Meine Herren, Sie ­beraten in erster Linie den Mittelstand in puncto IT-Si­cher­heit und Ri­siko­mana­gement. Wo hapert es am meisten? Wolfgang Straßer (WS): Das Hauptrisiko im Mittelstand sind derzeit die viel zu langsamen, unflexiblen und unsicheren IT-Prozesse. Viele Aufgaben werden manuell und ohne dahinter liegende stabile Abläufe ausgeführt. Das ist nicht nur zeit- und kostenaufwändig, sondern auch fehleranfällig. Viele mittelständische Unternehmen entwickeln in­novative Produkte und sind weltweit aktiv. Eine schwerfällige IT birgt nicht zuletzt erhebliche Risiken und Stolpersteine im Hinblick auf Wachstum und Ausweitung des Ge­schäfts.

Eigentlich gibt es doch genügend Werkzeuge am Markt, mit denen IT-Abläufe automatisiert werden können, zum Beispiel bei der Softwareverteilung, wo ist also das Problem? WS: Na ja, auch ganz große Firmen haben mit einem vollständig automatisierten Sicherheitsmanagement der IT-Prozesse ab und zu ihre Schwierigkeiten. Es ist schon eine anspruchsvolle Aufgabe, beispielsweise ein paar tausend Arbeitsplätze und Hunderte von Servern kontinuierlich auf einem einheitlichen Sicherheitsniveau zu halten. Voraussetzung für das Funktionieren der Werkzeuge sind klar definierte und gelebte Prozesse. Größte Bedeutung kommt insbesondere dem Change und Configuration Management zu.

Nun werden besonders Mittelständler zunächst einmal nach dem Kosten-Nutzen-Aspekt fragen, zumindest dann, wenn bei Ihnen noch nichts passiert ist. WS: Bei unseren Analysen gehen wir immer von den Geschäftsprozessen aus und bilden die Funktionen der IT-Sicherheit auf das eigentliche Geschäft ab. Damit wird die Beziehung zwischen IT-Sicherheit und dem geschäftlichen Erfolg gerade für mittelständische Geschäftsführungen, wo die Wege zwischen den einzelnen Abteilungen meist noch kurz sind, unmittelbar einsichtig. Markus Geier (MG): Im Übrigen passiert auch immer mehr, gerade in der produzierenden Industrie, die das Gros des Mittelstands ausmacht. Die IT der Fertigung wird ja zunehmend über das IP-Protokoll und Ethernet mit der Büro-IT verbunden, ohne dass dafür aber in der Regel die administrativen Voraussetzungen geschaffen wurden.

Was passiert da? MG: Da gibt es unzählige Beispiele. Wir hatten einen Fall, wo ein fehlerhaft konfigurierter externer Laptop – der unerlaubt ins Büronetz gehängt wurde, welches direkte Verbindung mit dem Produktionsnetz hat – auf einmal die ganze Produktion lahmlegte.

Da wird nicht ordentlich separiert? MG: Ganz selten werden Sie das finden. In der Regel hängen die Büro-Server und die Leitrechner für die Maschinensteuerungen über Layer 2 im gleichen Netz. Mit allen Folgen! Das zeigt, dass eine Netzwerk-Segmentierung und eine klare Definition der Kommunikationsflüsse ein absolutes Muss sind. WS: Kürzlich waren wir bei einem Fertigungsunternehmen, die hatten einen Teilproduktionsausfall, weil ein Modul des Ethernet-Switches ausgefallen war. In der IT-Administration ist denen das erst aufgefallen, als die Kollegen aus der Produktion angerufen und gesagt haben, dass sie ein kleines Problem hätten…

…die Kommunikation zwischen Verwaltungs-IT und Fertigungs-IT lässt offenbar noch zu wünschen übrig… MG: Die lebten ja Jahrzehnte in völlig getrennten Welten. Die Fertigungsautomatisierer hatten ihre Feldbusse, die Büro-ITler ihre Windows- oder Unix-Systeme und ihre Lokalen Netze wie beispielsweise Ethernet.

…und jetzt kommt Ethernet in Gestalt von Industrial Ethernet plötzlich auch zu den Leitrechnern und damit kommen nicht nur die universelle Konnektivität, sondern auch die ganzen Sicherheitsprobleme? WS: So ist es. Im Prinzip ist die IT im Fertigungsbereich ja äußerst strukturiert aufgebaut, viel strukturierter als manche Büro-IT heute noch. Aber die Rechner sind meist völlig ungeschützt gegenüber den simpelsten Angriffen.

Da kann man noch mit den ollen Kamellen von vor fünf Jahren angreifen und Treffer landen? MG: Leider.

Aber an der Nachlässigkeit der Fertigungs-Informatiker kann das doch nicht liegen, Herr Straßer hat ja gerade gesagt, dass die Fertigungs-IT in der Regel sehr strukturiert konzipiert ist. MG: Das liegt an zwei Dingen: Zum einen wurde oft die Verbindung der Fertigungs-IT in Richtung Büro-IT Knall auf Fall hergestellt. Die Büro-IT-Leute haben den Fertigungstechnikern einen Switch hingestellt, der auf Seiten der Verwaltung mit Ethernet angeschlossen wurde und in Richtung Fertigung mit Industrial Ethernet. Eine übergreifende Administration wurde aber nicht eingerichtet. Das ist das eine. Das Zweite ist, dass man auch die technischen Folgen nicht bedacht hat. Man hat nicht bedacht, dass die Gateway- und Steuerungsrechner sowie die Leitstandsrechner in der Produktion teilweise auf Uralt-Betriebssystemen laufen, bei denen für die simpelsten Dinge keine Patche existieren.

…und die in der Regel aus Gewähr­leistungsgründen auch gar nicht ge­patcht werden dürfen… MG: Das kommt noch hinzu. Die entsprechenden Hardware- und Softwarelieferanten garantieren nur für genau den Systemzustand, wie er ausgeliefert wurde. Oder nehmen Sie eine FDA-Zulassung in der Pharmaindustrie. Die gilt nur für eine bestimmte festgeschriebene Konfiguration. Wenn die geändert wird, dann muss die FDA-Zulassung neu beantragt werden.

Was ist da zu tun? WS: Im Endeffekt führt kein Weg daran vorbei, dass sich die Lieferanten von Hard- und Software im Fertigungsbereich den Sicherheitsproblemen stellen und Lösungen anbieten. Zuallererst muss aber die integrierte Ethernet-Rechner-Landschaft insgesamt überwacht werden. Büro-IT-Rechner und Leitstands- und Steuerrechner, die über Industrial Ethernet am selben Switch hängen, müssen auf ein- und derselben Konsole auftauchen. Das ist die erste Maßnahme, die die Unternehmen treffen müssen. Zuvor ist aber erst einmal die Einsicht nötig, dass es sich um ein sehr ernsthaftes Problem handelt, an dem unter Umständen das Wohl und Wehe des ganzen Unternehmens hängt.

Schaden wird die Unternehmen klug machen? WS: Wir hoffen eigentlich, dass die mittelständischen Fertigungsunternehmen vor ernsthaften Schäden klug werden.

Meine Herren, vielen Dank für das Gespräch!