Der Industrial-IT-Security-Spezialist Rhebo (www.rhebo.com) unterstützt u.a. Energieversorger darin, ihre Energienetze zu schützen. Etwa für ein Drittel der Energienetze in Deutschland liefert Rhebo Bausteine für die Cybersicherheit der Leitsysteme. Aber nicht nur für Energieversorger, sondern auch für Industriekunden, die Netzwerke im Entwicklungs- und Fertigungsbereich betreiben, kurz: OT-Netzwerke (OT = Operational Technology).
Das Unternehmen bietet Software für die Überwachung und Anomaliererkennung in industriellen Netzwerken. Dabei reicht die Analyse des Datenverkehrs sehr tief. Hier werden nicht nur auffällige Kommunikationsmuster identifiziert, sondern die Kommunikation wird auf Ebene der Datenpakete selbst auf Cyber-Threat-Indikatoren hin analysiert („Deep-Packet-Inspection-Technologie“).
Über seine Einschätzung der Sicherheitslage sowie seine unternehmerische Vision für Rhebo spreche ich mit Klaus Mochalski (LinkedIn Profil). Er ist Gründer und CEO des Unternehmens. Er ist kein Unbekannter in der Cyber-Security-Szene: Er hat bereits zwei erfolgreiche Unternehmen gegründet und anschließend in größere Unternehmen integriert.
Sebastian Zang: Lieber Herr Mochalski, was ist der beunruhigendste Cyber Security Vorfall im Industriebereich in den letzten Jahren? Klaus Mochalski: Die aufsehenerregendsten Vorfälle waren sicherlich die großflächigen Störungen durch die Schadsoftware WannaCry und NotPetya. Der beunruhigendste Teil ist aber gar nicht sichtbar. Das sind Meldungen wie über die Ripple20-Schwachstellen in Millionen von IoT-Geräten. Oder die Erkenntnis aus unseren Projekten und Risikoanalysen, dass in den meisten Industrieunternehmen noch immer niemand wirklich weiß, was in den eigenen Leitsystemen passiert. Da gibt es weder Klarheit über die aktiven Geräte und Systeme, noch Sichtbarkeit in Bezug auf Schwachstellen und die vorherrschenden Kommunikationsmuster.
Wenn wir in einem industriellen Netzwerk unsere initiale Risikoanalyse durchführen, finden wir auf Anhieb immer über zwei Dutzend Schwachstellen und auffällige Kommunikationsmuster. Das beunruhigendste ist das Pulverfass, auf dem wir sitzen. Die Betreiber tappen hier wirklich im Dunkeln.
Sebastian Zang: Investieren Unternehmen Ihrer Erfahrung nach ausreichend in Cyber Security? Können Sie ein Unternehmen nennen, das diese Bedrohung ausreichend ernst nimmt und sich hier besonders vorbildlich aufgestellt hat? Klaus Mochalski:Generell wird in Cybersicherheit investiert, jedoch wird dort meist das industrielle Netzwerk, die OT, ausgespart. Es fehlt auch das Knowhow in den Unternehmen. In der Vergangenheit mussten diese sich nicht um die OT kümmern, da sie von der IT weitestgehend entkoppelt war und autark lief. Das hat sich mit der Digitalisierung und IoT natürlich geändert. Da die OT aber anders als die IT funktioniert – auf technischer Ebene wie auch auf der Ebene der generellen Anforderungen – kann der OT nicht einfach IT-Sicherheit übergestülpt werden.
Nichtsdestotrotz, in der Energiebranche ist das Bewusstsein für die Gefährdungslandschaft in den letzten Jahren sehr gewachsen. Dort finden sich viele progressive Unternehmen wie Stromnetz Hamburg, Thüringer Energienetze, BayWa r.e. und e-Netz. Die deutsche Industrie dagegen hinkt noch ziemlich hinterher.
Sebastian Zang: Im Bereich Kritischer Infrastrukturen hat das Bundesamt für Sicherheit in der Informationstechnik strenge Vorgaben zur Cyber Security gemacht (KRITIS). Werden eines Tages Vorgaben generell erforderlich? Oder ist damit zu rechnen, dass die Bedrohungslage rechtzeitig zu ausreichenden Investitionen in Cyber Security führt? Klaus Mochalski: Ich denke, wir erleben schon heute eine Ausweitung der Vorgaben. Die Definition Kritischer Infrastrukturen wurde in den letzten Jahren zum Beispiel wiederholt erweitert. Es werden also immer mehr Unternehmen unter die Vorgaben fallen. Für alle anderen muss es womöglich erst richtig knallen. Ob sie danach noch das Kapital für mehr industrielle Cybersicherheit haben, ist aber fraglich.
Sebastian Zang: Was Ihre Lösung auszeichnet, ist die sogenannte Deep-Packet-Inspection. Können Sie das kurz erläutern? Müssen Sie dafür alle gängigen Übertragungsprotokolle in der Industrie kennen? Klaus Mochalski: Typischerweise erfolgt die Überwachung von Kommunikationsdaten sehr oberflächlich. Um das am übertragenen Beispiel einer Email zu nutzen: Es werden in der Regel lediglich der Betreff, das Protokoll und die Adressdaten (Empfänger, Adressat) überprüft. Deep-Packet-Inspection dagegen würde auch alle Inhalte innerhalb der Email überprüfen. Die Technologie liest also auch den Text durch, der dort drin steht.
Im Kontext industrieller Kommunikation bedeutet das, dass wir in den Datenpaketen also auch erkennen, wenn plötzlich Befehle oder Werte verändert werden. Das ermöglicht es unseren Kunden, Kommunikation zu erkennen, die oberflächlich legitim erscheint, aber im Detail gefährdend ist – zum Beispiel wenn ein Host statt Leserechte plötzlich Schreibrechte einfordert. Um das in industriellen Netzwerken durchgängig und lückenlos zu schaffen, muss die Anomalieerkennung selbstverständlich auch die entsprechenden Übertragungsprotokolle, die sich in der OT übrigens von der IT unterscheiden, kennen.
Sebastian Zang: Führt die Anwendung von Deep-Packet Inspection zu einer Verlangsamung des Netzwerktraffics? Meiner Erfahrung nach sind Industriekunden empfindlich, wenn zusätzlicher Traffic auf Netzwerken läuft, und zwar gerade bei Real-Time Anforderungen. Klaus Mochalski: Nein. Die Performanz des industriellen Netzwerks wird zu keinem Zeitpunkt beeinträchtigt. Unser Netzwerkmonitoring bildet keine Barriere wie beispielsweise eine Firewall. Stattdessen spiegeln wir passiv und rückwirkungsfrei die gesamte Kommunikation und leiten sie auf eine parallele Bahn. Dort wird sie dann analysiert und auf Anomalien überprüft.
Sebastian Zang: Wie sieht Ihre unternehmerische Vision für Rhebo aus? Welche Rolle spielt dabei die Integration mit anderen Anbietern von Sicherheitslösungen? Klaus Mochalski: Rhebo ist der einzige unabhängige Anbieter einer Monitoringlösung mit Anomalieerkennung, der sowohl die Cybersicherheit als auch die Stabilität und Verfügbarkeit der OT berücksichtigt. Cybersicherheit überschattet in der Berichterstattung zwar stets das Thema der Anlagenverfügbarkeit. Jedoch weist auch der aktuelle Bericht zur Lage der IT-Sicherheit in Deutschland 2020 des BSI klar darauf hin, dass in 3 von 4 gemeldeten Störungen, technisches Versagen der Infrastruktur ausschlaggebend war. Deshalb liegt unser Fokus nicht nur auf Cyberangriffen und Schadsoftware, sondern auch auf technischen Fehlerzuständen. Wir sehen uns deshalb als Industrial-Continuity-Anbieter, der ganzheitlich den reibungslosen Betrieb der OT unterstützt.
Die Integration in andere Anbieter von Lösungen für Cybersicherheit, IoT-Datenmanagement und Betriebsmanagement ist natürlich ein wichtiger Faktor. Wer zum Beispiel das IBM QRadar SIEM in seinem Unternehmen nutzt, kann durch das integrierte Rhebo Industrial Protector auch endlich die OT in das Sicherheitsmanagement einbinden. In anderen intelligenten Lösungen zum Beispiel von Barracuda Networks, Bosch Rexroth und INSYS icom können die Betreiber nun sowohl Sicherheitsvorfälle als auch technische Fehlerzustände in Echtzeit erkennen. Vorher war das in dem Umfang nicht möglich.
Sebastian Zang: Gibt es eine Empfehlung zu einem Buch oder Podcast für diejenigen, die dieses Thema vertiefen möchten? Klaus Mochalski: Ein grundsätzliches Buch zum Thema der IT-Sicherheit in Industrieumgebungen ist „Industrial IT Security – Effizienter Schutz vernetzter Produktionslinien“. Der Sicherheitsexperte Sebastian Rohr zeigt darin sehr gut, warum industrielle Netzwerke auf sehr dünnem Eis laufen. Der US-amerikanische OT-Sicherheitsexperte Dale Peterson liefert wöchentlich interessante Einblicke in Trends und Analysen. Darüber hinaus informieren wir in kurzen Video-Kommentaren auf unseren Kanälen LinkedIn und Twitter regelmäßig über Fragen der OT-Cybersicherheit und aktuelle Vorfälle und Netzwerk-Fundstücke aus der Praxis.
Sebastian Zang: Lieber Herr Mochalski, vielen Dank für Ihre Zeit und für dieses Gespräch!