CI4-HerbstForum 2018: Die Gesellschaft 4.0 im Kontext aktueller Sicherheitsherausforderungen und Lösungsansätze

Dem Erfahrungsschatz und -austausch ein Forum bieten

[CI4, 13.11.2018] Das Cluster Industrie 4.0 (CI4) lud in Kooperation mit dem VDI/VDE-Arbeitskreis Sicherheit (AKSi) und unterstützt vom VDI-Bezirksverein Berlin-Brandenburg zum „HerbstForum 2018“ ein: Am 30. Oktober 2018 standen „Aktuelle Sicherheitsherausforderungen der Gesellschaft 4.0 und Lösungsansätze“ im Fokus. Der Quartalsvortrags- und -diskussionsabends zu Gast bei der Bundesanstalt für Materialforschung und -prüfung (BAM) bot einen überraschenden Auftakt – die Improvisationstheater-Gruppe „Hauptstadtspiel“ eröffnete mit ihrem ersten größeren Auftritt vor Publikum die Veranstaltung mit zwei Szenen und stellte dabei u.a. das Thema Kommunikation im Handwerk dar. Impulse und Kurzberichte – so zur Datensicherheit, modernen Managementmethoden, Industrie 4.0 und „Embedded Systems“ – schlossen sich an und bereiteten die „Fish Bowl“-Diskussion am Ende des offiziellen Teils vor. In lockerer Runde wurden die Gespräche bei einem kleinen Imbiss im Foyer noch bis spät in den Abend geführt.

Das „Triple S“ der Sicherheit: Safety, Security und Sustainability!

Fokus auf den Menschen und Abkehr von Technikverliebtheit

Nachdem CI4-Sprecher Michael Taube die offizielle Begrüßung und Einleitung vorgenommen hatte, gab AKSi-Leiter und CI4-Gründungspartner Dirk C. Pinnow einen Stimmungsbericht von der „it-sa“ in Nürnberg, welche inzwischen als weltgrößte IT-Sicherheitsmesse der Welt gilt: Ihm sei vor allem die explizite Fokussierung auf den „Faktor Mensch“ im Kontext von Datensicherheitsfragen und Digitaler Transformation aufgefallen:
Sein Bericht „IT-Sicherheits- und I4.0-Trends von der ,it-sa 2018‘ in Nürnberg“ ging zunächst auf den erfolgreichen Werdegang des einst als „it security area“ der Messe „Systems“ in München veranstalteten Formats ein. Seit 2009 ist die „it-sa“ eine eigenständige, jährlich veranstaltete Messe im Messezentrum Nürnberg und hat 2018 mit 696 Ausstellern aus 27 Ländern und 14.290 Fachbesuchern aus über 50 Nationen Weltgeltung erreicht.
Sein persönliches Fazit riet zur Priorisierung: Erst gehöre der Mensch, dann die Aufbau- und Ablauf-Organisation und schließlich die Technik in den Fokus. Gefragt seien ganzheitliche Lösungskonzepte, welche die Wechselwirkungen zwischen Soft- und Hardware, aber auch Orgware berücksichtigen. Solche Konzepte sollten ein Gemeinschaftsziel von Behörden, Verbände und der Wirtschaft sein, denn es gehe vor allem um eine Stärkung des Mittelstands als „Wertschöpfungsmotor“. Sicherheit sei als Alltagserfahrung zu verankern: Sie berühre die innerbetriebliche Kultur und habe Einfluss auf Bildung, Sensibilisierung und Wertschätzung. Es gelte dabei zu bedenken, dass „Sicherheit“ im Englischen mit den kontextabhängigen Begriffen „Safety“ (Schutz) und „Security“ (Abwehr) beschrieben wird – zu ergänzen sei noch der zeitliche Aspekt „Sustainability“ (Nachhaltigkeit). Dieses „Triple S“ sei gut zu merken, so der AKSi-Leiter.

Projektmanagement-Experte Michael Taube: „Maßnahmen schnell umsetzen!“

Schwachstellen beheben und Fehlerwiederholung vermeiden

Fehler sind unvermeidlich, denn alles von Menschen Geschaffene ist fehlbar – in Deutschland wird aber noch zu oft auf Bezichtigungen, Rechtsfragen und Larmoyanz gesetzt, anstatt Schäden zu minimieren und die Wiederholung von Fehlern zu verhindern. Michael Taube stellte in seiner Eigenschaft als Geschäftsführer der Deutschen Projekt Akademie in seinem Impuls „Post mortem Meeting – weg von der Suche nach Schuldigen, hin zur Erforschung der Ursachen und Förderung der Lernkultur“ eine Managementmethode vor, die am Ende eines zu analysierenden Vorhabens eingesetzt werden kann. Zur Anwendung kommt diese z.B. nach Schachpartien, um die Züge und mögliche Alternativvarianten im Rückblick zu erörtern. Ebenso kann sie im Projektmanagement zum Einsatz kommen, insbesondere zur Risikoanalyse. Gewonnene Erkenntnisse – auch gerade aus Fehlfunktionen und Schäden – werden dokumentiert, um bei der Durchführung künftiger Projekte Beachtung zu finden.
Er betonte, dass die Treffen und Analysen der sachlichen Auseinandersetzung ohne Schuldzuweisung dienen sollen. In Aussicht stünden dann eine Erhöhung der Effektivität, eine Verbesserung des Betriebsklimas und der Zusammenarbeit sowie ein leichteres Lernen, u.a. aus Fehlern; aber es gelte auch Erfolge zu feiern, so Taube. Für dieses Verfahren sei es unbedingt notwendig, einen erfahrenen, neutralen Moderator zu beauftragen und eine konstruktive, entspannte Atmosphäre für die Treffen zu schaffen. Denn die Geschäftsführung bzw. Projektleitung sei ein potenzieller Teil des Problems und somit kaum in der Lage, den Grundsätzen des Verfahrens zu genügen: Erfolgsentscheidend seien z.B. der Verzicht auf Schuldzuweisungen und persönliche Vorhaltungen – möglich müsse es sein, die Standpunkte sachlich, von gegenseitigem Respekt getragen zu erörtern, um schließlich die Schwachstellen zu ermitteln, deren Behebung zu beraten und die Wiederholung von Fehlern zu vermeiden.
Sehr wichtig sei die Dokumentation des Verfahrens, aber dabei dürfe eine weitere Erfolgsbasis nicht vergessen werden: „Maßnahmen schnell umsetzen!“ Sodann leitete Taube zu einer weiteren Szene der Gruppe „Hauptstadtspiel“ über, die dem Thema Industrie 4.0 gewidmet und durch eine Wahrnehmungsbeschränkung geprägt war – so spielte die erste Gruppe einen Sketch über die noch verbesserungswürdige Fertigung von Maßkleidung mit einem 3D-Drucker, welche dann die zweite Gruppe, die diese Szene nur visuell verfolgen konnte, in ihrer Interpretation frei nachspielte.

Szene zur Fertigung von Maßkleidung mit einem 3D-Drucker…

Megatrends der IT im Spannungsfeld zwischen Wertschöpfung und Kriminalität

Carsten J. Pinnow als Herausgeber des Webmagazins datensicherheit.de führte zu Beginn seines Impulses mit dem Titel „Hacker-Attacken – beliebte Angriffsmuster“ aus, dass derzeit eine Koinzidenz von Megatrends zu beobachten sei: Die mit zunehmender Digitalisierung und Vernetzung neu entstehenden Geschäftsmodelle und Fertigungsverfahren seien sowohl Chance für moderne Wertschöpfung – als auch neue bevorzugte Angriffsziele für Cyber-Kriminelle. So stünden z.B. „Big Data“, „Künstliche Intelligenz“ und (autonome) „Mobilität“ für ein Spannungsfeld aus großem Nutzen für die Menschheit einerseits, aber auch für ein gewaltiges Schadenspotenzial andererseits.
Während die Anzahl vernetzter Computer rasant wachse, nehme deren Baugröße immer weiter ab – sie seien vielfach schon nicht mehr als solche sichtbar (s. „Embedded Systems“). Was z.B. der Einplatinencomputer „Raspberry Pi“ zu leisten vermag, sei erstaunlich. Zunehmende Quantität der Geräte und Minimierung ihrer Geometrie erfolgten in einem Umfeld, welches zum Teil von bereits seit Jahrzehnten bekannten Schwachstellen geprägt sei; Hackern hätten somit leichte Angriffsoptionen. Neben technischen Schwachstellen gebe es auch organisatorische – riskant seien z.B. die häufig anzutreffenden Kommunikationsprobleme zwischen der Führungs- und der Technikebene, welche noch durch eine Unkenntnis der eigenen betrieblichen Prozesse verstärkt werde.
Der Markt für Datendiebstahl werde wohl den Drogen- und Waffenhandel als bedeutende kriminelle Wirtschaftszweige hinter sich lassen, so lukrativ sei er inzwischen. Konkurrenten und staatliche Stellen (einschließlich Geheimdiensten und Militär) agierten, aber auch die Organisierte Kriminalität – und selbst Einzeltäter könnten sich sogar ohne eigenes Know-how Cyber-Attacken online bestellen, weshalb in der Branche bereits von speziellen kriminellen Diensten mit der Bezeichnung „Cyber-Attacks-as-a-Service“ gesprochen werde. Zum Abschluss des Impulses wurden die bei Hackern sehr beliebten Angriffsszenarien schematisch vorgestellt: So beispielsweise Malware- und Ransomware- sowie „DNS Reflection and Amplification“-Attacken.

Carsten J. Pinnow erläutert „DNS Reflection and Amplification“-Attacke

KRITIS: KKI setzt Standards für Prävention und Krisenmanagement

Der Geschäftsführer des Kompetenzzentrums Kritische Infrastrukturen (KKI), Robert Demmig, stellte in seinem Kurzbericht den KKI e.V. vor: Der Verein habe es sich zum Ziel gesetzt, die Versorgungssicherheit in Deutschland zu erhalten und den Schutz sogenannter Kritischer Infrastrukturen (KRITIS) zu verbessern – der KRITIS-Fokus liege dabei auf Energie und Wasser.
Keine Selbstverständlichkeit seien der störungsfreie Betrieb und die Sicherheit der KRITIS – kontinuierliche Arbeit und zielgerichtete Planung vieler unterschiedlicher Akteure seien erforderlich. Solche Systeme seien starken Wechselwirkungen unterworfen, zudem wiesen sie eine hohe Komplexität auf: Unzählige technologische, wirtschaftliche, politische und juristische Aspekte seien zu berücksichtigen. Diese Komplexität zu beherrschen könne nur durch methodisches Handeln gelingen.
Das KKI möchte laut Demmig das Bewusstsein daher bei KRITIS-Betreibern, bei Kommunen sowie in den Ländern und beim Bund schärfen. Der Verein versteht sich demnach als unabhängige Dialog- und Informationsplattform zur Vernetzung der relevanten Akteure aus Politik, Wissenschaft und Wirtschaft. Gemeinsam mit allen Verantwortlichen und insbesondere mit öffentlichen und privaten KRITIS-Betreibern sollten Strategien zur Prävention und Krisenbewältigung entwickelt werden. Ein wichtiger Meilenstein des KKI-Wirkens seien Entwicklung und Implementierung bundesweiter Standards im Bereich Prävention und Krisenmanagement.

[AKSi-CI4-HerbstForum_30102018_Robert-Demmig_Vorstellung-KKI-EV_01.jpg]

Bewusstsein bei KRITIS-Betreibern, bei Kommunen sowie in den Ländern und beim Bund schärfen!

Embedded Systems: sowohl Erfolgsbasis als auch Sicherheitsrisiko

Peter Rost, Director „Business Development and Strategy“ bei Rohde & Schwarz Cybersecurity GmbH und Vertreter des TeleTrusT – Bundesverband IT-Sicherheit e.V., erläuterte in seinem Impuls „Embedded Systems – Erfolgsbasis oder Sicherheitshindernis der I4.0-Technologie?“, dass der Titel seines Vortrags im Prinzip eine rhetorische Frage sei: Er werde beispielhaft aufzeigen, dass „Embedded Systems“ entscheidend für den Siegeszug der Industrie 4.0 seien, aufgrund der zuvor auch schon von Carsten J. Pinnow angerissenen Herausforderungen aber natürlich zudem ein zunehmendes Sicherheitsproblem darstellten.
Rost betonte die Notwendigkeit, dass jeder einzelne Verbraucher selbst eine Kultur der Datensicherheit schaffen müsse: Beispielhaft warf er die Frage auf, wer aus dem Auditorium schon geprüft hat, ob die eigene E-Mail-Adresse bereits zum Ziel eines Identitätsdiebstahls geworden ist (Anm.: Das BSI hat am 02.11.2018 seinen Web-Dienst zur Prüfung abgeschaltet, verweist aber auf andere, internationale Portale). Rost tut dies nach eigener Aussage regelmäßig und er empfahl, für unterschiedliche Web-Angebote auch verschiedene Passwörter zu nutzen.
Er zeigte auf, in welchen Bereichen die Durchdringung mit IT heute schon auf einem sehr hohen Niveau ist: Als Beispiele benannte er Mobiltelefonie, TV-Sender, Film-Postproduktion, Sprechfunktechnik im Flugwesen und Körperscanner für Sicherheitskontrollen. Für all diese Beispiele gelte die Forderung, dass bei einem Update/Upgrade die Cyber-Sicherheit eigentlich sofort inhärent sein müsste und nicht erst nachträglich als „Patch“ berücksichtigt werden dürfte. In einem dynamischen Marktumfeld sei „Security by Design“ aber nicht durchgängig realisierbar, daher müsse auf Tests und proaktiven Schutz gesetzt werden. Cyber-Sicherheit und -Defense, mit „asymmetrischen Bedrohungen“ konfrontiert, bedürften quasi eines 360-Grad-Schutzes. Cyber-Sicherheitsexperten seien indes noch immer „Mangelware“, derweil kurzfristig jeweils eine Mischung aus effektiven Schutz-, Erkennungs- und Reaktionsfähigkeiten gefordert sei. Rost betonte abschließend, dass Cyber-Sicherheit der „Schlüssel zur Verfügbarkeit“ von IoT/I4.0-basierten Diensten sei – also „Enabler“ und „kein Extra“.

Asymmetrisch bedrohte Cyber-Sicherheit und -Defense benötigen „360-Grad-Schutz“

Neues Diskussions-Format: Kein Schweigen im „Fish Bowl“

Clustersprecher Taube startete als Moderator die Diskussion nach dem FishBowl-Verfahren: Als Anregung stand der Titel „Basis der Sicherheit und des Erfolges der Transformation hin zur Gesellschaft 4.0 – Wechselwirkung Mensch-Organisation-Technik“ im Raum, in dessen Mitte hierzu fünf Stühle bereitstanden. Taube berief als Start-Diskutanten Robert Demming, Peter Rost, Dirk C. Pinnow und Leonard Wienholt (Leiter „Hauptstadtspiel“). Der Gruppe stellte er die Eröffnungsfragen vor:

Was bedeutet für Sie „Gesellschaft 4.0“?
Was können die Menschen zum Erfolg der Transformation beitragen?
Was trägt die Organisation zum Erfolg der Transformation bei?
Wie wird die Technik die Transformation beeinflussen?

FishBowl-Diskussionen sollen eine sachliche, fokussierte Diskussion ermöglichen, weil nur Diskutanten im Zentrum des gedachten „Goldfisch-Glases“ Rederecht haben. Der zu Beginn freigehaltene Platz soll bisherigen Zuhörern die Möglichkeit geben, zum Kreis der Diskussionsteilnehmer aufzuschließen. Hat jemand (vorerst) genug gesagt, wird freiwillig der Platz geräumt. Aus dem Auditorium kann durch Aufstehen der Wunsch nach Gesprächsteilnahme signalisiert werden. Das FishBowl-Verfahren setzt weitgehend auf Selbstorganisation.
Ohne großen Anlauf kam sehr schnell ein reges Gespräch in Gang: Auch mehrere Gäste engagierten sich aktiv an der Diskussion. In seiner Stellungnahme hatte der AKSi-Leiter die Befürchtung geäußert, dass wie in den 1960er-Jahren die Kernenergie heute die Informationstechnik oberflächlich als ein noch positiv konnotierter „Hype“ behandelt wird – um dann unter Umständen nach einem Großschadensfall, wie etwa einem „Blackout“, die heute noch so hochgelobte IT quasi als „Teufelszeug“ verdammt werden könnte…
Der Moderator musste mit Blick auf die Uhr die engagierten Diskutanten und das aufmerksame Auditorium auf die Fortsetzung der Gespräche in lockerer Runde bei dem sich anschließenden Imbiss im Foyer hinweisen. Taube bedankte sich für die Unterstützung durch die BAM, die Deutsche Projekt Akademie, die Gruppe „Hauptstadtspiel“ und den VDI-Bezirksverein Berlin-Brandenburg. Den offiziellen Teil des Abends abschließend lud der AKSi-Leiter zur Fortsetzung der Kooperationen ein und eröffnete das Buffet in der Lobby, in der die Fortsetzung der Gespräche noch weit bis nach 22 Uhr andauerte.