Investing More into IT Security

KIT and Fraunhofer Conduct Joint Research Under KASTEL

Article within the current edition of the KIT magazine lookKIT on information at the Karlsruhe Institute of Technology, Edition 1/2017. The text was written in German, an excerpt is available in English at the end of the text.

Hacker richten mit Cyberangriffen auf Industrieanlagen nach Schätzungen von Experten Schäden von Hunderten Millionen Euro an. Nur wenige prominente Beispiele wie ein Hochofen in Deutschland, der sich nicht mehr steuern leiß, oder eine Keksfabrik in Kanada, die durch einen Cyberangriff plötzlich stillstand, werden publik. lookKIT-Autorin Brigitte Stahl-Busse hat mit Professor Jörn Müller-Quade, Inhaber des Lehrstuhls für IT-Sicherheit am Institut für Theoretische Informatik, über den Stellenwert von IT-Sicherheit in der Industrie gesprochen.

lookKIT: Welche Besonderheiten gibt es, wenn es um IT-Sicherheit in der Industrie geht?

Professor Jörn Müller-Quade: „Die Echtzeitbedingungen in der Produktion sind essenziell. Wenn glühender Stahl gegossen wird, darf es zu keinen Verzögerungen kommen, sonst gehen Dinge schief. Viele Anwender im Industrieumfeld befürchten, dass Sicherheitstechnik die Abläufe in einer Fabrik verzögern oder sogar stören kann. Wenn eine Fabrik auch nur kurz stillsteht, kostet dies Zeit und Geld. Das heißt, wir müssen hin zu einer IT-Sicherheit, die Echtzeitanforderungen erfüllt.“

lookKIT: Wie hoch ist derzeit der Stellenwert von IT-Sicherheit im industriellen Umfeld?

Jörn Müller-Quade: „Nicht hoch genug! Es ist vielen nicht klar, wie schwerwiegend Cyberangriffe für unsere Wirtschaft sein können. Ein Paradebeispiel ist die Stuxnet-Malware, mit der im Iran eine Nuklearfabrik gestört, aber nicht zerstört wurde. Durch dieses subtile Stören vermuteten die Ingenieure jahrelang, selber den Prozess nicht im Griff zu haben. Auf die Idee, dass es ein Angriff sein könnte, kam man lange nicht. Ein Blackout fällt sofort auf. Aber wenn die Produktion einer Anlage beispielsweise um drei Prozent fällt, oder schleichend immer mehr Ausschuss produziert wird, dann kann dies eine Firma aus der Rentabilitätszone drängen.“

lookKIT: Welche Maßnahmen empfehlen Sit, um eine Fabrik gegen Cyberangriffe zu schützen?

Jörn Müller-Quade: „Zunächst einmal sollte es einen IT-Sicherheitsbeauftragten geben, der direkt unter der Chefetage angesiedelt ist. Die Firmen werden in Zukunft generell mehr in Prävention, Detektion und Reaktion investieren müssen. Die ganze IT-Architektur muss auf Widerstandsfähigkeit hin entworfen werden. Es geht darum, dass weite Teile der Fabrik weiter funktionieren, selbst wenn ein Angriff erfolgreich sein sollte. So kann es zum Beispiel sinnvoll sein Maschinen heterogen auszulegen, damit ein Angriff nicht gleich alle Geräte trifft. Eine weitere Herausforderung ist die Langlebigkeit von Maschinen in der Produktion. Wir müssen auch langfristig Sicherheit bieten können und auf Bedrohungen der Zukunft reagieren können. Ältere Systeme waren nie dafür gedacht, vernetzt zu werden. Solche Systeme müssen in besonders geschützten Umgebungen laufen und im Falle eines erkannten Angriffs sollte eine sofortige Netztrennung dieser empfindlichen Systeme möglich sein.“

lookKIT: Könnten diese Geräte nicht verschlüsselt miteinander kommunizieren?

Jörn Müller-Quade: „Im Bereich der Kryptografie sieht es im Moment tatsächlich so aus, dass die Codemaker gegen die Codebreaker gewonnen haben. Hacker erachten es also zurzeit als nicht aussichtsreich, in etablierte Verschlüsselungsverfahren einzubrechen. Eine verschlüsselte Kommunikation reicht aber nicht, da die Angreifer die Endgeräte unter ihre Kontrolle bringen könnten. Ein deutlich umfangreicherer Schutz ist notwendig. Daher arbeiten wir am KIT an neuen kryptografischen Verfahren, die auch dann noch Restgarantien bieten, wenn einige Endgeräte korrumpiert sind und damit auch im industriellen Umfeld einsetzbar sein werden.“

 

Excerpt in English

KIT and Fraunhofer Conduct Joint Research Under KASTEL

Translation: Maike Schröder

“For a medium-sized company to realize that it is the victim of a cyber attack, it takes 200 days on the average,” Dr. Christian Haas of the Institute of Telematics says. Cyber crime causes damage that runs into billions. Industrial facilities and infrastructure networks often are protected insufficiently. An integrated IT security concept should cover not only hardware and software, but also staff management. Who is to enter which production areas? Which instruments – computers, mobiles, memory sticks – may be taken into critical areas? In the industry sector, new real-time-capable security solutions are required to prevent production from being impaired. New training modules on IT security address large- and medium-sized companies as well as responsible staff in the water and energy sectors.

Within the framework of KASTEL, the Competence Center for Applied Security Technology, scientists of KIT cooperate closely with researchers of the Fraunhofer Institute of Optronics, System Technologies and Image Exploitation (IOSB) among others. It is their defined objective to greatly improve protection of industrial facilities and critical supply networks against hackers. New in-service IT security training courses are now offered by several Fraunhofer Institutes together with neighboring universities.

KASTEL at KIT is one of three research centers for cyber security in Germany. It was initiated by the Federal Ministry of Education and Research (BMBF) in 2011. Work in Karlsruhe focuses on the following four areas: “Security of Tomorrow’s Power Grids,” “Security and Data Protection in Life and Work,” “Security and Data Protection for Future Production Systems,” and “Provable Security of Complex IT Systems.” The spokesperson is Professor Dr. Jörn Müller-Quade, who holds the Chair for IT Security at KIT.

Information: www.kompetenz-it-sicherheit.de/kastel (in German only), http://www.academy.fraunhofer.de/en/continuing-education/information-communication/cybersecurity.html, and http://www.iosb.fraunhofer.de/servlet/is/57376/