„Gib mir 4“: Interview mit Thomas Käfer anlässlich unseres Vortrages zu IT-Sicherheit in Industrieumgebungen

Am 18. Juni 2020 fand als Online-Stream das Kolloquium der weyer gruppe statt. Es ging dabei um IT-Security für Maschinen und Anlagen. Thomas Käfer hat den Tag mit sieben Referenten moderiert und uns durch das Thema geführt. Mein Beitrag war es, mit einem Live-Hacking des fiktiven Unternehmens „Stein zu Sand AG“ zu zeigen, wie Täter vernetzte Industrieumgebungen (Industrie 4.0) angreifen und z.B. Sach- sowie im Extremfall auch Personenschäden verursachen.

Der Beitrag „Live-Hacking Stein zu Sand AG“ ist über Youtube abrufbar (über den folgenden Screenshot verlinkt). Im Nachgang habe ich den öffentlich bestellten und vereidigten Sachverständigen Thomas gefragt, wie seine Erfahrung bei Produktionsanlagen ist, und was es bräuchte, um zu einer nachhaltig besseren Situation in Sachen IT-Sicherheit zu kommen.

DigiTrace - Martin Wundram - Industrie 4.0 - Live-Hacking 2020 - Youtube
DigiTrace – Martin Wundram – Industrie 4.0 – Live-Hacking 2020 – Youtube

Martin: Wie ist deine Erfahrung in Bezug auf IT-Sicherheit für Produktionsanlagen (Industrie 4.0)?

Thomas: Bei den Produktionsanlagen verhält es sich prinzipiell wie bei den automobilen Infrastrukturen und den vernetzten Fahrzeugen: Wenn man sich ein solches System unter IT-Sicherheitsaspekten bzw. im Rahmen eines Pen-Tests näher anschaut, ist man als Fachmann erschrocken darüber, wie schlecht und fahrlässig Security vielfach implementiert ist. Da werden selbst Basics zur Absicherung von Systemen vergessen oder durch ungeeignete Eigenkonstruktionen ersetzt und nach einer gewissen Eingewöhnungszeit in die für den Hacker zunächst fremde Welt ist er dann doch buchstäblich „drin“.

Martin: Wie reagieren Unternehmen, wenn du sie auf bestehende Lücken hinweist, also im Rahmen einer Forschung etwas findest und darüber mittels „Responsible Disclosure“ berichten möchtest?

Thomas: Manchmal gar nicht, meist unfreundlich bis ungehalten und nur manchmal dankbar und offen für den kostenlosen Input. Ein ehrlich gemeintes „Danke schön“ habe ich selten gehört, eher, dass es eine Reflexhaltung gibt und die Lücke kleingeredet wird bzw. mit Marketing-Bla-Bla Besserung gelobt wird (die es dann nicht oder sehr langsam gibt).

Martin: Was bräuchte es, um zu einer nachhaltig besseren Situation in Sachen IT-Sicherheit zu kommen?

Thomas: Es muss auch in der produzierenden Industrie ankommen, dass IT-Security genauso wichtig ist, wie Safety (also funktionale Sicherheit). Die Angriffe sind real und funktionieren und sind für Angreifer äußerst lukrativ, weil sie oft mit vergleichsweise kleinem Aufwand einen großen Nutzen bringen können. Die Gefährdung der Produktion durch IT-Sicherheitsvorfälle ist m.E. genauso hoch zu bewerten, wie durch Feuer, Einbruch, physische Sabotage usw. und die Eintrittswahrscheinlichkeit und der Impact liegen vielleicht sogar noch höher als bei klassischen Bedrohungsszenarien. Beim Kolloquium der Weyer Gruppe haben wir live aus erster Hand von einem Betroffenen erfahren, was es heißt, wenn das Office-Netz einer Firma von einem Verschlüsselungstrojaner lahmgelegt wurde. Und die hatten noch Glück im Unglück, denn die Produktion war nicht betroffen. Die Erkenntnis des Unternehmers war jedoch, dass es auch diesen Teil hätte treffen können und die Auswirkungen noch schmerzhafter gewesen wären. Das kann einen Betrieb ruinieren. Also: IT Sicherheit ernst nehmen, Fachleute hinzuziehen und sich von Leuten beraten lassen, die sich damit auskennen.

Martin: Gibt es einen Punkt, der dir bei diesem Thema besonders am Herzen liegt?

Thomas: Ich finde es immer angenehmer, wenn man im Vorfeld als Berater und Pen-Tester gerufen wird, bevor etwas passiert ist. Ein Incident bedeutet immer Hektik und Panik beim Auftraggeber. Und wenn ich erst ganz zum Ende als Sachverständiger den Fall analysieren soll, dann ist bereits viel Geld verbrannt worden. Ergo könnte es mir egal sein, wann wir gerufen werden, aber schöner ist es, wenn man im Vorfeld durch geeignete Maßnahmen dazu beitragen kann, dass der Fall der Fälle erst gar nicht eintritt.

Podcast-Interview mit Konstantin von Essen (NewFinance) für Checkpoint Charlie TV

Mit Konstantin von Essen habe ich am 02.04.2020 über IT-Forensik gesprochen und auch über IT-Sicherheit und Cyber-Crime speziell in dieser besonderen Zeit (COVID-19/Corona). Der Podcast ist nun hier und bei Checkpoint Charlie TV zum Download verfügbar.

Wir haben über unsere Welt aus Bits und Bytes gesprochen, und darüber dass Cyber-Crime nicht immer rein digital stattfindet, sondern oft auch unmittelbare Auswirkungen auf unsere physische Welt hat. Dazu haben wir über die besonderen Risiken von kleinen und mittelständischen Unternehmen gesprochen, z.B. über Gefahren, die jetzt bei Home Office und VPN drohen.

Im Podcast habe ich Konstantins Fragen beantwortet:

  • Was genau macht ein IT-Forensiker? Ist er so etwas wie ein digitaler Sherlock Holmes? Oder die „SpuSi“ aus dem Tatort?
  • Wie sehen die Tatorte aus, an denen IT-Forensiker ermitteln?
  • Wie gefährlich ist die aktuelle “Home-Office-Welle”  wirklich? Gibt es effektive Schutz-Maßnahmen, die jeder Einzelne treffen kann?
  • Welche digitalen Bedrohungen sind aktuell für Unternehmen, besonders kleinere und Mittelständler, am gefährlichsten? Und wie können sich diese Unternehmen schützen?
  • Cyber-Risiken sind auch in der Versicherungsbranche mittlerweile auf der Agenda. Bei welchen Fällen werden IT-Forensiker eingeschaltet? Wie groß sind die Schäden?

Den Podcast gibt es (bald) auf Checkpoint Charlie TV zum Download und ab sofort auch hier:
Checkpoint Charlie TV – Konstantin von Essen und Martin Wundram – Podcast zu IT-Forensik und IT-Sicherheit (23 MB, MP3)