Interview mit Herbert Dirnberger

Herbert Dirnberger ist über 20 Jahre für ein internationales Unternehmen in Niederösterreich tätig und zZt. verantwortlich für industrielle Automatisierungssysteme und technische Informationssysteme an den Standorten in Österreich und der Slowakei. Er ist Absolvent der Studiengänge Mechatronik/Wirtschaft (FH Oberösterreich) und Wirtschaftsinformatik (FernFH Wien) und unterstützt ehrenamtlich den Verein Cyber Security Austria als Leiter der Arbeitsgruppe ICS Security. 2006 konzipierte er das technische Informationssystem für ein international tätiges Industrieunternehmen und 2011 entwickelte er ein universell anwendbares zellenbasiertes Framework für Industrial Information Security. Durch seine zahlreichen Fachpublikationen und -vorträge rund um das Thema „Industrial IT/SCADA und ICS Security“ verfolgt er vor allem das Ziel Bewusstsein und Verständnis für ICS-Security in der industriellen Automatisierung und kritischer Infrastruktur speziell für Betreiber zu schaffen.

IoT Austria Newsfeed


Was macht die Cyber Security Austria genau? Magst Du uns kurz über Euren Verein erzählen?

Die Cyber Security Austria ist ein gemeinnütziger und unabhängiger Verein zur Förderung der Sicherheit Österreichs strategischer Infrastruktur. Seine ehrenamtlichen Mitglieder verfolgen den Zweck das Sicherheitsbewusstsein in Österreich zu fördern und das Erfassen, Vernetzen, Vermitteln und Publizieren der vorhandenen Kompetenzen von unterschiedlichen Informationssicherheitsbereichen.

Da IKT-Sicherheit und Cyber-Security dramatisch an Relevanz zunimmt, ist es notwendig - diese Bedeutung bei politischen und wirtschaftlichen Entscheidungsträgern, ebenso wie ALLEN Nutzern dieser Technologien transparent zu machen und die Vernetzung der Akteure weiter voran zu treiben. Ein großes Ziel ist das Thema Sicherheit gesamtheitlich und ausbalanciert wahrzunehmen.

Was meine ich damit? – Sicherheit kann auch manchmal überfordernd sein. Zuviel nicht bedarfsgerechter Sicherheit kann zu unnötig hohen Kosten und geringer Anwendbarkeit führen. Die CSA strebt daher an, eine Evaluierung unabhängig und auf vernünftige Anwendbarkeit durchzuführen.

Im Zuge dieses Strebens halten wir regelmäßig Vorträge ab und erstellen Publikationen. Und wir versuchen eben auch in anderen Gremien – eben wie bei der IoT Austria, welche Österreichweit ja die bedeutendste Rolle in der Verbreitung des Wissens über IoT inne hat und dementsprechend für uns ein sehr wichtiger Kooperationspartner darstellt - Aufmerksamkeit auf das Thema Sicherheit zu lenken.

Was ist Deine Aufgabe bei der CSA?

Meine persönliche Rolle ist die Belange der produktionsnahen IT in unserer Arbeitsgruppe „Sicherheit in der industriellen Automation (SCADA)“ mit unseren Mitgliedern zu erörtern. Dort sind dann auch Themen angesiedelt, wie Automatisierung, Leitsysteme (SCADA) in Industrie Betrieben und auch in kritischer Infrastruktur.

Als Mitglied der CSA kommst Du sicherlich mit spannenden Cyber Angriffen in Kontakt? Ich kann leider aus berufsethischen Gründen nicht über konkrete Fälle berichten – aber ein Fall, der bereits in den Medien großes Echo gefunden hat, hat mich doch sehr nachdenklich gestimmt. Bei einem großen österreichischen Mobilfunk Betreiber fand eine Distributed Denial-of-Service Attacke statt – und dieser Ausfall von mehreren Mobildiensten hatte eine große Auswirkung auf die Community der IoT und M2M Anbieter. Durch die zeitweise Nichtverfügbarkeit des Netzes hat sich nämlich herausgestellt, dass es häufig weder eine Fallback Lösung noch Offline Fähigkeit gab. Gebäudetechnik oder Alarmanlagen funktionierten nicht mehr, mobile Messdatenpunkte waren verloren, weil eben die Systeme nicht darauf ausgelegt waren. Das Mobilfunknetz war als kontinuierlich vorhanden im System Design definiert worden.

Wie sieht das Management der Industrie Betriebe dieses Thema? Merkst Du ein Umdenken?

Absolut! Fast in jedem Unternehmen sieht das Management, dass man sich um das erweiterte Themengebiet Industrie 4.0 kümmern soll. Es gibt eine Tendenz, dass Geld dafür frei gegeben wird und viele Projekte laufen bereits an.

Trotz aller Euphorie muss man aber auch vorsichtig sein - manches was früher als Modernisierung von Industrieanlagen und Robotern oder Einführung von ERP Systemen im Budget abgebildet wurde, wird heute vereinzelt unter dem Mantel Industrie 4.0 abgewickelt.

Welche Bedeutung hat Security bei der Entwicklung zukünftiger IoT Entwicklungen?

Secure-by-Design setzt sich leider nur langsam durch. Nur wenige Entwickler haben bereits realisiert, dass man wenn Security frühzeitig in der Entwicklung berücksichtigt wird, nachhaltig am Markt bestehen kann! Leider passiert es noch immer, dass einige Jahre nach Produkteinführung - wenn bereits tausende Systeme installiert sind - Sicherheitsprobleme auftreten.

Kunden werden sich zukünftig mehr an der vermuteten Sicherheitstauglichkeit beim Produktkauf orientieren. Ich persönlich glaube daher auch daran, dass es in der Zukunft eine Marktbereinigung im IoT Umfeld geben wird – unter anderem eben ausgelöst durch die große Bedeutung der Security!

Bei allen Überlegungen darf man aber auch nicht vergessen: IoT ist nicht nur Technik alleine – sondern es geht auch immer um das Zusammenspiel mit dem Menschen und wie der Mensch eingebettet ist.

Weil Du das Thema Mensch ansprichst - welche Themen siehst Du auf uns alle in der Zukunft zukommen?

Safety und Privacy wird noch ein großes Thema werden – zusätzlich zu der bereits als wichtig erachteten Security. Bei Privacy kann man die Folgen heute noch gar nicht abschätzen. Daten, die heute publiziert werden, können in Kombination mit anderen Daten brisante Informationen verraten, die man als Industriebetrieb eigentlich nicht veröffentlichen wollte.

Ein weiterer Trend ist, dass Mobile Devices auch zentrale Geräte im Industrie Bereich werden – nicht nur im persönlichen Bereich!

Kannst Du Beispiele nennen?

Ein Beispiel für die Diskussion von Safety sieht man bereits ja derzeit schon intensiv in den Medien diskutiert: Selbstfahrende Autos, welche in der Lage sein müssen, Entscheidungen zu treffen, welche Menschen verletzt werden bei einem Unfall.

In der Industrie werden immer mehr Systeme echtzeitfähig und kritische Infrastruktur wird durch IoT gesteuert – Verletzung von Menschen ist dann dabei naturgemäß nie ausgeschlossen. Auch wenn diese Systeme designt werden, dass man die Entscheidungen nachvollziehen kann – aber wer haftet dann?

Unsere Arbeitsgruppe beschäftigt sich gerade mit großen Supply Chains und deren Cyber Risiken - was bedeutet das zum Beispiel für große Industrieunternehmen und aber auch was bedeutet das konkret für das kleine Einzelunternehmen? Und weil Du nach Beispielen gefragt hast – ein Thema welches wir dort erörtern: ein kleines Unternehmen erstellt Software für Steuergeräte mit Hilfe von Open Source Modulen. Man stellt fest, dass das Open Source Modul eine Schwachstelle hat – das Einzelunternehmen haftet dann aber dafür!

Oder ein anderes Beispiel: in der Supply Chain möchte man Informationen einfach und effizient austauschen. Aber kann man allen Teilnehmern der Supply Chain vertrauen? Wo ist die Grenze zur fahrlässigen Data Leakage, wenn man nicht alle Teilnehmer kennt?

Kann der Einzelne etwas beitragen um die Situation zu verbessern?

Das Thema Anti-Fragilität nenne ich gerne. Es ist wichtig die Software vor dem Einsatz intensiv zu testen – und dann erst einzusetzen. Sehr wohl soll zwar auf neue Technologien gesetzt werden – aber eben erst, wenn sie marktreif sind. Nicht wenn die Alpha Version fertig ist – man merkt leider auf Grund der zu kurzen Entwicklungszeiten die Tendenz, Software zu früh einzusetzen. Aber mir ist es wichtig anzumerken, dass das kein Aufruf zur Innovationshemmung sein soll! Wir wollen keine Technik-Verhinderer sein. Nur zu früh eingesetzt hilft keinem! Aber es erspart viel Energie, wenn man auf Augenhöhe eine Diskussion über den Einsatz führt und auch die Resilienz von Zeit zu Zeit testet. Zum Beispiel sollte man auch hie und da mal Systeme gezielt ausfallen lassen und sich bewußt machen, wo die Abhängigkeiten zwischen den Systemen bestehen!

Das ist eine Geisteshaltung, die im Betrieb vorherrschen sollte. Und jeder kann da auch schon im privaten beginnen: Zum Beispiel einfach einmal eine Strecke ohne GPS fahren!

Zum Abschluß: Welche Aktivitäten plant denn die CSA dieses Jahr 2016?

Unser Anliegen ist die Nachwuchs Förderung und die Suche nach neuen Talenten, die diese Herausforderungen zukünftig meisten. Die Cyber Security Austria betreibt deswegen die Cyber Security Challenge um dieses komplexe Themen Feld zu unterstützen. In der Challenge treten Schüler bzw. Studenten gegeneinander an und müssen Security Aufgaben lösen. Dieser Bewerb ist gedacht für Schüler ab 14 Jahren und Studenten bis zum Master Abschluss.

Falls jemand mitmachen möchte: Bewerbungen sind noch möglich!

Gerne werden wir unsere Kooperationspartner unterstützen! Interessierte IoT Austria Mitglieder finden Informationen zu der Cyber Security Challenge unter

http://www.cybersecuritychallenge.at/

Lieber Herbert,
vielen Dank, dass Du Dir für das Gespräch Zeit genommen hast!


IoT Austria Newsfeed