«Ich vermisse umfassende IoT & SCADA Risikoanalysen»
Quelle: zVg

«Ich vermisse umfassende IoT & SCADA Risikoanalysen»

Interview: Fridel Rickenbacher

Professor Dr. Bernhard M. Hämmerli, Spezialist für kritische Infrastrukturen, über IoT und Security in der Schweizer Politik und IT-Industrie.

Artikel erschienen in Swiss IT Magazine 2016/05

     

In welchen Branchen wird IoT, z.B. im Rahmen von Industrie 4.0, zuerst einen monetären Nutzen generieren? In welchen zuletzt oder gar nicht?
Bernhard Hämmerli:
Gewinne werden bei der Entwicklung neuer Business-Prozesse erzielt, sofern diese IoT anwenden und bisherige Handlungen billiger (oder besser) machen, d.h. rascher, genauer, besser informiert. Es können aber auch Anwendungen sein, die es bisher nicht gab, z.B. im Sicherheitsbereich oder bei der Energieoptimierung in Häusern. Sicherlich wurden in einigen führenden Unternehmen in den Bereichen Sicherheit, Building Management und Medizin schon Gewinne gemacht. Es scheint aber, dass die ultra-gewinnbringende Anwendung (analog zu Uber) noch nicht gefunden wurde.
Gibt es in der Schweiz oder eher ausserhalb der Schweiz vielversprechende Nischen für die IT-Industrie bei IoT?
IoT als weitere Ausprägung der Globalisierung bedeutet Anschluss ans weltweite Netz von Dingen, d.h. es ist primär ein weltweites Konzept. Es können Schweizer Innovationen sein, die sich weltweit ausbreiten oder Dinge, die in der Schweiz ans Netz angeschlossen werden. Dabei gelten die Regeln «first mover advantage» und «the winner takes it all».
Es ist eine gute Idee, ein schnelles Wachsen zu fördern und innert weniger Jahre in bestimmten Bereichen eine weltweite Leaderrolle zu entwickeln. Dazu soll auch die Digitale Strategie Schweiz dienen, die am 20. April 2016 veröffentlicht wurde. Sie soll uns Schweizer motivieren, das Potenzial möglichst rasch zu nutzen.

Wie gross ist das absehbare Defizit der nötigen Fachkräfte in den Bereichen Networking, Security, Clouds, Software-Entwickler?
Die Bereiche Security und Clouds sind global kompetitive Felder. Die Softwareentwicklung hat globale und lokale Komponenten. Der Bereich Netzwerke (Kabel, Router, Netzwerkkomponenten etc.) ist stark im lokalen Umfeld verankert und somit vom hiesigen Markt abhängig. In Bereichen, in denen Global Player aktiv sind, ist es eine Abwägung von Risiko und Kosten, ob Services in der Schweiz bezogen werden. In den lokal verankerten Bereichen gibt es kein Ausweichen. Bei einem Mangel an Arbeitskräften müssen offene Stellen entweder an Einwanderer vergeben oder unbesetzt gelassen werden. Das führt zu Verzögerungen, bzw. zur Nichtbearbeitung von Aufträgen. Die Datenraten werden weiterhin wachsen (3D / 4K TV, 3D Printing) und deshalb wird die Nachfrage nach Fachkräften in diesen Bereichen gross bleiben.

Genügen die heutige Gesetzgebung und die Industrie-Standards für IoT & SCADA, z.B. bezüglich Datenschutz, Security?
Die Frage ist, ob es Gesetze sein müssen. Vielleicht würde auch blosse Vernunft ausreichen. Bei allem, was wir heute neu und oftmals unsicher vernetzen, vermisse ich umfassende IoT & SCADA Risikoanalysen. Ich beobachte jedoch eine Euphorie gegenüber neuen Möglichkeiten. Das Ziel ist, diese rasch und breit zu nutzen. Historisch gesehen ist dieses Vorgehen normal. In extremen Risikobereichen, wie der Energie-Erzeugung, dem Energie-Transport, der Medizin etc., sehe ich jedoch einige Vorhaben, die ich selbst nur sehr ungern verantworten möchte.

Wie schätzen Sie die aktuelle Bedrohungslage bezüglich Angriffe auf Schweizer Webshops bzw. Systemangriffe wie Ransom-Ware und Crypto-Trojanern (z.B. LOCKY) ein?
Ernst, sehr ernst. Privatpersonen und Firmen sind zunehmend davon betroffen. Bei einem seriösen Backup sollte das Zahlen von Lösegeld für die Entschlüsselung jedoch nicht notwendig sein. Wir beobachten zunehmend auch «Hardcore» Malware. Diese bestraft jede Verzögerung der geforderten Zahlungen mit einer Anzahl definitiv gelöschter Files pro Stunde. Als Folge davon zahlen die Erpressten oft sehr rasch.

Wie stufen Sie die Sicherheit und Resilienz von Public Cloud-Angeboten ein, die in der Schweiz betrieben werden - im Vergleich zu solchen im Ausland?
Ich zitiere Richard Clarke, den langjährigen Cyber-Berater des Präsidenten der USA: «Eure Daten sind nirgends sicher. Wir haben immer Zugriff auf Daten, die wir als notwendig erachten. Bei der Schweizer Cloud geht es nur um ein Geschäftsmodell.»
Insofern unterscheiden sich Cloud Lösungen nicht vom Land sondern vom spezifisch verwendeten Schutzgrad. Dazu kann ich nur ergänzen, dass mein Kopf diese Realität zwar erfasst, jedoch mein Bauch nicht zustimmt.

Wie beurteilen Sie die «Bundesstrategie Cyber-Sicherheit» und wie verläuft deren Umsetzung?
Grundlegend sind die Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS 1)) aus 2012 und die Cyber Defence-Strategie des VBS 2), die heute in der Schweiz gültig ist. Eine «Computer-Generation» dauert zwei bis maximal vier Jahre. Berücksichtig man, dass die Entscheidungsfindung in politischen Prozessen länger dauert, so müssen wir feststellen, dass die aktuellen Strategien bereits eineinhalb bzw. zwei Computer-Generationen alt sind. Die Risikolage, die den Strategien zugrunde liegt, hat sich in beiden Dimensionen, Geld und Häufigkeit, massiv verschärft. Vor fünf Jahren galten Verluste von Millionen als gross, heute sprechen wir bereits von Milliarden (z.B. Carbanak). Die Häufigkeit von schweren Ereignissen hat sich von zweimal im Monat auf mindestens einmal täglich gesteigert. So gesehen können uns diese Strategien heute nur beschränkt zu einem risikoangepassten Schutz verhelfen.

1) https://www.isb.admin.ch/isb/de/home/themen/
cyber_risiken_ncs.html



2) Dieses Dokument ist klassifiziert.

Ausserdem gilt nach wie vor: «eine Strategie ist nur so gut wie ihre Umsetzung». Die Umsetzung braucht Geld. Solange der politische Wille nicht in genügendem Ausmass da ist, die in der Strategie vorgesehen Massnahmen mit den notwendigen finanziellen Mitteln zu versehen, operiert das wohlhabende Land Schweiz an der Grenze zu lächerlichen Schutzbemühungen. Im Vergleich: Deutschland baut eine Armee von 13’000 Cybersoldaten auf. Die USA geben dieses Jahr 6.6 Milliarden USD für ihre Cyber-Streitkräfte aus.
Trotz dieser Analyse spreche ich ausdrücklich meine Hochachtung und meinen Dank gegenüber allen Schweizer Expertinnen und Experten aus, ganz besonders denjenigen der Bundesverwaltung. Letztere gehen einen mühsamen Weg: Sie erstellen qualifizierte Analysen, schlagen Massnahmen vor und fordern eine risikobasierte Anpassung der Budgets.

Ist die Schweizer IT-Branche aus Ihrer Sicht fähig, die strategischen Ziele der Schweiz zu unterstützen, z.B. durch Cyber-Frühwarnung, Erhöhung der Cyber-Resilience und die Reduktion der Cyber-Risiken?
Einige hervorragende, hiesige IT-Unternehmen können eine kompetente Unterstützung bieten. Bezüglich Wirksamkeit können mit diesen Unternehmen in der Schweiz sicher massive Fortschritte erzielt werden. Jedoch muss man sich bewusst sein, dass Sicherheit keinen Skaleneffekt aufweist: Kleine Firmen werden immer eine viel geringeren ICT Schutz haben im Vergleich zu grossen, sogar wenn die kleine Firm einen höheren Anteil des Umsatzes investiert. Beispiele: Die UBS hat ca. 500 IT-Security-Spezialisten, die Swisscom hat ein ganzes Security Operation Center mit ca. 200 IT-Security-Spezialisten und Microsoft, Google, Amazon etc. haben vermutlich Tausende IT-Security-Spezialisten. So gesehen müssen die Grosskonzerne auch die besten Sicherheitskonzepte und Real-Time-Vorkehrungen haben.

Ein Beispiel: Bei einer Reise ins Ausland, z.B. nach China oder Usbekistan, warnt mich mein internationaler Cloud Provider, dass mein Konto möglicherweise von einem Hacker aus einem dieser Länder angegriffen wird. Er verlangt dann eine zusätzliche Identifikation. Hingegen teilen meine Accounts bei Swisscom und an den Hochschulen solche Situationen nicht mit und haben deshalb eine tiefere Sicherheit.
In der nächsten Periode wird die Produktion der Sicherheit für Small Office / Home Office (SOHO), Micro-, kleine und mittlere Unternehmen zu Providern ausgelagert werden, die eine kritische minimale Grösse erreicht haben. So kann ein höheres Sicherheitsniveau sichergestellt werden.

Prof. Dr. Bernhard M. Hämmerli


Bernhard M. Hämmerli (*1958) ist Dozent, Unternehmer und Spezialist für den Schutz von kritischen Infrastrukturen. Er lehrt als Professor an der Hochschule Luzern und an der Norwegian University of Science and Technology in Norwegen. Er ist Leiter der Cyber-Security in der Schweizerischen Akademie der Technischen Wissenschaften (SATW)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER