Magazin zum Geschäftsbericht 2021
Der Lücke begegnen
Seit 2019 kümmert sich bei SICK ein eigenes sogenanntes Product Security Incident Response Team (PSIRT) um die Datensicherheit aller Produkte und Dienstleistungen des Unternehmens. Das Aufdecken von Schwachstellen wird dabei als gemeinsames Bestreben unterschiedlichster Beteiligter verstanden, um Kunden ein durchgängig hohes Sicherheitsniveau zu bieten. Ulrike Gehring, Project Manager Cybersecurity, und Benjamin Holdermann, Cybersecurity Specialist, erläutern im Interview Rolle und Aufgabe des PSIRT und was Systematisierung mit Mut zur Lücke zu tun hat.
Warum wird der Schutz von Operative Technology (OT) neben dem für die Information Technology (IT) immer wichtiger?
GEHRING: Zunehmend mehr Industrieprodukte wie Sensoren, Aktoren oder ganze Steuerungssysteme bieten neben ihren reinen Produkteigenschaften zusätzliche Cloud- oder Netzwerkfunktionen. Die steigende Integration von Mikrocontrollern hat jedoch ihren Preis: die Gefahr von Sicherheitslücken. Operative Technology ist davon jetzt genauso betroffen wie bereits seit langer Zeit IT-Systeme, bei denen entsprechende Cybersecurity-Verfahren etabliert sind. Heute sind auch Produkte in der Lage, mithilfe ihrer Software mit der IT zu interagieren und ebenso externe Programme auszuführen. Das heißt, auch von solchen Produkten können nun große Sicherheitsprobleme ausgehen, die im schlimmsten Fall das gesamte IT-Netzwerk und die Produktionsanlagen eines Unternehmens betreffen.
SICK hat seit mehr als drei Jahren ein eigenes Product Security Incident Response Team. Was ist dieses PSIRT und wie kam es zu seiner Gründung?
HOLDERMANN: Das PSIRT ist als eigenes Team die zentrale Anlaufstelle bei SICK für Kunden und weitere Bezugsgruppen wie Behörden oder Sicherheitsforscher, wenn es um die Datensicherheit von unseren Produkten geht. Wir haben es 2019 innerhalb weniger Monate ins Leben gerufen und es kann bereits auf viele erfolgreich abgeschlossene Fälle zurückblicken.
GEHRING: Die Gründung erfolgte, weil wir in einer vernetzten Welt den Bedarf gesehen haben, Schwachstellen nicht mehr nur lokal und individuell in unseren Niederlassungen zu verfolgen, sondern übergreifend für das Gesamtunternehmen. Dabei setzen wir auf absolute Transparenz. Potenzielle Schwachstellen können von jedem – ob Kunde oder nicht – an uns gemeldet werden. Nach der Bestätigung veröffentlichen wir sie ohne Scheu und ganz im Kundeninteresse auf unserer Website.
Was sind die Aufgaben des PSIRT?
HOLDERMANN: Absolute Sicherheit in vernetzten Produkten ist ab ihrem ersten Einsatz nicht allein durch technische Methoden erreichbar. Man muss im Endeffekt einen gewissen Mut zur Lücke haben. Die Verbesserung der Sicherheit kann so nur schrittweise erfolgen, indem wir aus Vorfällen lernen und schnellstmöglich reagieren. Das PSIRT spielt dabei eine zentrale Rolle durch seine Systematisierung: Es koordiniert den Umgang mit Schwachstellen in unseren Produkten, steuert die Entwicklung von Gegenmaßnahmen durch unsere lokalen Experten und gibt Feedback für die Umsetzung in Richtlinien sowie in die Praxis. Entscheidend ist, dass wir durch dieses systematische Vorgehen die Kontrolle über die Situation erlangen.
GEHRING: Unser Team ist damit nicht nur die Schlüsselstelle für die kontinuierliche Erhöhung der Produktsicherheit, sondern auch die zentrale Anlaufstelle und der Koordinator für Schwachstellen- und Sicherheitsberichte.
Bei welchen Vorfällen wird es typischerweise aktiv?
HOLDERMANN: Ein typischer Vorfall und gleichzeitig ein Großeinsatz für unser PSIRT war der Auftritt der sogenannten Log4Shell-Schwachstelle im Dezember 2021. Da es sich um eine Sicherheitslücke in einer Bibliothek der weit verbreiteten Programmiersprache Java handelte, war praktisch jeder Unternehmenslaptop weltweit betroffen. Und natürlich sind solche Bibliotheken auch in vernetzt arbeitenden SICK-Produkten aktiv. Log4Shell war genau so eine Schwachstelle, von denen ein Angreifer oft nur eine braucht, um sich ins ganze Unternehmensnetzwerk zu hacken und das IT-System zu kapern. Unsere Kunden waren natürlich verunsichert, wir hatten sehr viele Anfragen. Dank unserer standardisierten Prozesse und Systematik konnten wir ihnen die Ängste aber schnell nehmen. Auch hier haben wir durch das Erfassen und Messbarmachen der Schwachstelle innerhalb kurzer Zeit die Kontrolle darüber erlangt. In Zusammenarbeit mit unseren Entwicklern haben wir alle 40.000 SICK-Produkte überprüft und für jedes betroffene steht nun ein entsprechender Patch bereit, der die Sicherheitslücke schließt.
GEHRING: Unser Systematisierungsansatz lässt uns auch bei der Cybersecurity mutig sein. Wir wissen, dass wir nach dem Motto „Gefahr erkannt, Gefahr gebannt“ jede Situation in den Griff bekommen. So können unsere Kunden die Vorteile der Digitalisierung mit einem sicheren Gefühl nutzen.
Wie soll sich das SICK PSIRT in Zukunft weiterentwickeln?
HOLDERMANN: Das Auffinden und Beheben von Sicherheitslücken in allen Produkten ist keine einfache Aufgabe. Die organisatorischen Kompetenzen und das Wissen eines PSIRT können den Reifegrad der Produktsicherheit in Unternehmen erhöhen und den Aufwand verringern. Der Unterschied, den ein PSIRT ausmachen kann, ist, wie gut eine Organisation auf Schwachstellenberichte vorbereitet ist. Und eine gute Vorbereitung entscheidet darüber, wie das Unternehmen von Kunden, Sicherheitsforschern und den Medien wahrgenommen wird. Deshalb arbeiten wir kontinuierlich an der Verbesserung unserer Einheit, um auch zukünftige und noch komplexere Sicherheitslücken effizient zu schließen.
