Corporate News „A Hacker‘s Guide to Automation“

P&A

Herr Ditting, ist das Bewusstsein für die Notwendigkeit von Cyber-Security nach Stuxnet gewachsen?

Stefan Ditting

Das Bewusstsein wächst nach jedem Vorfall. Es sinkt aber auch nach jedem Vorfall wieder. Wir sind alle Menschen, und als solche werden wir auch wieder von unserem Alltagsgeschäft eingeholt. Security ist kein rein technisches Thema, sondern auch ein psychologisches Problem.

Das heißt: Sicherheit als Kür?

Es entwickelt sich weiter zu einem Pflichtthema. Man kann Security nicht bloß betreiben, weil man es gut und wichtig für die eigenen Steuerungen findet. Mittlerweile schreiben die IEC 61508, die seit 2010 in neuer Fassung vorliegt, und die IEC 61511, die 2014 als neue Fassung erscheinen wird, die Auseinandersetzung mit Security als feste Vorgabe vor. Mit dem Thema Cyber-Security wird man nie fertig werden.

Wann haben Sie denn damit angefangen?

1998 hat Hima die Ethernet-basierte funktional sichere Kommunikation mit dem HIQuad-System auf den Markt gebracht. Sowohl was Kommunikations-, als auch was Ethernet-Technik angeht, waren wir damit relativ weit vorne. Wir hatten schon immer einen Prozess im Unternehmen, der die funktionale Sicherheit im Fokus hat, und die hat von vornherein ein sehr restriktives Verhalten auch für Ethernet-Verbindungen vorgegeben. Wir sehen das als nötig an. Wir haben von vornherein die Kommunikation vom eigentlichen Prozess getrennt, nur die wirklich benötigten Ports geöffnet - für das selektive Öffnen bzw. Schließen muss bei anderen Lösungen auch heute noch oft eine Firewall eingesetzt werden.

Ist es nicht bezeichnend, dass gerade bei Cyber-Security keine wirklichen Fortschritte bei Standards und Normen erzielt werden?

Die Frage ist: Wie sollte so ein Standard heißen? Ich glaube: „A Hacker‘s Guide to Automation“. Dem Anlagenbetreiber würde das nicht viel bringen. Es gibt eine Liste mit insgesamt 518 Security-relevanten Papieren. Das Thema ist so extrem komplex und hat so viele Facetten. Das Hacker-Leben ist so zwangsläufig leichter als das derer, die auf der verteidigenden Seite stehen. Und so tun sich auch die Schreiber der Normen schwer.

Sie meinen also, statt der technischen sollte der menschlichen Seite mehr Beachtung geschenkt werden?

Auch in Zukunft wird 75 Prozent der Security-Lösung der Mensch ausmachen und 25 Prozent die Technik. Zudem braucht jedes Unternehmen zumindest einen Mitarbeiter, der dezidiert dafür verantwortlich ist, Cyber-Security im Unternehmen umzusetzen. Der wird ja typischerweise sogar als Security Focal Point bezeichnet.

Das klingt nach einem Kostenfaktor.

Leider ja. Was hat der Anlagenbetreiber im Fokus? Meist will er möglichst preiswert ein Produkt produzieren. Daraus folgt, dass er vom Hersteller der Steuerungskomponenten möglichst günstig ein Automatisierungssystem verlangt. Aber Cyber-Security gibt es leider nicht umsonst, genauso wenig wie funktionale Sicherheit.

Macht der Industrie nicht auch die zunehmende Komplexität zu schaffen?

Integrierte Lösungen an sich sind eigentlich schon Anschläge auf die Sicherheit einer Anlage. Die IEC 61511, die Safety-Norm für die Prozessautomatisierung, besagt aber, dass das Prozessleitsystem vom sicheren Steuerungssystem getrennt sein soll. Es gibt ganz viele Erfindungen, die nur funktioniert haben, weil Prozesse getrennt wurden. So werden sie weniger komplex und haben definierte Schnittstellen. Ich wünsche mir höhere Sicherheit durch geringere Komplexität.