski

In vielen Fällen ist das wahr. Es ist in unterschiedlichem Maße wahr. Wir haben also Kunden, die eine sehr gute Vorstellung davon haben, wie ihre Infrastruktur aussieht. Sie haben vielleicht Asset-Management-Systeme im Einsatz, und vielleicht sprechen wir später über dieses Thema. Im Grunde genommen handelt es sich also um Systeme, die ihnen einen vollständigen Überblick darüber verschaffen, wer im Netz kommuniziert und wie dies geschieht. Aber das ist oft nicht der Fall. Wir haben auch Kunden, die über ein Patch-Management verfügen, um Sicherheits-Patches zu implementieren, aber das tun sie oft nicht. Und oft haben sie kein klares Verständnis für die Vielfalt der Systeme, die sie verwenden, und für die Vielfalt der Software und auch für die Vielfalt der Kommunikationsprotokolle mit all ihren Sicherheitsanwendungen. Jedes Kommunikationsprotokoll, also die Sprache, in der die Systeme miteinander kommunizieren, hat seine eigenen Sicherheitsanwendungen. Und je mehr verschiedene Protokolle es gibt, desto vielfältiger sind die Sicherheitsherausforderungen. Daher ist es wichtig, ein klares Bild zu haben und dies so weit wie möglich einzuschränken. In einem ersten Schritt helfen wir unseren Kunden also wirklich, sich einen Überblick über das Ausmaß des Problems zu verschaffen, und dann helfen wir ihnen bei der Lösung einiger dieser Probleme, aber bei anderen können wir sie gut beraten, aber manchmal bekommen sie nach unseren ersten Sicherheitsbewertungen eine lange Liste von Hausaufgaben.

Anne Reinke

Du hast auch gesagt, dass es einige oder viele Entwicklungen im Bereich der OT-Sicherheit gab. Gibt es also vielleicht Faktoren wie politische Regelungen oder ähnliches, die zu dieser Veränderung beigetragen haben, oder was denkst Du darüber?

Klaus Mochalski

Ganz genau. Wir haben darüber gesprochen, dass das Bewusstsein im Laufe der Jahre gewachsen ist, und das war kein natürlicher Prozess, sondern ein Prozess, der in hohem Maße durch die Gesetzgebung vorangetrieben wurde. In der Europäischen Union und speziell in Deutschland hat die Europäische Kommission schon vor vielen, vielen Jahren eine Verordnung zur Cybersicherheit vorgeschlagen. Es handelte sich dabei um die sogenannte Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie), die bis 2016 von allen Mitgliedstaaten in nationales Recht umgesetzt wurde. Spätestens seit 2016 hat also jeder EU-Mitgliedstaat zumindest für seine kritischen Infrastrukturen Sicherheitsvorschriften erlassen. Also für die Industriezweige, die unser tägliches Leben am meisten beeinflussen. Das sind zum Beispiel Versorgungsunternehmen, Elektrizitätswerke, Wasser- und Abwasserbetriebe, aber auch der öffentliche Nahverkehr und der Gesundheitssektor. Diese Rechtsvorschriften wurden ständig aktualisiert, manchmal von den einzelnen Mitgliedstaaten, aber es gibt auch von Zeit zu Zeit große Initiativen wie die aktuelle Initiative zur Aktualisierung. Die NIS-Richtlinie mit der NIS-2-Richtlinie wird wiederum eine neue Verordnung darstellen oder die Mitgliedstaaten auffordern, eine neue, aktualisierte Gesetzgebung umzusetzen, die auf dem basiert, was sie in ihren einzelnen Ländern bereits getan haben, also für uns. Dies ist ein wichtiger Faktor, und ich würde sagen, dass wir derzeit etwa 70 % unseres Geschäfts mit Betreibern kritischer Infrastrukturen abwickeln, die nach lokalem oder nationalem Recht verpflichtet sind, bestimmte Sicherheitsmaßnahmen zu ergreifen. Hier helfen wir unseren Kunden also wirklich, und das ist ein wichtiger Antrieb für uns. 

Anne Reinke

Wir haben jetzt viel über die Vergangenheit und die Entwicklungen gesprochen, die gemacht wurden. Vielleicht wollen wir auch einen Blick in die Zukunft werfen. Was sind deiner Meinung nach die Herausforderungen, denen sich die Unternehmen im Hinblick auf die OT-Sicherheit stellen werden?

Klaus Mochalski

Ich denke, das ist ein sehr gutes Thema für viele unserer zukünftigen Podcast-Episoden. Wir sollten also auf jeden Fall versuchen, in die Kristallkugel zu schauen und versuchen, einige der kurzfristigen und auch langfristigen Trends vorherzusagen. Aus der Rhebo-Perspektive glaube ich, dass ein sehr wichtiger Trend, den wir sehen, darin besteht, dass das, was wir heute tun, also die Lösung für die Netzwerk- und Sicherheitsüberwachung, die wir liefern, mehr und mehr in die bestehende oder neu installierte Infrastruktur integriert wird. Heute kaufen die meisten unserer Kunden ihr System bei uns. Wir sind also hauptsächlich ein Softwareentwicklungsunternehmen. Und sie haben das System gekauft, das sie in ihre Infrastruktur einbauen, und dann fangen wir an, das System zu benutzen oder sie fangen an, das System zu benutzen, um die Kommunikation, die Infrastruktur zu überwachen. Es ist ein Add-on. Das hat Vorteile, weil es nicht mit den bestehenden Systemen in Verbindung gebracht wird. Es hat aber auch den Nachteil, dass es zusätzliche Kosten für den Betrieb des Systems selbst verursacht. Es kann ausfallen. Deshalb werden wir bei Rhebo in Zukunft wirklich integrierte Überwachungssysteme sehen. Integriert in die bestehende Infrastruktur. Neue Entwicklungen machen dies durch Dinge wie Virtualisierung und Container-Virtualisierung möglich. Die technischen Begriffe werden wir wahrscheinlich in einigen unserer zukünftigen Episoden behandeln. Es ermöglicht uns im Grunde, unsere Software zu platzieren. Als eine Art App direkt auf einem System und mit diesem Mechanismus können wir sie leicht auf viele dieser Systeme verteilen, die in der Infrastruktur des Kunden vorhanden sind. Potenziell Millionen von Geräten, und so könnte die Aufgabe der Bereitstellung eines Netzwerküberwachungssystems so einfach werden wie die Bereitstellung einer Anwendung auf vielen miteinander verbundenen Systemen, und dann würde die Überwachungsfunktion zu einem Merkmal des Systems werden, das der Kunde bereits nutzt. Das macht die Installation, den Einsatz und auch den Betrieb viel einfacher. Und das ist der Trend, den wir heute sehen, den wir mit dem, was wir bauen, in Bezug auf unser Forschungs- und Entwicklungsteam unterstützen, und das ist wirklich der Punkt, an dem wir die Schwierigkeiten der Branche sehen.

Anne Reinke

Okay. Ich denke, um unsere Zuhörer auf dem richtigen Weg zu halten, haben wir einen guten Überblick über das Thema OT und OT-Sicherheit gegeben und ich danke dir sehr, Klaus, für diesen guten Überblick über deine Erfahrungen und auch die vielen interessanten Erklärungen zur OT-Sicherheit. 

Klaus Mochalski

Auch dir vielen Dank. Und auch unseren Zuhörern möchte ich sagen, bleiben Sie dran für die nächsten Episoden. Wir haben bereits eine Reihe interessanter Themen auf die Beine gestellt. Wie ich eingangs erwähnt habe, laden wir immer jemanden ein, mit dem wir über ein bestimmtes Thema sprechen, das können Kunden sein, das können Unternehmen sein, mit denen wir zusammenarbeiten und in die wir unsere Lösungen integrieren, das können aber auch Personen sein, die aus dem regulatorischen Bereich kommen oder aus Wirtschaftsverbänden, wir versuchen also wirklich, das Thema so interessant wie möglich zu halten.