Im Zuge der Veränderungen rund um Industrie 4.0 muss das Thema Datensicherheit neu gedacht werden. Dabei steht man insbesondere bei Mittelständlern unter 250 Mitarbeitern noch ganz am Anfang der Diskussion.
Wenn sich Unternehmen in ganze Supply-Chain-Netzwerke integrieren wollen, wie das bei der Realisierung von Industrie 4.0-Strategien gefordert ist, gewinnt das Thema „Datensicherheit“ eine ganz neue Dimension. Wie der Diskussionsstand in Österreich ist, wo die Hemmschuhe liegen und welche Security-Strategien adäquat sind, darüber sprachen Jürgen Baumgartner, CEO beim Wiener Systemintegrator B&M Tricon und dem Head Professional Service im Unternehmen, Herbert Franta, sowie Petr Duvidovic, Strategic Channels & IoT bei Cisco Systems Austria. Durch das Gespräch führte CR Hans-Joachim Schlobach.
BLOGISTIC.NET: Bei der Einladung zum Round Table zum Themenfeld Industrie 4.0 im Zusammenhang mit IT-Security gewannen wir von BUSINESS+LOGISTIC den Eindruck, als scheue man sich, darüber zu debattieren. Selbst große Unternehmen wie A1 Telekom oder SAP konnten niemanden dafür abstellen. Warum das so ist, darüber lässt sich nur spekulieren. Wir schließen jedoch daraus, dass dies ein sehr brennendes Thema ist und umfassende Lösungen noch auf sich warten lassen bzw. vorhandene noch nicht befriedigend arbeiten. Vielleicht ist das Thema auch zu komplex, sodass es dafür gar keine vernünftige Lösung gibt. Immerhin tangieren rund ein Drittel der Themenfelder rund um Industrie 4.0 das Thema Kommunikation, d.h. die Mensch-Maschine-Kommunikation, die Maschine-Maschine-Kommunikation usw. und dies entlang der gesamten Wertschöpfungskette. Dabei müssen die Daten erst generiert und dann zu Informationen verarbeitet werden, die dann jedoch Gültigkeit und Lesbarkeit entlang der Supply Chain vom Rohstoff bis zum Endkonsumenten haben müssen. Und hier erscheint es uns von BLOGISTIC.NET, dass wir noch ganz am Anfang stehen, weil es für die meisten Unternehmen noch vollkommen unklar ist, was sie eigentlich unter Datensicherheit verstehen sollen und welche teilweise sensitiven Informationen sie freigeben wollen, die auch für die gesamte Kette von Interesse sind. Was versteht man bei B&M Tricon unter Datensicherheit?
Baumgartner: Bei uns ist das Thema „Datensicherheit“ in zwei Bereiche aufgeteilt: die eigene und die unserer Kunden. Unter die Daten, welche unter der eigenen Datensicherheit subsumiert sind, fallen beispielsweise Firmendaten, Entwicklungsdaten, Kundendaten usw. Unter Kundendaten, welche hingegen bei uns liegen, fallen etwa Sensorikdaten von Maschinen div. Kunden, Cloudsoftware, die Kunden bei uns mieten und nicht kaufen. Der dritte Security-Bereich bei Kunden betrifft etwa die W-Lan-Infrastruktur, deren Kundendaten etc.
Duvidovic: Für uns ist das die Sicherheit von, für den Kunden relevante, interne Daten bis hin zu Mitarbeiterdaten, egal, wo dieser sich befindet. Es ist dabei für uns genauso kritisch, wenn ein Mitarbeiter Daten verliert, die er auf seinem Privathandy vorhält oder Daten, die er auf seinem Notebook oder Tablet gespeichert hat, die er im Firmennetzwerk nutzt. Es für uns auch etwas mit Datensicherheit zu tun, wenn die Identität eines Mitarbeiters gestohlen wird, um damit einen Angriff auf die jeweilige Firma zu starten.
BLOGISTIC.NET: Können Sie ein Beispiel für relevante Kundendaten nennen?
Duvidovic: Welche Daten Relevant sind, muss jede Firma für sich selbst entscheiden. Darum sind diese Daten individuell verschieden. Es sind aber in der Regel solche Daten, die einer Firma Schaden zufügen können, wenn diese verloren gehen oder missbräuchlich von Dritten verwendet werden. Das können also ebenso Kreditkartendaten sein, wie Daten, die nur einen kleinen, erlesenen Kreis in einer Firma betreffen. Die Klärung dieser Fragen hat Konsequenzen für uns, denn erst wenn sich die Firma klar gemacht hat, welche Daten für sie relevant sind, dann können wir sie dabei unterstützen, die Datensicherheit zu automatisieren.
BLOGISTIC.NET: Warum?
Duvidovic: Weil es zum Teil tausende Schnittstellen gibt, die hier zusammen spielen. Ein durchschnittliches Unternehmen besitzt 58 unterschiedliche Sicherheitssysteme die zumeist manuell betreut werden. Dabei sprechen wir von Unternehmen mit mindestens 250 Mitarbeitern. Wir haben hier eine Sicherheitsarchitektur geschaffen, die beispielsweise automatisch feststellen kann, wenn sich ein Mitarbeiter an zwei Lokationen einloggen will. Das geht physikalisch nicht. Unsere Systeme können auch feststellen, ob ein Gerät vorgibt, ein Drucker zu sein, jedoch einen Webbrowser öffnen will. Wir analysieren Verhaltensweisen und untersuchen anhand dessen zu agieren. Wenn man den Faktor Mensch berücksichtigt, ist das aus meiner Sicht auch gar nicht anders handhabbar.
Franta: Und weil es den Faktor Mensch gibt, muss an dieser Stelle festgestellt werden, dass es die absolute Sicherheit nicht gibt. Wir erinnern uns an den FACC-Skandal im Frühjahr dieses Jahres. Wir kennen dabei nicht die genauen Hintergründe, aber der Faktor Mensch spielte hier eine mitentscheidende Rolle, bei dem 50 Millionen Euro zum Schaden des Unternehmens abgeflossen sind. Ich sehe daher das Thema Datensicherheit gar nicht so sehr auf der technischen Ebene angesiedelt. Wer will, kann heute schon solche Security-Strategien technisch umfassend verwirklichen. Der Unsicherheitsfaktor bei Daten ist immer noch der Mensch, denn dieser will entweder illegal an Daten heran oder illegal Daten weiter geben. Darum müssen IT-Security-Lösungen stets den Faktor Mensch miteinbeziehen.
BLOGISTIC.NET: In Österreich ist man bei den Investitionen in IT-Security insbesondere bei Mittelständlern unter 250 Mitarbeitern jedoch noch sehr zurückhaltend. Warum ist das so?
Franta: Ich sehe den Hemmschuh eigentlich viel eher in der Kosten-Nutzen-Relation. Solche Sicherheitsstrategien und Lösungen sind kostspielig, denn Unternehmen müssen hierfür eine intensive Eigenanalyse und Risikoabschätzung vornehmen. Zentrale Fragen müssen hier beantwortet werden wie <<Welche Informationen stehen mir überhaupt zur Verfügung und welche will ich dann in die Supply Chain weiter geben?>>. Dabei muss geklärt werden, welche der Daten und Informationen überhaupt business-relevant sind.
Erst dann kann ich die Frage beantworten, was mir der Schutz dieser Daten tatsächlich wert ist. Und hier liegt der Hund begraben, denn diejenigen, welche die Budgets gerade für Lösungen im Bereich Datensecurity freigeben, sind vielfach regelrecht ahnungslos. Das ist unsere Erfahrung.
BLOGISTIC.NET: Ja, aber das ist ja nicht wirklich etwas Neues. Auf dieses Problem stoßen wir doch auch in anderen Unternehmensbereichen, für die ebenfalls entschieden werden muss. Das Top-Management hat ja deswegen seine Spezialisten im Unternehmen. Oder nicht?
Baumgartner: Im Idealfall schon. Das technische Wissen zur Datensicherheit ist zwar schon verbreitet, doch die Experten, die Fragen hinsichtlich unternehmensrelevanter Daten abschließend beantworten können, sind eher rar gesät. Und wenn das nicht da ist, kann das Top-Management auch nicht entscheiden. Deswegen werden Entscheidungen hintangestellt. Wenn dann auch noch der Kostendruck zunimmt, werden solche unbequemen und aufwändig zu beantwortende Fragen nach hinten verschoben und manchmal auch ganz schubladisiert.
BLOGISTIC.NET: Es fehlt in den Unternehmen also an den Kompetenzen zum Thema IT-Security?
Franta: Das kann man so nicht sagen, denn für ihre abgeschlossenen, internen Strukturen haben Unternehmen natürlich technische Konzepte, die auch umgesetzt werden. Es geht hier jedoch um unternehmensübergreifende Strategien. Hier fehlt es in der Tat an der Kompetenz dafür, weil die Entscheider keine validen Informationen über ihre Daten und das Gefährdungspotenzial bekommen. Sie haben schlichtweg kaum Entscheidungsgrundlagen. Und darum fehlt es auch am Budget, solche unternehmensübergreifenden Security-Strategien umzusetzen. Da beißt sich die Katze in den Schwanz.
BLOGISTIC.NET: Es gibt aber doch Security-Richtlinien der EU, welche…
Franta: Die gelten für Unternehmen mit einer Größe von mindestens 250 Mitarbeitern. Das sind also nicht so viele Unternehmen in Österreich, die tatsächlich davon betroffen sind. Die meisten sind viel, viel kleiner und daher rechtlich davon ausgenommen. Das halte ich für einen großen Fehler, weil es dann nämlich auch keinen Haftungsdruck gibt, Security-Strategien anzugehen und umzusetzen.
Baumgartner: Die Richtlinien richten sich an Unternehmen, die systemrelevant sind wie etwa Energieversorger, Banken, Telekomanbieter, Finanzdienstleister, große Rechenzentren, die Cloudlösungen anbieten usw.. Das sind also Unternehmen, deren Ausfälle das öffentliche Leben erheblich beeinflussen. Wir von B&M Tricon sind mit unseren Rechenzentren auch davon betroffen und deswegen investieren wir auch erheblich in Daten-Security.
BLOGISTIC.NET: Wie sieht es konkret bei Ihnen aus?
Baumgartner: Wir haben unsere relevanten Daten ermittelt und behalten sie im Unternehmen. Ich bin nämlich ein Verfechter davon, dass unsere relevanten Unternehmensdaten zentral gespeichert werden und unsere Daten nicht irgendwo in der Cloud liegen. Unser Sicherheitskonzept sieht vor, dass unsere Mitarbeiter beispielsweise keine andere Möglichkeit haben, mit der Außenwelt zu kommunizieren, als beispielsweise über Outlook und natürlich einen Webbrowser. Doch auch hier können sie nicht auf bestimmte Websites wie Facebook etc. zugreifen. Gleiches gilt für USB-Sticks, die grundsätzlich nicht genutzt werden können. Die Rechner, welche unsere Mitarbeiter nutzen, können genau nichts und dürfen nur das, wofür sie berechtigt sind. Die Mitarbeiter dürfen daher auf diesen Rechnern weder etwas selbst installieren noch via Facebook oder Whatsapp kommunizieren. Speichern dürfen sie Dokumente nur zentral mit den entsprechenden Berechtigungen. Umgekehrt haben die Mitarbeiter nur begrenzten Zugang zu Dokumenten. Dabei wird jeder Schritt eines jeden Mitarbeiters im internen Netzwerk protokolliert und dokumentiert. Auf diese Weise haben wir eine gute Kontrolle darüber, was mit den Daten passiert. Gleichzeitig erschweren wir es, dass Daten unerlaubt nach draußen gelangen. Es hilft zudem, unerlaubte Zugriffe zu verhindern. Aber auch hier gilt: eine 100-prozentige Sicherheit gibt es nicht.
BLOGISTIC.NET: Was lassen Sie sich die Sicherheit von B&M Tricon und für Ihre Kunden kosten?
Baumgartner: Das kann ich von dieser Stelle aus nicht genau sagen, da dies über den gesamten Konzern läuft. Ich würde aber sagen, dass wir so gegen drei bis fünf Prozent des Umsatzes für Sicherheit ausgeben. Das würde ich auch anderen Unternehmen als Größe empfehlen.
BLOGISTIC.NET: Was macht Sicherheit so kostspielig?
Baumgartner: Personal, aber auch Hardware. Der personelle Aufwand ist hoch und gut bezahlt. Das betrifft aber auch die eingesetzte Hardware. Wenn wir für unsere Rechner Terrabyte-Festplatten kaufen, müssen sie anderen Kriterien genügen als Festplatten, die Sie beispielsweise als Konsument beim Hofer kaufen, Herr Schlobach. Da geht es insbesondere um Ausfallsicherheit, Verfügbarkeit usw. So kosten uns sechs Terrabyte rund 40.000,- Euro. Hinzu kommt die Hochverfügbarkeit der anderen Systeme etc., die u.a. auch damit erreicht wird, dass jeden Tag ein Sicherheitsdienst die Kopien unserer Daten abholt und sicher verwahrt.
BLOGISTIC.NET: Sie geben Ihre Daten nicht an Dritte weiter, Herr Baumgartner. Gerade aber bei Thema Industrie 4.0 geht es ja um die Weitergabe von Daten, die Öffnung und die Integration der Systeme usw. und letztlich um Kommunikation zwischen den einzelnen Systemen. Ganze Entwicklungs- und Bestellvorgänge sollen künftig automatisiert von sich gehen. Ohne das alles wäre Industrie 4.0 eigentlich gar nicht möglich.
Die Unternehmen sind aber, teilweise zurecht misstrauisch, weil sie fürchten, die Kontrolle über ihre Daten und ihren Datenfluss zu verlieren. Die Security-Philosophie von Cisco ist eine andere als die von B&M Tricon. Wie schaffen Sie es, das Misstrauen abzubauen?
Duvidovic: Hier haben wir es mit zwei Themen zu tun. Das Eine ist die interne Garantie der Datensicherheit. Das andere Thema ist die Schnittstellenkommunikation zu Dritten, d.h. es geht also um Schnittstellen, die ein Unternehmen im Rahmen von Industrie 4.0 gegenüber anderen Unternehmen öffnet. Solche Entscheidungen werden nicht ad hoc getroffen, sondern ganz bewusst. Somit werden hier nicht nur Schnittstellen genau definiert, sondern natürlich auch entsprechende Personengruppen und Gerätearten, welche zu diesen Schnittstellen gehören. Bei diesen Personen und Geräten sorgen die Unternehmen selbst dafür, dass sie ihren eigenen Sicherheitsstandards entsprechen, was durch unsere Lösung durchgesetzt wird. Diese Schnittstellen werden aber von uns entsprechend verschlüsselt, sodass ein unerlaubter Zugriff technisch faktisch unmöglich ist. Daher schließt nur der Faktor Mensch die 100-prozentige Sicherheit aus.
BLOGISTIC.NET: Wie macht das Cisco bei sich selbst?
Duvidovic: Cisco hat, inklusive externer Auftragnehmer, rund 130.000 PC-Nutzer sowie Handy- und Tablet-Anwender. Das Cisco-Netzwerk ist grundsätzlich offen, d.h. anders als bei B&M Tricon kann jeder User auch sein eigenes Handy, Tablet etc. ins Netzwerk im Sinne von Bring Your own Device (BYOD) integrieren und alles was er möchte, unter zwingender Anwendung von zentralen Sichercheitsrichtlinien, installieren. Was wir jedoch im Netzwerk machen, ist, den Datatraffic des Anwenders und der Geräte untereinander genau zu protokollieren und analysieren. Dabei produziert unser System mehr Datatraffic als das Internet im Jahr 2005. Sobald dabei etwas atypisches passiert oder neue Geräte ins System integriert werden, so pusht das Cisco-System die entsprechenden Sicherheitsrichtlinien auf die verwendeten Geräte. Sollte das nicht akzeptiert werden, dann kommen diese Geräte in Quarantäne und sind nicht im Cisco-System verwendbar. Auf diese Weise hat Cisco die volle Kontrolle auch darüber, was im Netz passiert und kann auch sehr rasch schädliches Verhalten identifizieren. Das inteligente Netzwerk ist somit selbstheilend und wir können auch nach einem Angriff immer exakt den Patienten Zero, den Angriffsvektor und alle infizierten Geräte feststellen.
BLOGISTIC.NET: Wir haben hier zwei Security-Philosophien. Die eine ist die des Safes, wie bei B&M Tricon, die von vorne herein genau definiert, wer was tun darf und welche Dokumente wer einsehen darf usw. Die andere ist eine Philosophie der Offenheit, dafür wird jedoch ein hartes Kontrollregime über den Datatraffic installiert. Das Eine ist offensichtlich. Warum wählte man bei Cisco den scheinbar offenen Weg?
Duvidovic: Zum einen geht es um die Mitarbeiterzufriedenheit. Wir hatten zunächst dieselbe Philosophie wie B&M Tricon verfolgt, merkten aber das die Mitarbeiterzufriedenheit und Effizienz darunter litt. Zudem haben wir die umfangreichste Sicherheitsarchitektur am Markt, die wir selber kostengünstig nutzen können und welche ein derart offenes System erlaubt. Desweiteren sind wir ein Unternehmen, das Tausende Subunternehmen in seinem Netzwerk hat, dazu gehören globale Player, Telekom-Unternehmen als auch mannigfaltige Hersteller und Kunden. Denen müssen wir eine reibungslose und kontrollierte Kommunikation ermöglichen. Und last but not least ermöglicht ein intelligentes Netzwerk wesentlich effizienter Veränderungen und ist somit viel flexibler. Wir als Unternehmen ändern uns permanent um uns kontinuierlich auf die Zukunft auszurichten. Die Märkte ändern sich und auch unsere Partner und deren Kunden. Diese Philosophie ermöglicht es uns auch unseren Technologievorsprung immer weiter auszubauen.
Franta: Dabei dürfen wir jedoch nicht vergessen, dass wir in Österreich leben. Wir haben hierzulande nur sehr wenige Unternehmen, welche so eine gewaltige Infrastruktur benötigen. Und so sind wir wieder beim Thema der Kosten-Nutzen-Relation von Security-Lösungen. Und die Frage ist, was ist die Sicherheit ihrer Daten den Unternehmen wert und was können sie bezahlen.
BLOGISTIC.NET: Diese Frage wird jedes Unternehmen für sich beantworten müssen. Ich danke jedenfalls für das sehr spannende Gespräch.
