Interview mit Björn Haan, TÜV Rheinland „Cyber Security ist der neuralgische Faktor für die digitale Transformation“

11. November 2017

Was sind die aktuellen Treiber für das Management von Unternehmen im Bereich der Informationssicherheit? Wie weit sind die Organisationen mit der Umsetzung der Europäischen Datenschutzgrundverordnung (EU-DSGVO)? Warum gewinnt Proaktive Cyber Security Intelligence immer mehr an Bedeutung und wie kann eine Absicherung von Industrie 4.0 gelingen? Eine aktuelle Momentaufnahme aus der Praxis gibt Björn Haan, Geschäftsführer im Geschäftsfeld Cyber Security Deutschland bei TÜV Rheinland, im Interview mit line-of.biz (LoB).

Informationssicherheit

LoB: Herr Haan, was treibt Unternehmen in punkto Informationssicherheit in Deutschland derzeit besonders um?
Haan: Einer der größten Schmerzpunkte ist zurzeit die Umsetzung der europäischen Datenschutzgrundverordnung (EU-DSGVO). Frühzeitig waren wir hier mit einer bundesweiten Roadshow unterwegs, um für das Thema zu sensibilisieren und um über die Herausforderungen aufzuklären. Der Zuspruch war enorm. Dies zeigt uns, wie dringlich die EU-DSGVO in allen Unternehmen und über alle Branchen hinweg gesehen wird. Die Anforderungen der EU-DSGVO sind so komplex und hoch wie nie, das hat erhebliche Auswirkungen auf die Unternehmen. Nach jüngsten Berechnungen benötigen Organisationen für die exakte Umsetzung der neuen Standards rund fünf Personenjahre. Die wachsende Komplexität stellt auch veränderte Anforderungen an die Berater: Die Auflagen fordern neue Prozesse, Workflows und Kontrollmechanismen, aber auch Antworten auf technische Fragen. Ob es nun um Verschlüsselung, Identity- und Access-Management, Data Leakage Prevention oder Threat Management geht. Wichtig ist es, das gesamte Bild im Blick zu haben. Die EU-DSGVO hat mit Fragen traditioneller Data Privacy-Lösungen nur noch wenig zu tun. Es handelt sich um gewaltige Veränderungen bis hin zur betrieblichen Mitbestimmung und der Beantwortung juristischer Fragestellungen.

LoB: Welche anderen neuen Trends kommen Ihrer Erfahrung nach gerade in den Unternehmen an und setzen sich im operativen Alltag durch?
Haan: Es kann in der Informationssicherheit künftig nicht mehr reichen, die technologische Entwicklung nachzuvollziehen – und damit den Angreifern hinterherzuhinken und sich lediglich um die Abwehr zu bemühen. Deshalb: Zu den spannendsten Themen in der Cyber Security zählt aus meiner Sicht aktuell die Proaktive Cyber Security Intelligence, die Unternehmen auch bei uns immer öfter anfragen. Ziel ist es, Sicherheitsvorfälle nicht mehr nur passiv zu erkennen und quasi hinzunehmen, sondern über verschiedene Kanäle proaktiv Informationen zu sammeln und so zu verknüpfen, dass man Erkenntnisse über die möglichen nächsten Hacker-Attacken gewinnt – und entsprechend vorsorgen kann. Wichtige Stichworte sind hier Darknet und Deepnet Mining. Welche Techniken werden in einschlägigen Hacker-Foren diskutiert? Welches könnten die nächsten Angriffsziele sein? Welche „Tools“ und „Services“ an Schadsoftware werden auf Marktplätzen gerade angeboten bzw. nachgefragt? Anders als bei klassischen, ereignisgetriebenen SIEM-Systemen, die ja „nur“ die Vergangenheit abbilden, geht der Trend im Threat-Management klar zu Datensammlung, Datenaggregation und prädiktiver Analyse. Auf der Basis von Verfahren maschinellen Lernens und intelligenter Datengewinnung sollen bestimmte Lösungen in der Lage sein, mehr als 90 Prozent entsprechender „Produkte“ und rund 80 Prozent der Diskussionen, die sich in Foren mit Schadsoftware befassen, präzise identifizieren können.

LoB: Was haben Unternehmen von einem derartigen Ansatz?
Haan: Mit einer solchen kontextbezogenen Advanced Cyber Defense, die Informationen in Echtzeit auswertet, hätten Unternehmen die Chance, ein proaktives Cyber-Security-Management zu betreiben, indem sie Themen identifizieren, bevor sie zu einem echten Risiko werden – ein wissensbasiertes Verfahren, das in der Forensik und der Polizeiarbeit auch immer mehr an Bedeutung gewinnt. Die Daten, von denen ich hier spreche, haben Anbieter von Sicherheitslösungen früher „nur“ genutzt, um ihre eigenen Produkte zu verbessern. Heute stellen sie sie Unternehmen gewissermaßen im „Abo“ zur Verfügung – auch ein Geschäftsmodell. Immerhin haben Organisationen so die Chance, ihre Schutzschilde hochzufahren und ihre Sicherheitsstrategie entsprechend anzupassen. Interessant ist, dass sich mit der Erhebung und Auswertung der Daten keine reinen Computer-Experten befassen, sondern Researcher. Auch eine typische Begleiterscheinung unserer aktuellen disruptiven Entwicklung.

Security und Industrie 4.0

LoB: Bereits seit einiger Zeit setzen Sie sich dafür ein, dass Cyber Security und funktionale Sicherheit in der Industrie 4.0 integriert betrachtet werden. Warum ist das aus Ihrer Sicht wichtig?
Haan: Um dem Bedarf nach höherer Innovationsfähigkeit und Effizienz gerecht zu werden, planen einer aktuellen Studie zufolge rund 89 Prozent der deutschen Unternehmen die Einführung von IoT-Technologie in ihrer Produktion – allein bis 2019. Gartner rechnet damit, dass die Welt in der gleichen Zeit nahezu 3000 Milliarden Dollar in IoT-Hard- und Software investiert. Weltweit gibt es derzeit rund 640 industrielle IoT-Projekte in über 60 Ländern, die sich in der Implementierung befinden oder bereits umgesetzt sind. Daran beteiligt sind mehr als 300 Unternehmen als Anbieter für IoT-Hardware, -Software und Vernetzung. Die Produktionsstraße – Maschinen, Bauteile, Roboter – wird sich immer stärker vernetzen, und das weit über einen einzelnen Fabrikstandort hinaus. Alle Player sind miteinander vernetzt, vom Hersteller über Zulieferer bis hin zum Maintenance-Dienstleister. Das nächste Level ist die Kommunikation zwischen Werkstoffen, Produkten und den verarbeitenden Maschinen.

LoB: Das ist ein unglaubliches Potenzial, was muss da geschehen?
Haan: Es zeigt sich klar, dass es wichtiger denn je ist, die damit verbundenen Risiken aktiv zu managen. Ein erhebliches Risiko ist es, in diesem Zusammenhang Cyber Security zugunsten von Functional Safety zu vernachlässigen. Denn Cyber Security ist für das Internet of Things wie für die Industrie 4.0 ein zentraler Erfolgsfaktor, zur Absicherung zentraler Versorgungssysteme, als wesentliche Voraussetzung für die funktionale Sicherheit in Fertigungsprozessen, für den sicheren automatisierten Datenaustausch vernetzter Systeme und für die Verfügbarkeit und Ausfallsicherheit der Produktion. Sie sehen: Es MUSS eine zwangsläufige Annäherung stattfinden zwischen Functional Safety und Cyber Security. Nur dann ist der aktuellen Entwicklung Erfolg beschieden – auch, wenn es sich hier um einen Kraftakt handelt.

LoB: Warum ist dieser Ansatz eine Herausforderung?
Haan: Beide Disziplinen – Functional Safety und Cyber Security – haben unterschiedlichste Erfordernisse, die sich diametraler nicht entgegenstehen könnten. Bei Functional Safety geht es darum, die Menschen vor den Auswirkungen der Technik zu schützen, z.B. durch Fehlfunktionen von Maschinen und Anlagen, hervorgerufen durch ungewollte oder unberechtigte Eingriffe in die IT-Komponenten. Functional Safety greift auch, wenn es darum geht, dass Abläufe wie vorgesehen funktionieren und beim Auftreten von Fehlern entsprechende Maßnahmen sichergestellt sind, z.B. die Einstellung von Aktivitäten.

LoB: Was muss die Cyber Security in diesem Kontext leisten?
Haan: Sie zielt darauf ab, Fabrikautomation und Prozesssteuerungen abzusichern. Hier geht es um Schutz und Verfügbarkeit von Kontroll- und Steuerungssystemen gegen absichtliche herbeigeführte oder ungewollte Fehler. Ziel muss es sein, eine Störung oder gar einen Ausfall der Produktion zu verhindern. Lassen Sie mich das an ein, zwei Punkten erläutern: Bei der Corporate IT ist Verfügbarkeit ein klassisches Schutzziel. Selbstverständlich ist eine Störung oder gar der Ausfall der IT ärgerlich und kostet unter Umständen auch Geld. Vor allem, wenn Sie z.B. in der Broker-Branche tätig sind und pro Minute Millionen verlieren können. In der Produktion dagegen ist Verfügbarkeit das höchste Gut: Eine Störung oder ein Ausfall hat Auswirkungen auf die komplette Supply Chain und gegebenenfalls gerade auch innerhalb von Kritischen Infrastrukturen Auswirkungen für Leib und Leben! Nicht umsonst rücken Predictive Maintenance und die proaktive Überwachung von Komponenten, Maschinen und Systemen auch immer stärker in den Vordergrund.

LoB: Haben Sie noch ein anderes Beispiel dazu?
Haan: Nehmen wir das Thema Lifetime-Cycle-Management: In der Office IT ist das völlig anders getaktet als in der Produktion. Während Updates in der IT und vor allem in der Cyber Security gewissermaßen das tägliche Brot und laufend erforderlich sind, um Schwachstellen zu schließen, ist das Thema Patching in der Produktion ein eher heißes Eisen – das man am liebsten selten anfasst. Never touch a running system!

LoB: Wie kann eine verlustfreie Integration von Functional Safety und Cyber Security gelingen?
Björn Haan: Aus unserer Sicht ist der „by-design“-Ansatz zentral. Functional Safety und Cyber Security werden darin zu Beginn des Lebenszyklus sämtlicher Komponenten integriert berücksichtigt. Die Entwicklung von Anlagen und Komponenten muss so gestaltet sein, dass mögliche Sicherheitslücken schon im kleinsten Bauteil idealerweise vermieden oder bereits so früh wie möglich erkannt und eliminiert werden, damit sie nicht zu einem Sicherheitsrisiko für die Anlage bis hin zum Gemeinwesen werden. Es ist nicht weniger als ein Paradigmenwechsel, der Cyber Security als Teil des Business Case versteht. Dieser muss getrieben werden von Menschen, die beide Seiten begreifen. Das kann z.B. der Digitalization Officer sein, der die Zukunft im Kontext der Digitalisierung auf Basis klassischer IT Verbindung mit dem Prozess-Know-how versteht!

LoB: Welche Auswirkungen hat das auf die relevanten Design-Parameter?
Haan: Auch die damit verbunden KPIs – also die Key Performance Indikatoren, werden sich verändern: Die Datenmasse, die entsteht, muss nicht nur erfasst und analysiert werden. Die Verantwortlichen müssen auch die richtigen Empfehlungen daraus ableiten können. Auch hier kommt der proaktiven Cyber Security Intelligence, von der wir oben gesprochen haben, eine enorme Bedeutung zu. Darüber hinaus wird für Hersteller von IoT-Lösungen der Nachweis, Datenschutz und Datensicherheit eine hohe Priorität einzuräumen immer wieder wichtiger, z.B. durch Zertifizierungen.

LoB: Sie haben auch festgestellt, dass die Nachfrage nach Penetrationstests exponentiell wächst. Wie erklären Sie sich das?
Haan: Jahrelang war das Thema Cyber Security in den Management-Etagen nicht mehr als ein Kostenfaktor. Angesichts der dynamischen Bedrohungslage, aufgrund wachsender regulativer Anforderungen und nicht zuletzt auch aufgrund einer deutlich höheren öffentlichen Sensibilität für Datenschutz und Datensicherheit aufgrund einer wachsenden Anzahl an Sicherheitsvorfällen, die in den Medien Schlagzeilen macht, wächst in Unternehmen das Bewusstsein dafür, wie wichtig es ist, Sicherheitslücken zu finden, bevor Hacker sie ausnutzen können. Auch die Frage der Manager-Haftung ist hier sicher ein wichtiger Treiber.

Fachkräftemangel

LoB: Was schlagen Sie vor, um dem akuten Fachkräftemangel in der Cyber Security-Branche beizukommen?
Haan: Obgleich die Automatisierung auch in der Cyber Security weiter voranschreitet – wir brauchen nach wie vor Menschen, die in der Lage sind, Sicherheit umfassend zu konzipieren, Sicherheitsvorfälle zu überwachen, Ergebnisse auszuwerten und auf dieser Basis die richtigen Entscheidungen zu treffen. Meines Erachtens bedarf es auch hier eines völlig neuen integrierten Ansatzes in punkto by design und zwar auf den Menschen bezogen: Schulen und Universitäten müssen den Nachwuchs heranbilden und fördern und die ganzheitlichen Kompetenzen vermitteln, die wir für die Zukunft benötigen.

LoB: Wie schnell ist das umzusetzen?
Haan: Das gehört schnellstens angegangen, braucht aber auch seine Zeit. Um diese Zeit zu überbrücken, werden Unternehmen nicht umhin kommen, mit Managed Services die Herausforderungen in der Informationssicherheit zu bewältigen. Cyber Security ist nicht alles, aber ohne Cyber Security ist alles nichts. Cyber Security ist und bleibt der neuralgische Faktor für eine erfolgreiche digitale Transformation. Das ist der Grund, warum wir selbst sehr viel Zeit und Geld in die Aus- und Fortbildung unserer Experten investieren. Häufig werden wir auch durch unsere Partner unterstützt. Um Experten zu entwickeln und zu halten, muss man ihnen mit lebenslangem Lernen nicht nur die Möglichkeit bieten, up to date zu bleiben, sondern ihnen auch spannende Projekte bieten, nicht zuletzt im internationalen Kontext, denn Cyber Security ist global und hört nicht an Landesgrenzen auf.

LoB: Nochmal zurück zur EU-DSGVO: Wird es Ihrer Meinung nach überhaupt gelingen, Anforderungen wie die EU-Datenschutzgrundverordnung überhaupt fristgerecht umzusetzen?
Haan: Einer unserer Großkunden arbeitet mit einem Riesenteam an der Umsetzung in zwei Pilotländern. Im Anschluss daran ist der Massenrollout über alle Standorte weltweit geplant. Aber Hand aufs Herz: Ich denke, das Gros der Unternehmen wird die Deadline nicht halten können – zu umfänglich sind die notwendigen Anpassungen, die auch ein „neues“ bzw. erweitertes Skill Set erfordern.

LoB: Welche Rolle spielt im Zusammenhang mit der EU-DSGVO das Thema Zertifizierung?
Haan: Die EU-DSGVO bietet Verantwortlichen und Auftragsverarbeitern die Möglichkeit, sich einem gesetzlich festgelegten Zertifizierungsverfahren zu unterziehen. Das Zertifizierungsverfahren dient dem Nachweis, dass die Bestimmungen der DSGVO in vollem Umfang eingehalten werden. Eine entsprechende Zertifizierung wird zukünftig eine wichtige Rolle spielen, so u.a. bei der Entscheidung über das Ob und die Höhe von Bußgeldern. (rhh)

Hier geht es zum TÜV Rheinland

Lesen Sie auch