CyberCompare

Digitalisierung ohne Security wird nicht funktionieren | Experteninterview mit Michael Krammel, CEO & Founder K4 DIGITAL GmbH

Unser Interviewpartner

Michael Krammel

Michael Krammer ist der CEO & Founder von der K4 DIGITAL GmbH. Schon seit den frühen 2000ern beschäftigt er sich intensiv mit dem Thema OT Security.

Das Interview führte Jannis Stemmann von CyberCompare mit Michael Krammel, dem CEO und Founder von K4 DIGITAL GmbH.

Lieber Michael, was ist Dein Hintergrund und wie bist Du denn eigentlich auf das verrückte Thema OT-Security gekommen?

Das ist eine etwas längere Geschichte: Meine berufliche Karriere habe ich im Kontext Prozessleit- und Automatisierungstechnik Ende der 80er Jahre gestartet. Ich bekam die Möglichkeit eine größere Abteilung für Prozessautomatisierung aufzubauen: Hier haben wir sehr erfolgreich Projekte hochautomatisiert und effizient durch digitale Integration der Geschäftsprozesse realisiert.

Ende der 90er bin ich in eine GmbH & Co.KG eingestiegen. Unser Ziel war es Lösungen für die Digitale Fabrik zu entwickeln. Wir haben sehr eng mit den großen Automatisierungsherstellern zusammengearbeitet und so die Transformation von proprietärer OT Technologie zu immer mehr standardisierter IT und vernetzter Infrastruktur Technologie im Automatisierungsumfeld hautnah miterlebt.

Wie ging es dann weiter?

Um 2005 herum hatte ich die Gelegenheit die Firma Industrial Defender kennenzulernen. Industrial Defender war in den USA sowohl im OT Beratungs- als auch -Security Lösungskontext ganzheitlich und höchst kompetent unterwegs. Zu diesem Zeitpunkt wusste man bereits wie wichtig OT Security ist. Welche Rolle sie in Bezug auf die Resilienz von kritischen, produzierenden Anlagen bis hin zu sicheren Digitalisierungsstrategien spielt. Von diesem Zeitpunkt an hat mich das Thema OT Security nicht mehr losgelassen.

Als einer der anerkannten First-Mover der Industrial Security, haben wir angefangen neue Geschäftsfelder im Kontext OT/Industrial Security aufzubauen. Bis heute in der 2020 von mir gegründeten K4 DIGITAL GmbH haben wir die Themen um ganzheitliche Herangehensweisen und Lösungskonzepte im Kontext Big Picture, Fokus Mensch, Organisation, Prozesse und Technologie kontinuierlich weiterentwickelt.

„Jannis, Du siehst, so verrückt ist das OT Security Thema gar nicht.“

Angriffe auf OT Systeme

Viele Unternehmen stehen ja bei der Security noch ganz am Anfang. Kannst Du einen Fall beschreiben, bei dem tatsächlich Schwachstellen im OT oder IoT-Bereich für einen Angriff genutzt wurden?

Die Frage ist immer:  wo ist der Schwachstellenübergang? Viele Firmen sind über die IT angegriffen worden, aber es muss ungeschützte Übergänge in die OT gegeben haben, sonst wären nicht auch die Produktionsbereiche betroffen gewesen. Ein Beispiel ist Havex / Dragonfly. Da ging es schon weit konkreter darum, in die OT einzudringen. In dem Fall war es ein Watering Hole Attack, bei dem die System Patches kompromittiert wurden. Über Fernzugriffslösungen, die beim Kunden installiert waren, wurden Backdoor-Zugriffe ermöglicht. Insgesamt ging es bei vielen der OT Angriffe mehr um Informationsbeschaffung und möglichen Know-How-Transfer, als um gezielt herbeigeführte längerfristige Stillstände.

Häufig werden die Angriffe immer noch über die IT gefahren und die oft nicht genügend abgesicherte OT ist in der Folge meist mit betroffen. Kritische Bereiche sehe ich im OT Umfeld oft im Zusammenhang mit Fernzugriffslösungen und dem Umgang mit USB-Datenträgern, um Daten in oder aus den Systemen weiterzuverwenden. Da ist die Gefahr eines Viren- oder Trojaner Befalls sehr hoch, weil die OT noch zu selten Endpoint Protection Maßnahmen umgesetzt hat.

Also werden OT-Systeme nie direkt angegriffen?

Natürlich werden auch OT Systeme versucht anzugreifen, auch mit Erfolg. Die Frage, die sich dabei stellt, ist, ob es überhaupt als Angriff identifiziert wurde, oder ob man schnell die Systeme wieder hergestellt hat, um weiter produzieren zu können? Beziehungsweise: Was kommt überhaupt an die Medien und Öffentlichkeit?

Die OT hat vielleicht heute noch den Vorteil, dass die Security mit Obscurity unterstützt wird. Das wird sich aus meiner Sicht mit fortschreitender Vernetzung und Digitalisierung, sowie immer mehr Know-How-Aufbau um OT stark verändern.

Und nicht vergessen: Die Detektionsmöglichkeiten in der OT sind meistens viel schlechter ausgeprägt als in der IT. Das heißt, die wenigsten Firmen entdecken Angriffe in der OT, insbesondere im Kontext Know-How-Abfluss, weil keine Detektionssysteme und Betriebskonzepte implementiert sind.

Was sind typische Problemstellungen, mit denen Kunden Euch kontaktieren?

Sehr unterschiedlich: Die meisten Kunden werden zunehmend sensibilisiert. Dass man sich dem Thema OT stellen muss wurde jahrelang vernachlässigt und wird jetzt durch Digitalisierung und Cloud-Anbindungen immer konkreter. Große Endkunden fordern zunehmend Security in ihrer Lieferkette. Konsumenten fordern mehr Security in den Produkten.

Typische Fragestellungen sind: Wie gehe ich mit Add-On Lösungen aus der IT um? Welche Produkte setze ich bei OT-Security ein? Wer muss welche Security-Funktionen wie in die Maschinen einbauen? Wie kann ich alte Systeme weiterverwenden, um einen Austausch möglichst zu vermeiden oder hinauszögern zu können? Wie setze ich einen Defense-in-Depth-Ansatz für laufende Produktionen um? Wie kann ich einen sicheren Fernzugriff gewährleisten?

Wie sieht so ein typischer Ablauf aus?

Die meisten Kunden starten mit einer Bestandsaufnahme – wo stehe ich überhaupt? Hier führen wir oft Risiko-, Gap-, oder Schwachstellen-Analysen durch.

Zum Beispiel eine Gap-Analyse auf Basis eines regulatorischen Standards (ISO 27001 und IEC 62443) – oft auch übergreifend für OT und IT.

Oft übernehmen wir im Anschluss die Rolle von begleitenden Coaches, um Security Know-How in Unternehmen aufzubauen. Die Unterstützung, je nach Bedarf auch Umsetzungs- und Integrationsleistungen, werden co-kreativ mit den betroffenen Stakeholdern erarbeitet und ganzheitlich im Kontext Fokus Mensch, Organisation, Prozesse und Technologie begleitet, sowie in der Umsetzung unterstützt. Mehr und mehr findet dies über alle Domains wie OT, IT und neue Infrastrukturen bzgl. IIoT statt.

Umsetzung von OT Sicherheit

Was war eine der bisher schwierigsten technischen Herausforderungen, die Eurem Team begegnet ist?

Im OT Umfeld immer noch weit verbreitete Legacy-Systeme wie XP oder NT in der immer stärker vernetzten Infrastruktur sicher zu betreiben: Da waren wir bereits seit 2010 als Pioniere unterwegs, um Whitelisting und Sandboxing-Technologien im OT Umfeld operativ anwendbar zu gestalten. Bei OT gilt immer noch der Ansatz, wenn möglich: „never change a running system“. Klassische Patching-, AV- oder Blacklisting-Ansätze funktionieren bei OT nur selten nachhaltig. Seit ein paar Jahren sind Whitelisting-Konzepte in der OT angekommen. Dass mit Technologien wie Sandboxing weitere sehr sichere Möglichkeiten bestehen um legacy oder aktuelle Systeme zu freezen, wissen immer noch wenige. Aktuell entstehen interessante Best Practices Lösungen von Herstellern, die mit Virtual Patching und Domain-Segmentierungs-Konzepten in der OT unterwegs sind. Wichtig ist nur zu wissen: Es gibt nicht den einen Ansatz, der immer als Blueprint zu verwenden ist und damit der Beste ist. In der Regel sollte man seine Assets und damit verknüpften Prozesse risikotechnisch nach seinen Schutzzielen bewerten. Oft macht es Sinn, daraus ableitend eine Kombination von technischen und organisatorischen Maßnahmen aufzustellen. Die Awareness der Mitarbeiter ist ein weiterer elementarer Baustein. Am Ende muss Aufwand und Leistung in einem vertretbaren Verhältnis zueinander stehen.

Wie siehst Du das Thema Cloud-Anbindung und Cloud Services für industrielle Umgebungen?

Das ist eine starke Dynamik. Mir bereitet es Sorge, dass in immer mehr Fällen diese Entwicklung nicht gut koordiniert zwischen den beteiligten Stakeholdern, wie Management, Digitalisierungsverantwortlichen, IT und OT abläuft. Von der Optimierung von industriellen Prozessen bis hin zu neuen Geschäftsmodellen – wir in Deutschland laufen dem internationalen Markt in Sachen Digitalisierung hinterher. Oft steigen die Unternehmen nur der Digitalisierung wegen in die Digitalisierung ein. Dies führt dazu, dass einzelne Stakeholder Infrastruktur-Ansätze zum schnell mal „machen“ aufsetzen, teils auch getrieben von Lösungsangeboten aus dem Markt. Eine ganzheitliche Betrachtung von wirtschaftlicher Sinnhaftigkeit und secure Infrastruktur zwischen allen Stakeholdern findet oft nicht statt. Nicht zu vergessen ist das Thema Datenschutz. Natürlich existieren inzwischen gute und sichere Konzepte mit Verschlüsselung und Nutzungsmöglichkeiten in der Cloud-Umgebungen. Letztere sind je nach Anbieter hoch und runter zertifiziert, aber auch diese Rahmenbedingungen sollte man hinterfragen und sich die richtigen Zusagen schriftlich geben lassen. Die Anbindungs-Infrastruktur zu den meist sicheren Clouds ist oft die größere Sicherheitsherausforderung.

Aus meiner Sicht fehlt uns noch die richtige Security-Begrifflichkeit für diese ganzheitliche Security-Betrachtung über IT, OT und Cloud-Infrastruktur hinweg. Die Fragen stellen sich jetzt gerade erst: Wie baut man Security über verschiedene Domänen hinweg auf? Wie macht man das auf Security Management Ebene? Die Maßnahmenausprägung ist aber in jeder Domäne unterschiedlich mit diversen Schnittstellen und Überschneidungskompetenzen. Es wird spannend…

In welchen Fällen würdest Du Kunden eine OT-Monitoring (Anomaliedetektion, SIEM) Lösung empfehlen?

Grundsätzlich ist das Thema Detection noch schwach ausgeprägt in der OT. Schadsoftware bleibt, wie im Beispiel mit Havex, oft bis zu mehreren Jahren unbemerkt. Das ist ein Bereich, in dem die meisten Unternehmen unbedingt besser werden müssen. Mit dem IT-SIG2.0 wird das bei KRITIS Betreibern ja sogar zum Must-Have.

Zu Detection gehört auch Prävention und Reaktion. Ich konfrontiere im Kontext Security die Unternehmen immer mit der Fragestellung: Wie resilient möchten Sie sich am Ende des Tages im Kontext Cybersecurity aufstellen? Also wie schnell kann ich nach einem Incident wieder den produktiven Betrieb herstellen bzw. bemerke ich das mein Wissen abfließt, oder meine Produkte manipuliert werden und was tue ich dagegen? In diesem Kontext spielt Detection eine wichtige Rolle.

Was mache ich mit den Informationen aus dem Detektionssystem? Kaufe ich mir ein SOC Managed Service, oder möchte ich bzgl. Betriebskonzept dieses intern halten, dann benötige ich ein entsprechendes Ressourcen-Team mit Kompetenz. Vielen SOC-Betreibern fehlt heute noch die Erfahrung im OT Kontext, wenn auch viele außen was anderes drauf schreiben.

Wie lautet dein abschließender Rat?

Es geht nicht nur um die Anschaffung einer Lösung. Ein ganz entscheidender Aspekt ist, dass ich mir über das Betriebskonzept der Lösung Gedanken machen muss: Kosten-/Nutzenverhältnis der Lösung mit dem Betriebskonzept. Eine Lösung, die sehr viel kann, erfordert meist auch im Betriebskonzept sehr viel mehr Wissen darum herum. 

Was sind aus Deiner Sicht interessante Entwicklungen im Bereich OT-/IoT-Security?

Neue OT Segmentierungs-Domain Konzepte und virtual Patching als weiterführende Endpoint Protection über Sandboxing oder Whitelisting hinaus finde ich sehr spannend. Wir arbeiten gerade mit ausgewählten Kunden an Best Practices. Oder Edge Computing (z. B. zur Datenauskopplung in die Cloud): Die Möglichkeiten nun als hybrider Ansatz auf Docker-Plattformen Security Funktionalitäten, wie Firewalls, Monitoring-System etc. als Software zu implementieren, ohne immer nur „Blech“ einzubauen.

Was sind Halbwahrheiten oder Behauptungen, die Du immer wieder in der Branche hörst (gerne auch technischer Natur), aber die Du eigentlich anders siehst?

Man hört oft noch, die Schutzziele in der OT seien 1. Verfügbarkeit, 2. Verfügbarkeit und 3. Verfügbarkeit. Da wir aber immer mehr Software im Spiel haben, wird im Zuge der Digitalisierung und I4.0 die Integrität; Sicherstellung und der Punkt, dass Daten und Informationen nicht verändert werden können, weiter an Bedeutung gewinnen. Die Bewertung der Schutzziele ist am Ende allerdings wirklich immer individuell von den Kundenanforderungen und seinen Prozessen zu bewerten.

Wenn Du eine Mail an alle IT-Leiter dieser Welt verschicken könntest, was wäre die Kernbotschaft?

Liebe IT-Leiter, steigt bitte mit Euren Mitarbeitern in den Transformations-Prozess ein und werdet Unterstützer und Enabler der Digitalisierung. Bedenkt bitte dabei: Digitalisierung ohne Security wird nicht funktionieren.

Sie denken über OT- und IoT-Sicherheit nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.