Herr Hänsler, welche Rolle spielt die IT heute im Motorenbau?

Bei Rolls Royce Power Systems/MTU ist der Grad der IT-Durchdringung sehr hoch und deckt alle Bereiche des Unternehmens ab. Integrierte ERP-Lösungen tangieren Einkauf, Produktion, Vertrieb, Rechnungswesen bis hin zu HR, Legal und Compliance. Ich kann nicht für die gesamte Branche sprechen, aber ich nehme an, dass es bei anderen Unternehmen ähnlich ist. Im Zuge der Digitalisierung nimmt die Durchdringung mit IT-Lösungen noch einmal deutlich zu: Industrie 4.0, IoT, Cloud Computing, Mobility, Analytics, AI usw. Die Schlagworte geistern durch die Medien und sind bekannt.

Was sind die großen Themen in punkto IT-Sicherheit, die Sie besonders beschäftigen?

Die „Disruptive Technologies“ beschäftigen mich sehr. Mobile Computing, Cloud Computing, IoT, IIoT (Industrial Internet of Things) und Industrie 4.0 gehören dazu. Warum? Weil in diesen Bereichen Komponenten ins Spiel kommen, die per se nicht auf „Security by Design“ aufbauen, aber an vorderster Front eingesetzt werden. Man spricht ja auch vom „Fluid Perimeter“. Das heißt, dass die Grenze eines Unternehmensnetzes nicht mehr so einfach feststellbar ist. Mit dem Einsatz von IoT-Geräten, Cloud-Lösungen usw. wächst also die Herausforderung, den Gesamtüberblick zu behalten und die Daten eines vernetzten Unternehmens weiterhin angemessen zu schützen. Die Technologien, die in Produktionsunternehmen heute im Einsatz sind, kommen von verschiedenen Herstellern, deren IT-Sicherheit wir als Kunden einschätzen müssen. Das ist keine leichte Aufgabe. Einerseits weil es so komplexe und unterschiedliche Lösungen sind. Andererseits weil der Fachkräftemangel im Bereich IT-Sicherheit noch spürbarer wird, wenn es um Knowhow für neue Technologien geht. Ein Beispiel: Die Einführung agiler Methoden kann besondere Herausforderungen an die IT-Sicherheit darstellen. Hoher Termindruck und flexible Vorgehensmodelle führen zum Risiko, dass bei einem Hersteller in der Eile nicht immer sorgfältig genug vorgegangen werden kann. In Kombination mit den disruptiven Technologien kann daraus schnell eine gefährliche Kombination entstehen. Ein weiteres Stichwort: Cloud-Dienste. Hier sind die Veränderungszyklen auf der Herstellerseite derart rasant, dass eine systematische und fundierte Prüfung von Sicherheitsmechanismen kaum mehr möglich ist. Das deutsche Bundesamt für Sicherheit in der Informationstechnik – kurz BSI – hat in diesem Bereich das Konzept des C5-Attestats eingeführt. Ich halte das für einen guten Schritt. Cloud-nutzenden Unternehmen wird dadurch ein Status der IT-Sicherheit beim Cloud-Provider vermittelt. Dennoch reduziert es die IT-Sicherheit auf eine „Prüfung der Papierform“. Im Bereich der mobilen Anwendungen ist ein Trend erkennbar, dass diese Softwaresysteme zu „Apps“ verniedlicht werden. Es wird suggeriert, dass die Entwicklung solcher Anwendungen einfach sei und sich das quasi jeder aneignen kann. Best Practices wie ein sicherer Softwareentwicklungsprozess, Security by Design, Privacy by Design fallen so aber eventuell unter den Tisch. Diesen und ähnlichen Herausforderungen stellen wir uns, um unsere IT-Sicherheitsstandards hoch zu halten.

Welche weiteren strategischen Herausforderungen sehen Sie auf Unternehmen Ihrer Branche in Sachen IT-Sicherheit zukünftig zukommen?

Da gibt es viele Schlagworte aus ganz verschiedenen Bereichen. Hier einige Wichtige davon: Die wachsenden Standardisierungsbemühungen auf globaler Ebene führen im IT-Sicherheitsbereich nicht nur zu Vereinfachungen. Öffentliche Auftraggeber publizieren zunehmend eigene Standards und verlangen von ihren Lieferanten deren Einhaltung. Das stellt international agierende Unternehmen vor besondere Herausforderungen. Die Einhaltung eines Standards ist dann nicht ausreichend, um unterschiedliche Auftraggeber zufriedenzustellen. Es wäre einfacher, wenn diese an sich notwendigen Standards zu einem „überschaubaren“ Katalog an Anforderungen geführt würden. Hinzu kommen internationale, sich ständig ändernde Regularien zu IT-sicherheitsrelevanten Themen, so zum Beispiel zu Verschlüsselung oder Aus- und Einfuhrbeschränkungen für Hardware und Software. Andererseits gibt es eine starke Abhängigkeit von der Supply Chain, also der Versorgung des Unternehmens mit Lieferantenleistungen. Die Supply Chain Security wird daher strategisch immer wichtiger. „Chain“ steht für „Kette“ und die Kette ist nur so stark wie das schwächste Glied. Unternehmen dürfen sich nicht mehr in Sicherheit wiegen, weil die eigene Sicherheitstechnologie „State of the Art“ ist. Zu einer ganzheitlichen Betrachtung gehört auch die Bewertung der IT-Sicherheit von Dienstleistern, Fernwartungsunternehmen, Beratungshäusern, Anwaltskanzleien und vielen mehr. In diesem Zusammenhang – aber auch ganz generell – bereiten die Entwicklungen hin zur Cloud doch vielen Sicherheitsverantwortlichen Kopfschmerzen. „Es prüfe, wer sich ewig bindet“: Die Gefahr des Vendor-Lock-Ins, also der Unmöglichkeit den Cloudanbieter wechseln zu können, wenn man seine Daten einmal in der Cloud abgelegt hat, ist eines der großen Risiken.

Eine ganz andere Herausforderung ergibt sich aus den politischen Entwicklungen in der jüngeren Vergangenheit: Einfuhrzölle und Abschottungsmaßnahmen haben nicht nur weltwirtschaftliche Auswirkungen. Sie zwingen Unternehmen unter anderem auch dazu, im Sicherheitsbereich flexibel sein zu müssen und sich darauf einstellen zu müssen, dass Sicherheitstechnologien nicht zeitlich unbegrenzt aus bekannten Quellen bezogen werden können. Änderungen in der politischen Großwetterlage können schnell dazu führen, dass einzelne Länder als (potenzielle) Angreifer betrachtet werden müssen. Politisch motivierte Cyberangriffe sind heute schon allgegenwärtig. Sie zeigen, welche Möglichkeiten Angreifer heute schon haben und worauf sich Unternehmen für die Zukunft einstellen müssen. Sicherheitsverantwortliche müssen in dieser Hinsicht weit über den Tellerrand hinausschauen und jenseits der internen Sicherheitstechnologien denken. Durch den anfangs erwähnten, zunehmend poröser werdenden Perimeter aufgrund von IoT, Cloud usw. ist es wichtig, Transparenz zu haben, wo die Daten des Unternehmens abgelegt sind und wer darauf Zugriff hat. Im Zuge der Einführung der EU-DSGVO wurde dies unter der Überschrift „Data Mapping“ adressiert. Die Wichtigkeit einer solchen Transparenz kann nicht überbetont werden: Wie kann man die Unternehmensdaten schützen, wenn man nicht sicher weiß, wo sie liegen? Artificial Intelligence ist auch eines der Buzzwords, die derzeit durch die Presse gehen. In diesem Ansatz steckt auch ganz sicher ein großes Potenzial. Sicherheitsverantwortlichen legt er aber auch Sorgenfalten auf die Stirn: Wann werden wir die ersten Angriffe auf AI-Basis sehen, die alle bisher bekannten Verteidigungsmittel in den Schatten stellen, weil die Angriffswerkzeuge während des Angriffs lernen, wie sie die Verteidigungsmaßnahmen lahmlegen können? Daneben deuten die Fortschritte im Bereich Quanten-Computing darauf hin, dass wir in absehbarer Zeit Alternativen zu den bisherigen Verschlüsselungstechnologien brauchen werden. Auch hier stellt sich die Frage, wer das Rennen in diesem Katzund-Maus-Spiel zwischen Angreifer und Verteidiger gewinnen wird.

Herr Hänsler, leben wir derzeit in „goldenen Zeiten“ für Hacker?

Absolut. Die explosionsartige Verbreitung der Vernetzung von tendenziell unsicheren Komponenten im IoT-Umfeld, kombiniert mit immer schnelleren Entwicklungszyklen und extrem schnellen Veränderungen in der Cloud-Infrastruktur erhöht die Angriffsfläche. Die Entwicklung im AI-Bereich wird auch auf der Angreiferseite ausgenutzt. Bessere Angriffswerkzeuge treffen auf immer mehr angreifbare Plattformen, das alles in einem international vernetzten Raum, in dem die Strafverfolgung oft an Landesgrenzen scheitert. Wenn das nicht goldene Zeiten sind?