Die IT-Sicherheit hat sich zusammen mit der zunehmenden Digitalisierung und den neuen Herausforderungen des Zeitalters der Industrie 4.0 weiterentwickelt. Dabei haben sich nicht nur die Vernetzungsmöglichkeiten verändert, sondern auch die Verwundbarkeit der IT-Gesamtsysteme. Erhöhte Risiken durch gezielte Cyberangriffe und die damit verbundenen Schäden und Produktionsausfälle machen neue Konzepte im Umgang mit der IT-Sicherheit in der Automatisierung unumgänglich.
Mittlerweile sind alle Geräte und Prozesse grundsätzlich mit dem Internet verbunden und somit auch durch das Internet angreifbar. Die vernetzten industriellen Infrastrukturen werden zunehmend gefährdeter und anfälliger für Cyberangriffe. Neben der Industrie sind auch andere Bereiche, wie zum Beispiel KRITIS oder IoT von der Lage betroffen.
Deshalb muss die IT-Sicherheit als kritischer Erfolgsfaktor für Industrie 4.0 und Digitalisierung gestärkt werden. Dies sollte zum einen durch eine verbesserte Prävention bei der Systementwicklung und zum anderen durch eine möglichst schnelle und strukturiere Reaktion bei Bekanntwerden neuer Sicherheitslücken umgesetzt werden.
Das hohe Risiko von gezielten Cyberangriffen und damit verbundenen Schäden und Produktionsausfällen verlangt nach neuen Konzepten im Umgang mit der IT-Sicherheit in der Automatisierungsindustrie. Zur Bewältigung dieser Herausforderungen spielen "Notfallteams" (sogenannte CERTs) eine zentrale Rolle. Ein CERT (Computer Emergency Response Team) bezeichnet ein Computersicherheits-Ereignis- und Reaktionsteam und ist eine Institution, die bei der Lösung von konkreten IT-Sicherheitsvorfällen als Koordinator mitwirkt und sowohl Hersteller als auch betroffene Nutzer unterstützt.
Hier setzt die Grundidee des CERT@VDE an: In einem (nicht-kommerziellen) Netzwerks wird hier eine organisationsübergreifende Vertrauensbasis geschaffen und institutionalisiert. Der VDE ist mit seinem CERT@VDE derzeit die einzige Institution, die sich diesem Themenkomplex für die Industrieautomation in Deutschland annimmt.
Während große Konzerne meist über eigene Notfallteams verfügen, sind diese bei kleinen und mittleren Unternehmen in der Regel nicht vorhanden oder verfügen nur über sehr eingeschränkte Ressourcen. Zudem fehlt es in den Unternehmen oft an Routine im Umgang mit Schwachstellen, bei der Erstellung von Sicherheitswarnmeldungen und bei der Kommunikation, z.B. mit externen Sicherheitsforschern oder mit anderen CERTs, wie dem ICS-CERT in den USA.
Darüber hinaus sind viele Hersteller mit auftretenden Sicherheitsproblemen schlichtweg überfordert oder arbeiten allein an einer Lösung: Ein firmenübergreifender Austausch findet dabei in der Regel nicht statt, obwohl eine Schwachstelle oftmals verschiedene Hersteller betrifft und durch Kooperationen Synergieeffekte genutzt werden können. Im Falle einer schwerwiegenden Schwachstelle fehlt den Unternehmen weitestgehend die Erfahrung, Expertise und Informationen, um die akute Bedrohungslage souverän, koordiniert und umfassend zu meistern.
Mit dem innovativen Ansatz eines koordinierenden Produkt-CERTs kommt der VDE dabei zur Hilfe. CERT@VDE fördert dadurch, dass Security-relevante Strukturen innerhalb der Unternehmen etabliert und gleichzeitig ein ständiger Austausch über die massenhaft und verstreut vorhandenen Informationen stattfinden. Aufgaben und Aufwände, die für alle Partner des CERT@VDE von Relevanz sind, werden zentral und nur einmal erledigt, wodurch insbesondere die Kosten für Cybersicherheit für das einzelne Unternehmen sinken. Im Ökosystem des CERT@VDE werden Bedrohungslagen rechtzeitig erkannt, korrekt eingeschätzt und im Idealfall auch verhindert.
Der dauerhafte Austausch und Informationsfluss ermöglicht eine bessere Risikoanalyse.
Ziele des CERT@VDE
Zusammengefasst können die Ziele des CERT@VDE wie folgt formuliert werden:
- Betrieb einer Austauschplattform für Security-Experten der gesamten Lieferkette der Automatisierungsindustrie
- Strukturierung des komplexen Zusammenspiels zwischen Hackern, Firmen, anderen Beteiligten, um zu einer zielgerichteten Meldung und damit einer hinreichenden Erhöhung der Sicherheit zu kommen
- Erarbeitung notwendiger Warnmeldungen (Advisories) und Koordinierung von Reaktionenen im Hinblick auf organisationsübergreifende Sicherheitsschwachstellen.
- Bereitstellung präventiver Sicherheitsinformationen: Sammlung, Aufbereitung und Automatisierung von Massendaten
Die Basis der Zusammenarbeit CERT@VDE ist eine Vertraulichkeitsvereinbarung, die durch die Akkreditierung bei TF-CSIRT manifestiert wird. Des Weiteren bestehen konkretisierende Leitlinien, um eine erfolgreiche Kooperation zu gewährleisten.
- Vertraulichkeit der Kundendaten hat höchste Priorität.
- Die Kooperation ist freiwillig und kann jederzeit beendet werden.
- Businessmodelle der einzelnen Unternehmen dürfen unter Aktivitäten des CERT@VDE nicht leiden.
- Wechselseitige Beiträge und Informationen sollen die Arbeitsabläufe aller Mitglieder optimieren.
- Informationen und Interessen anderer Mitglieder werden geschützt.
Sicherheitslücken schließen
Neben der Funktion als Anlaufstelle für den Umgang mit Schwachstellen, stellt die Plattform auch für alle Teilnehmenden zielgruppenorientierte Schwachstelleninformationen aus verschiedenen Quellen gesammelt zur Verfügung. Dabei kann es sich auch um ganz neue Schwachstellen handeln, von denen bisher nur einzelne Kenntnis haben, sogenannte „Zero Day Exploits“. Vergangene Vorfälle dieser Arth haben gezeigt, dass die gleiche Schwachstelle oft mehrere Hersteller betrifft aber aufgrund von fehlender Kommunikation und einem geschützten Rahmen jeder einzeln darauf reagiert hat. Um die doppelte Arbeit zu vermeiden und effizienter reagieren zu können, ist die Nutzung einer entsprechenden Plattform sinnvoll. Gleichzeitig kann durch die Koordination eines gemeinsamen Termins für die Veröffentlichung eines Sicherheitsupdates die Gefährdung der anderen Betroffenen reduziert werden.
VDE-Verband der Elektrotechnik, Elektronik und Informationstechnik
Der VDE-Verband der Elektrotechnik Elektronik und Informationstechnik ist mit 36.000 Mitgliedern (davon 1.300 Unternehmen) einer der großen technisch-wissenschaftlichen Verbände Europas. Neben der CERT-Plattform betreibt der VDE die VDE/ DKE-Kontaktstelle Informationssicherheit (KSI) und führt die Begleitforschung für BMBF-Projekte „Vernetzte IT-Sicherheit Kritischer Infrastrukturen (VeSiKi)“ sowie „Zuverlässige drahtlose Kommunikation in der Industrie (BZKI)“ durch. Mit der Normenreihe IEC 62443 „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“ und den Normungs-Roadmaps „IT-Sicherheit" und „Industrie 4.0“ bringt VDE/DKE, bei dem auch das Standardization Council Industrie 4.0 organisatorisch angesiedelt ist, die Standardisierung der IT-Sicherheit und Industrie 4.0 voran. Im Bereich Prüfung und Zertifizierung bietet das VDE-Prüfinstitut das VDE-Zertifikat „Informationssicherheit geprüft“ an.
CERT@VDE Flyer
DKE German Commission for Electrical, Electronic & Information Technologies of DIN and VDE
Stresemannallee 15
60596 Frankfurt am Main
http://www.dke.de
Dr. Dennis-Kenji Kipker
Legal Advisor VDE Competence Center Information Security + CERT@VDE