Der Hüter der Net­ze

Wenn Daten sicher wer­den sol­len, schlägt sei­ne gro­ße Stun­de: Dr. Lutz Jäni­cke hat die Ver­ant­wor­tung für die Sicher­heit von Pro­duk­ten und Lösun­gen bei Phoe­nix Con­tact. Ein Inter­view über Bur­gen, Schlapp­hü­te, Mafia und Moti­va­ti­on.

Von Hau­se aus ist Dr. Lutz Jäni­cke eigent­lich Elek­tro­tech­ni­ker. Aber im Zuge sei­ner Pro­mo­ti­on und nach­fol­gen­der Auf­ga­ben ist er „irgend­wie ins The­ma rein­ge­rutscht“. Mitt­ler­wei­le ist er ein inter­na­tio­nal bekann­ter Exper­te für das The­ma Daten­si­cher­heit. Und aller­ers­te Adres­se bei Phoe­nix Con­tact, wenn es um den sys­te­mi­schen Schutz von Netz­wer­ken geht. Das Inter­view fand pas­sen­der­wei­se in der alten Burg- und Schloss­an­la­ge von Bad Pyr­mont statt.

Dr. Lutz Jänicke
Dr. Lutz Jäni­cke

UPDATE: Herr Dr. Jäni­cke, sind wir hier sicher?

(schmun­zelt) Naja, vor 1000 Jah­ren viel­leicht. Aber wie hat man frü­her Burg­an­la­gen ange­grif­fen? Man hat geschos­sen, gestürmt, bela­gert und schließ­lich Tun­nel gegra­ben, die die Mau­ern zu Fall brin­gen soll­ten. Also nach Schwach­stel­len gesucht. Das ist heu­te nicht anders als vor 1000 Jah­ren. Secu­ri­ty war und ist kein tech­ni­sches, son­dern ein Pro­zess­the­ma. Es kommt dar­auf an, dass kei­ne Lücke auf­taucht.

UPDATE: Ein­mal Secu­ri­ty auf­ge­setzt, dau­er­haft sicher?

Nein, das ist ein kon­ti­nu­ier­li­cher Pro­zess. Man muss sich vor­her über­le­gen, wie man sei­ne Abwehr so orga­ni­siert, dass man auf mög­lichst alle Even­tua­li­tä­ten vor­be­rei­tet ist. Und dann muss die Abwehr dem Angrei­fer mög­lichst einen Schritt vor­aus sein. Im Mit­tel­al­ter hat­te man dafür Jah­re Zeit, heu­te muss das flot­ter gehen. Feh­ler ent­ste­hen häu­fig in klas­si­schen Mus­tern. Man ver­lässt sich auch beim Pro­gram­mie­ren dar­auf, dass die Kol­le­gen ihren Job gut gemacht haben. Schlei­chen sich in einer Arbeits­tei­lung Feh­ler ein, sind das die offe­nen Tore für einen Angriff. Dage­gen hilft das Vier-Augen-Prin­zip. Wie beim klas­si­schen Burg­bau muss schon am Anfang das Ver­tei­di­gungs­kon­zept ste­hen. Das mei­nen wir mit Secu­ri­ty by Design. Das ist arbeits­in­ten­siv, für krea­ti­ve Köp­fe läs­tig und auch teu­er. Am Ende hat man dann ein Pro­dukt, das noch nicht ein­mal anders aus­sieht als ein unsi­che­res Pro­dukt, nur teu­rer ist. Das muss man erst mal argu­men­tie­ren. Hel­fen tut der Gesetz­ge­ber bei der kri­ti­schen Infra­struk­tur. Oder die eige­ne bit­te­re Erfah­rung durch Pro­duk­ti­ons­aus­fäl­le. Das kos­tet schnell meh­re­re Mil­lio­nen Euro bis hin zum mas­si­ven Kun­den­ver­lust durch Lie­fer­un­fä­hig­keit oder dem unter­neh­me­ri­schen Kol­laps. Das nennt man dann Spa­ren am fal­schen Ende.

UPDATE: Nimmt die Bedro­hungs­la­ge ins­ge­samt zu?

Defi­ni­tiv. Sta­tis­ti­ken unse­rer Bran­che sind schwie­rig zu bekom­men, aber die beim FBI gemel­de­ten Schä­den durch Cyber-Secu­ri­ty-Vor­fäl­le in den USA haben sich in den letz­ten zehn Jah­ren ver­zehn­facht, von 2008 auf 2018, von 200 Mio. auf 2 Mrd. Dol­lar. Das sind abso­lut rea­lis­ti­sche Zah­len.

UPDATE: Wer sind die bösen Jungs? Und was sind die Moti­ve?

Es gibt ganz unter­schied­li­che Angrei­fer. Es gibt die Ein­zel­per­son, die agiert, da ist der Scha­den meist aber nicht so hoch. Das kann aus anar­chi­schen Moti­ven sein, aber eben auch ganz hand­fes­te wirt­schaft­li­che Grün­de haben. Häu­fig wird Schad-Soft­ware benutzt, die tat­säch­lich gekauft wer­den kann, wie man das von Apps kennt. Dann gibt es kom­mer­zi­el­le Orga­ni­sa­tio­nen, wo man hoch­wer­ti­ge Angrif­fe gegen Geld kau­fen kann, etwa Dienst­leis­ter der orga­ni­sier­ten Kri­mi­na­li­tät in Russ­land. Und man hört von chi­ne­si­schen Grup­pen, die dann aller­dings im Staats­auf­trag han­deln. Das ist dann schon halb­staat­lich. Und dann gibt es noch die staat­li­chen Akteu­re, also NSA, chi­ne­si­sche Volks­ar­mee oder die hei­mi­sche Bun­des­wehr, die ja auch auf­rüs­tet. Man kommt den ver­meint­li­chen Akteu­ren auf die Schli­che, wenn man etwa die Zeits­tem­pel der Ser­ver­ak­ti­vi­tä­ten aus­liest. Da fin­det man dann auf­fal­lend oft über­ein­stim­men­de Zei­ten aus einer ganz bestimm­ten Zeit­zo­ne. Denn auch bei Cyber-Pira­ten gibt es übli­che Office-Zei­ten.

UPDATE: Wie trai­niert man sei­ne Cyber-Abwehr­kräf­te, wenn man sel­ber „zu den Guten“ gehört? Wie kommt man an die erfor­der­li­chen Tools, wenn man sel­ber nicht angreift?

Man muss nicht mal ins Dar­knet gehen. Selbst die NSA ver­öf­fent­licht ab und an Tools, die kann man sich ein­fach run­ter­la­den. Oder bei eBay für 10 Dol­lar erwer­ben. Für Labor­zwe­cke im eige­nen Umfeld darf man die auch in Deutsch­land ver­wen­den, nur nicht zu Angriffs­zwe­cken im frei­en Feld. Doch man braucht auch die ech­te Umge­bung, um sei­ne Werk­zeu­ge zu tes­ten, und damit auch die Abwehr. Wenn man sol­che Tools durchs Haus geis­tern lässt, kön­nen aber in unse­rer ver­netz­ten Umge­bung Din­ge pas­sie­ren, die wir eben nicht mehr im Griff haben. Daher sind wir da sehr vor­sich­tig. Ziel muss es aber sein, dass unse­re Net­ze das aus­hal­ten.

UPDATE: Wir leben in einer immer ver­netz­te­ren Welt. An die Sicher­heit denkt man aber immer erst nach Vor­fäl­len. Eine Wahr­neh­mung, die real ist?

Vie­le klei­ne­re Unter­neh­men agie­ren tat­säch­lich so. Das ist wirk­lich kri­tisch. Grö­ße­re Unter­neh­men sind meist deut­lich vor­sich­ti­ger. Die IT von Phoe­nix Con­tact etwa ist sehr wach­sam. So ist die Pro­duk­ti­on z. B. kom­plett abge­kop­pelt vom nor­ma­len Office-Netz­werk.

UPDATE: Wie fing das The­ma bei Phoe­nix Con­tact an?

Beim Ber­li­ner Start-up Inno­mi­na­te sind wir 2002 mit dem The­ma mobi­le Fire­walls gestar­tet, sind aber schnell in den Bereich Indus­trie­au­to­ma­ti­on vor­ge­sto­ßen. 2008 hat Phoe­nix Con­tact dann Inno­mi­na­te über­nom­men. Die Phoe­nix Con­tact-Grup­pe kann aber nicht nur auf Fire­walls set­zen, son­dern muss Daten­si­cher­heit in all ihren Pro­zes­sen berück­sich­ti­gen. Mei­ne Auf­ga­be ist es, das The­ma Secu­ri­ty ein Stück weit zu demo­kra­ti­sie­ren. Wir machen Trai­nings­pro­gram­me, bil­den Leu­te aus, ent­wi­ckeln Tools. Jeder, der Soft­ware schreibt, muss sich dem The­ma Secu­ri­ty stel­len und sich an bestimm­te Gui­de­li­nes hal­ten.

UPDATE: Wie har­mo­niert Cyber Secu­ri­ty mit klas­si­scher Indus­trie und her­kömm­li­cher IT?

Eigent­lich gut. Wir sind die Fach­leu­te für unse­ren spe­zi­el­len Bereich. Das wird im All­ge­mei­nen in der IT gewür­digt. Ganz anders sieht das oft in der Pro­duk­ti­on aus. Da ist in der Regel kei­ner für die Secu­ri­ty zustän­dig. Wird eine Maschi­ne auf­ge­stellt wird, denkt nie­mand an deren sau­be­re Inte­gra­ti­on ins Netz­werk. Dann wird ganz zuletzt gemotzt, war­um denn die Steue­rung nicht ange­schlos­sen sei. Da müs­se noch „’ne Strip­pe gezo­gen“ wer­den. Für Con­trol­ler sind wir aller­dings häu­fig nur ein Kos­ten­fak­tor. An dem kann man doch spa­ren. Läuft doch auch ohne. Wir haben häu­fig sehr gro­ße Schä­den, die aber ziem­lich sel­ten sind. Daher glaubt jeder, dass es sein Unter­neh­men nicht trifft.

UPDATE: Auf wel­chen Fel­dern ist Phoe­nix Con­tact in Sachen Cyber Secu­ri­ty aktiv?

Wir sind sowohl im eige­nen Unter­neh­men als auch bei Kun­den aktiv. Das hilft in bei­den Rich­tun­gen, denn so wächst auch unser Bera­tungs­ver­ständ­nis in den Pro­duk­ti­ons­be­rei­chen. Und unse­re neu­en Zer­ti­fi­zie­run­gen zei­gen, dass wir von Bestands­auf­nah­me bis Instal­la­ti­on, Inbe­trieb­nah­me sowie Schu­lung alle Pro­zes­se auch kom­pe­tent abbil­den und anbie­ten kön­nen. Das ist TÜV-geprüft, ganz sprich­wört­lich. Wir haben gera­de ein sehr auf­wän­di­ges mehr­stu­fi­ges Zer­ti­fi­zie­rungs­pro­ze­de­re mit dem TÜV Süd hin­ter uns und erfolg­reich bestan­den. Das zeigt, wie ernst wir das The­ma wirk­lich neh­men.

UPDATE: Was kommt in Sachen Secu­ri­ty in Zukunft aus Ihrer Sicht auf die Unter­neh­men zu?

Grund­sätz­lich ist davon aus­zu­ge­hen, dass die mas­siv wach­sen­de Bedro­hung Geschäfts­füh­run­gen unter Druck set­zen wird. In der Lie­fer­ket­te steigt der Kun­den­druck dadurch, dass Secu­ri­ty immer mehr ein The­ma in der Lie­fe­ran­ten­be­wer­tung wird. Auch der Gesetz­ge­ber wird neue Regeln set­zen.

UPDATE: Offen­heit und Ver­schwie­gen­heit – ist sich die Bran­che der Netz­werk­schüt­zer nicht durch über­trie­be­ne Geheim­hal­tung bei Cyber-Angrif­fen selbst im Wege?

Das ist eine Fra­ge der Kul­tur. Es ist rich­tig, dass ein Aus­tausch über Bedro­hung und erfolg­te Angrif­fe für alle wich­tig ist. Unter­neh­men, die nicht bör­sen­no­tiert sind, kom­mu­ni­zie­ren hier auch schon recht offen. Ein Ver­schwei­gen ist gera­de­zu schäd­lich. Aber ver­mel­det etwa ein DAX-Kon­zern einen erfolg­rei­chen Angriff, dann sin­ken auch die Akti­en­wer­te. Doch auch hier gibt es ein lang­sa­mes Umden­ken. Alle wer­den ange­grif­fen. Das ist kein Zei­chen von Schwä­che. Nur der, der nicht han­delt, agiert fahr­läs­sig. Und der, der behaup­tet, nicht ange­grif­fen zu wer­den, merkt wahr­schein­lich nur den Angriff nicht.

UPDATE: Trifft das auch für Phoe­nix Con­tact zu?

Natür­lich. Wenn wir mit unse­rer Bedeu­tung am Markt NICHT zum Zwe­cke der Indus­trie­spio­na­ge von bestimm­ten Staa­ten aus Süd­ost­asi­en her­aus ange­grif­fen wer­den, dann hät­ten wir etwas falsch gemacht. Auch wir bil­den uns im täg­li­chen Abwehr­kampf immer wei­ter, trai­nie­ren also sowohl für uns sel­ber als auch für unse­re Kun­den.

phoenixcontact.de/services

This post is also avail­ab­le in: Eng­lish

Tags
Back to top button
Close