"Wir müssen Security größer denken"

Herr Zahner, die Sicherheit der IT-Systeme ist ein Problem, seit es die Informationstechnologie gibt. Was hat sich geändert, warum müssen Unternehmen ihren Umgang mit Security neu denken?

Zahner: Die Zahl der vernetzten Geräte ist höher als je zuvor. Und mit fortschreitender Digitalisierung werden immer mehr Endpunkte in die Unternehmensnetze eingebunden. In Gebäuden, Maschinen, Fahrzeugen - einfach überall. Die schiere Menge an möglichen Schwachstellen erfordert neue Ansätze, um die Risiken zu kontrollieren. Ein weiterer Faktor ist die zunehmende Professionalität der Angriffe. Wir haben es mit einer industrialisierten Hackerszene zu tun, die es so noch nie gab. Wir müssen einfach viel größer denken als in der Vergangenheit, weil die Dimensionen des Problems größer sind.

Was die Herausforderungen durch die Ausbreitung und Verdichtung der IT- und Kommunikationsnetze betrifft: Welche Rolle spielt in diesem Zusammenhang die IT/OT-Konvergenz?

Zahner: Die Lücke in der Java-Bibliothek Log4j hat es gezeigt: Wo immer Software genutzt wird, können Schwachstellen entstehen. Schon heute stehen in den Fabriken überall Computer, die Produktionssysteme steuern. Mit zunehmender Digitalisierung werden nicht nur Maschinen und Anlagen, sondern auch unterschiedlichste Produkte zu möglichen Angriffszielen. Die Konsequenz ist klar: Zero Trust - vertraue niemandem, keiner App, keinem Server, keinem wie immer gearteten Controller.

Was bedeutet das in der Praxis?

Zahner: Prüfe bzw. identifiziere alles. Das ist natürlich eine riesige Herausforderung angesichts der zahllosen Endpunkte. Zu bewältigen nur mit einer komplexen Architektur der Sicherheitssysteme, die es möglich macht, jedes kritische Device bei Bedarf in kürzester Zeit herunterzufahren oder zumindest vom Netz zu trennen. Und natürlich mit modernsten Algorithmen, die uns helfen, mögliche von tatsächlichen Bedrohungen zu unterscheiden und eine höchstmögliche Verfügbarkeit der Geräte sicherzustellen.

Wo liegen denn die Schwierigkeiten bei der Umsetzung von Zero Trust?

Zahner: In der reinen IT-Welt gibt es sehr gute Lösungen, um Zero Trust zu realisieren. Natürlich dauert es auch da, bis wirklich alle Netze und die damit verbundenen Geräte in die Zero Trust Architektur integriert sind. Aber das läuft. Schwieriger ist es in der OT-Welt mit ihren spezifischen Systemen und Protokollen. Es sind einfach noch nicht so viele Lösungen am Markt verfügbar, um diese speziellen Gegebenheiten zu berücksichtigen und die Zero-Trust-Architektur auch in den OT-Bereich hinein auszubauen.

Also alles eine Frage der Technik?

Zahner: Das wäre schön (lacht). Nein, der Paradigmenwechsel, der darin liegt, grundsätzlich einmal jedem Zugriff zu misstrauen, hat erhebliche Auswirkungen auf die Prozesse. Wenn man bei jedem Datenaustausch, jedem Kontakt zunächst mal prüfen muss, ob die Verbindung unter Sicherheitsgesichtspunkten überhaupt zulässig ist - und wenn ja, welche Rechte das jeweilige Device aufgrund seines aktuellen Sicherheitsstatus hat - dann braucht das Zeit.

Sekundenschnelle Ergebnisse sind für manche Prozesse in der Industrie zu langsam. Das heißt, wir müssen beispielsweise überlegen, wo genau die Überprüfung ausgeführt wird. Und dann muss das ganze System ja auch auditierfähig sein. Das Thema Zero Trust hat also sehr viel mit Organisation und Prozessen zu tun. Aber ja: Auch hier braucht es letztlich intelligente Technik, um die Konzepte umzusetzen. Der finanzielle Aspekt ist natürlich auch ein Thema. Immerhin sind Investitionen in IT-Security heute allgemein als geschäftskritisch anerkannt. Das muss auch im OT-Bereich selbstverständlich werden.