Wenn Daten sicher werden sollen, schlägt seine große Stunde: Dr. Lutz Jänicke hat die Verantwortung für die Sicherheit von Produkten und Lösungen bei Phoenix Contact. Ein Interview über Burgen, Schlapphüte, Mafia und Motivation.
Von Hause aus ist Dr. Lutz Jänicke eigentlich Elektrotechniker. Aber im Zuge seiner Promotion und nachfolgender Aufgaben ist er „irgendwie ins Thema reingerutscht“. Mittlerweile ist er ein international bekannter Experte für das Thema Datensicherheit. Und allererste Adresse bei Phoenix Contact, wenn es um den systemischen Schutz von Netzwerken geht. Das Interview fand passenderweise in der alten Burg- und Schlossanlage von Bad Pyrmont statt.
Dr. Lutz Jänicke
UPDATE: Herr Dr. Jänicke, sind wir hier sicher?
(schmunzelt) Naja, vor 1000 Jahren vielleicht. Aber wie hat man früher Burganlagen angegriffen? Man hat geschossen, gestürmt, belagert und schließlich Tunnel gegraben, die die Mauern zu Fall bringen sollten. Also nach Schwachstellen gesucht. Das ist heute nicht anders als vor 1000 Jahren.
Security war und ist kein technisches, sondern ein Prozessthema. Es kommt darauf an, dass keine Lücke auftaucht.
Nein, das ist ein kontinuierlicher Prozess. Man muss sich vorher überlegen, wie man seine Abwehr so organisiert, dass man auf möglichst alle Eventualitäten vorbereitet ist. Und dann muss die Abwehr dem Angreifer möglichst einen Schritt voraus sein. Im Mittelalter hatte man dafür Jahre Zeit, heute muss das flotter gehen.
Fehler entstehen häufig in klassischen Mustern. Man verlässt sich auch beim Programmieren darauf, dass die Kollegen ihren Job gut gemacht haben. Schleichen sich in einer Arbeitsteilung Fehler ein, sind das die offenen Tore für einen Angriff. Dagegen hilft das Vier-Augen-Prinzip. Wie beim klassischen Burgbau muss schon am Anfang das Verteidigungskonzept stehen. Das meinen wir mit Security by Design.
Das ist arbeitsintensiv, für kreative Köpfe lästig und auch teuer. Am Ende hat man dann ein Produkt, das noch nicht einmal anders aussieht als ein unsicheres Produkt, nur teurer ist. Das muss man erst mal argumentieren. Helfen tut der Gesetzgeber bei der kritischen Infrastruktur. Oder die eigene bittere Erfahrung durch Produktionsausfälle. Das kostet schnell mehrere Millionen Euro bis hin zum massiven Kundenverlust durch Lieferunfähigkeit oder dem unternehmerischen Kollaps. Das nennt man dann Sparen am falschen Ende.
UPDATE:Nimmt die Bedrohungslage insgesamt zu?
Definitiv. Statistiken unserer Branche sind schwierig zu bekommen, aber die beim FBI gemeldeten Schäden durch Cyber-Security-Vorfälle in den USA haben sich in den letzten zehn Jahren verzehnfacht, von 2008 auf 2018, von 200 Mio. auf 2 Mrd. Dollar. Das sind absolut realistische Zahlen.
UPDATE:Wer sind die bösen Jungs? Und was sind die Motive?
Es gibt ganz unterschiedliche Angreifer. Es gibt die Einzelperson, die agiert, da ist der Schaden meist aber nicht so hoch. Das kann aus anarchischen Motiven sein, aber eben auch ganz handfeste wirtschaftliche Gründe haben. Häufig wird Schad-Software benutzt, die tatsächlich gekauft werden kann, wie man das von Apps kennt.
Dann gibt es kommerzielle Organisationen, wo man hochwertige Angriffe gegen Geld kaufen kann, etwa Dienstleister der organisierten Kriminalität in Russland. Und man hört von chinesischen Gruppen, die dann allerdings im Staatsauftrag handeln. Das ist dann schon halbstaatlich.
Und dann gibt es noch die staatlichen Akteure, also NSA, chinesische Volksarmee oder die heimische Bundeswehr, die ja auch aufrüstet. Man kommt den vermeintlichen Akteuren auf die Schliche, wenn man etwa die Zeitstempel der Serveraktivitäten ausliest. Da findet man dann auffallend oft übereinstimmende Zeiten aus einer ganz bestimmten Zeitzone. Denn auch bei Cyber-Piraten gibt es übliche Office-Zeiten.
UPDATE: Wie trainiert man seine Cyber-Abwehrkräfte, wenn man selber „zu den Guten“ gehört? Wie kommt man an die erforderlichen Tools, wenn man selber nicht angreift?
Man muss nicht mal ins Darknet gehen. Selbst die NSA veröffentlicht ab und an Tools, die kann man sich einfach runterladen. Oder bei eBay für 10 Dollar erwerben. Für Laborzwecke im eigenen Umfeld darf man die auch in Deutschland verwenden, nur nicht zu Angriffszwecken im freien Feld.
Doch man braucht auch die echte Umgebung, um seine Werkzeuge zu testen, und damit auch die Abwehr. Wenn man solche Tools durchs Haus geistern lässt, können aber in unserer vernetzten Umgebung Dinge passieren, die wir eben nicht mehr im Griff haben. Daher sind wir da sehr vorsichtig. Ziel muss es aber sein, dass unsere Netze das aushalten.
UPDATE: Wir leben in einer immer vernetzteren Welt. An die Sicherheit denkt man aber immer erst nach Vorfällen. Eine Wahrnehmung, die real ist?
Viele kleinere Unternehmen agieren tatsächlich so. Das ist wirklich kritisch. Größere Unternehmen sind meist deutlich vorsichtiger. Die IT von Phoenix Contact etwa ist sehr wachsam. So ist die Produktion z. B. komplett abgekoppelt vom normalen Office-Netzwerk.
UPDATE:Wie fing das Thema bei Phoenix Contact an?
Beim Berliner Start-up Innominate sind wir 2002 mit dem Thema mobile Firewalls gestartet, sind aber schnell in den Bereich Industrieautomation vorgestoßen. 2008 hat Phoenix Contact dann Innominate übernommen.
Die Phoenix Contact-Gruppe kann aber nicht nur auf Firewalls setzen, sondern muss Datensicherheit in all ihren Prozessen berücksichtigen. Meine Aufgabe ist es, das Thema Security ein Stück weit zu demokratisieren. Wir machen Trainingsprogramme, bilden Leute aus, entwickeln Tools. Jeder, der Software schreibt, muss sich dem Thema Security stellen und sich an bestimmte Guidelines halten.
UPDATE:Wie harmoniert Cyber Security mit klassischer Industrie und herkömmlicher IT?
Eigentlich gut. Wir sind die Fachleute für unseren speziellen Bereich. Das wird im Allgemeinen in der IT gewürdigt.
Ganz anders sieht das oft in der Produktion aus. Da ist in der Regel keiner für die Security zuständig. Wird eine Maschine aufgestellt wird, denkt niemand an deren saubere Integration ins Netzwerk. Dann wird ganz zuletzt gemotzt, warum denn die Steuerung nicht angeschlossen sei. Da müsse noch „ʼne Strippe gezogen“ werden.
Für Controller sind wir allerdings häufig nur ein Kostenfaktor. An dem kann man doch sparen. Läuft doch auch ohne. Wir haben häufig sehr große Schäden, die aber ziemlich selten sind. Daher glaubt jeder, dass es sein Unternehmen nicht trifft.
UPDATE:Auf welchen Feldern ist Phoenix Contact in Sachen Cyber Security aktiv?
Wir sind sowohl im eigenen Unternehmen als auch bei Kunden aktiv. Das hilft in beiden Richtungen, denn so wächst auch unser Beratungsverständnis in den Produktionsbereichen. Und unsere neuen Zertifizierungen zeigen, dass wir von Bestandsaufnahme bis Installation, Inbetriebnahme sowie Schulung alle Prozesse auch kompetent abbilden und anbieten können. Das ist TÜV-geprüft, ganz sprichwörtlich.
Wir haben gerade ein sehr aufwändiges mehrstufiges Zertifizierungsprozedere mit dem TÜV Süd hinter uns und erfolgreich bestanden. Das zeigt, wie ernst wir das Thema wirklich nehmen.
UPDATE:Was kommt in Sachen Security in Zukunft aus Ihrer Sicht auf die Unternehmen zu?
Grundsätzlich ist davon auszugehen, dass die massiv wachsende Bedrohung Geschäftsführungen unter Druck setzen wird. In der Lieferkette steigt der Kundendruck dadurch, dass Security immer mehr ein Thema in der Lieferantenbewertung wird. Auch der Gesetzgeber wird neue Regeln setzen.
UPDATE:Offenheit und Verschwiegenheit – ist sich die Branche der Netzwerkschützer nicht durch übertriebene Geheimhaltung bei Cyber-Angriffen selbst im Wege?
Das ist eine Frage der Kultur. Es ist richtig, dass ein Austausch über Bedrohung und erfolgte Angriffe für alle wichtig ist. Unternehmen, die nicht börsennotiert sind, kommunizieren hier auch schon recht offen. Ein Verschweigen ist geradezu schädlich.
Aber vermeldet etwa ein DAX-Konzern einen erfolgreichen Angriff, dann sinken auch die Aktienwerte. Doch auch hier gibt es ein langsames Umdenken. Alle werden angegriffen. Das ist kein Zeichen von Schwäche. Nur der, der nicht handelt, agiert fahrlässig. Und der, der behauptet, nicht angegriffen zu werden, merkt wahrscheinlich nur den Angriff nicht.
UPDATE:Trifft das auch für Phoenix Contact zu?
Natürlich. Wenn wir mit unserer Bedeutung am Markt NICHT zum Zwecke der Industriespionage von bestimmten Staaten aus Südostasien heraus angegriffen werden, dann hätten wir etwas falsch gemacht. Auch wir bilden uns im täglichen Abwehrkampf immer weiter, trainieren also sowohl für uns selber als auch für unsere Kunden.
