Johanna Ullrich ist Forscherin bei SBA Research und hat sich das Ziel gesetzt, physische Systeme zu sichern und Konzepte aus dem Ingenieurwesen mit jenen aus der IT-Security zu verbinden.
Report: Was sind Ihre Forschungsbereiche bei SBA Research?
Johanna Ullrich: Auch wenn ich eine HTL für Informationstechnologie besucht habe, war es dann eher untypisch für den Bereich Security, dass ich nicht Informatik oder Mathematik studiert habe, sondern Elektrotechnik. Über verschiedene Wege habe ich dann SBA Research kennengelernt und hier Praktika gemacht. 2013 war mir mit meinem elektrotechnischen Wissen dann schon klar, dass die Verbindung aus IT und physischen Systemen zu einem Pferdefuß wird. Damals hatte man begonnen, sich vermehrt mit Themen wie Fernwartung, die ja auch sehr praktisch ist, zu beschäftigen.
In der IT haben wir es innerhalb von mehreren Jahrzehnten geschafft, IT-Systeme halbwegs sicher zu machen. Die Systeme werden von Informatiker*innen gebaut und auch von Informatiker*innen abgesichert. In dieser Berufsgruppe spricht man die gleiche Sprache. Wenn aber Anlagen von Expert*innen aus der Elektrotechnik, Verfahrenstechnik und aus dem Maschinenbau geplant und gebaut werden, wird oft nicht erkannt, welche Einfallstore mit den Verbindungen nach außen geöffnet werden.
Heute sieht man, wie die Vernetzung der physikalischen Infrastruktur – Stromnetze, Fahrzeuge, Medizintechnik und Produktionsanlagen – zu Problemen führt. Auf einmal sehen wir dort Angreifer, die wir auch in der IT kennen. Mit einem großen Unterschied: Wenn eine Bank oder eine Versicherung angegriffen wird, ist Geld weg. Das ist unangenehm, aber es geht um keine körperlichen Verletzungen oder gar Menschenleben. In der Industrie dagegen können Sicherheitsvorfälle Maschinen zerstören und Menschen gefährden. Ich möchte mit meiner Forschung erreichen, dass eine Brücke geschlagen wird und die verschiedenen Fachdisziplinen zusammenkommen. So sollen Geräte und Anlagen sicherer werden.
Report: Wo steht die Industrie derzeit, was die Sicherheit ihrer Systeme betrifft?
Ullrich: Es wird graduell besser, man hat aber auch sehr unterschiedliche Herausforderungen – angefangen bei einer im Vergleich zur IT sehr langen Lebensdauer von physischen Artefakten. Handys und Laptops sind zwei bis vier Jahre in Gebrauch, ein Auto vielleicht zehn bis 15 Jahre, ein Flugzeug 30 Jahre, im Stromnetz reden wir schon von 50 bis 60 Jahren Lebensdauer oder noch mehr. Wenn dann die Security laufend Updates benötigt, klaffen diese Welten auseinander.
Dann haben wir eine Herausforderung zwischen Safety und Security. Beim Bau eines Flugzeugs oder eines Zugs wird mit Zertifikaten sichergestellt, dass durch den Gebrauch und Betrieb keine Menschen gefährdet sind. Wenn nun permanent Updates eingespielt werden, ändert das diese Systeme – und eine neue Zertifizierung müsste her. Das ist aber kaum durchführbar, denn sie sind aufwändig, teuer und personalintensiv. Hier sehe ich noch keine Lösung, wie etwa einen Stand der Technik. Der herkömmlichen IT gleich, werden auch in physischen Systemen Maßnahmen, beispielsweise zu Perimeter-Sicherheit gesetzt – aber eine durchgehende Verknüpfung ist eine der offenen Forschungsfragen.
Report: Könnte man der Komplexität von langlebigen Systemen hinsichtlich Sicherheitszertifizierung nicht auf einer abstrakteren Ebene – mit Modellen – begegnen?
Ullrich: Diese Idee gibt es schon, ebenso wie die Trennung in einen inneren, zertifizierten Systemkern und außen leichter änderbare Teile. Eine weitere Herausforderung ist – und das sehen wir in der Forschung aktuell in den Stromnetzen – die Angreifbarkeit von Infrastruktur über smarte, vernetzte Geräte. Ein Hersteller eines smarten Kühlschranks hat nicht unmittelbar die Motivation, sein Produkt zu sichern. Der Stromnetzbetreiber wiederum hat keine Möglichkeit auf die Technik im Haushalt zuzugreifen.
Report: Wenn wir von der Sicherheit von Geräten im Smart Home sprechen – hier braucht es wohl eine systemübergreifende Zusammenarbeit von Herstellern? Was steht dem im Weg?
Ullrich: IoT-Devices sollen möglichst wenig kosten. Jeder Cent Einsparung in der Herstellung ist ein Erfolg. Da bleibt Security natürlich auf der Strecke. Security hat den Sexappeal einer Versicherung: möglichst wenig Kosten oder Aufwand und man ist froh, wenn man sie nicht braucht.
Report: Gibt es in dieser Betrachtung und auch beim Wissen um die Gefahren eine Trennung in Business- und in Consumer-Welt?
Ullrich: Die Business-Welt nimmt das natürlich ernster, aber im Prinzip sitzen wir alle in einem Boot. Für ein Stromnetz werden unsichere Consumer-Geräte zum Problem, wenn diese in Summe ein gewisses Potenzial an Last haben. Wenn das in einer Attacke erreicht wird, kommt es zu Störungen bis zum Ausfall des Netzes – Stichwort Blackout.
Der einzelne Kühlschrank wird keinen Schaden anrichten können. Wenn aber viele andere Haushalte das gleiche Gerät besitzen, kann ein Hack schwerwiegende Folgen haben. Wir brauchen Security auf allen Leveln – auf Seite der Hersteller ebenso wie bei den Nutzer*innen, die etwa sichere Passwörter setzen. Dazu braucht es auch Regulatorien sowie Sanktionen, wenn hier etwas missachtet wird.
Auch wenn es Techniker*innen nicht gerne hören: Sicherheit ist nicht nur etwas Technisches, sondern vor allem auch etwas Organisatorisches. Viele aus der Technik finden Sicherheitsthemen in den Medien zum Beispiel auch gar nicht so spannend, weil die realen Angriffe meistens nicht ausgeklügelt sind und über einfache Wege erfolgen. Man ist dann vielleicht auch sehr tief in der Materie drinnen und sorgt für komplexe Angriffsvektoren vor, während es eigentlich ganz wo anders hapert – und dort die einfachsten Dinge nicht beachtet werden.
Report: An welchen konkreten Projekten für die Industriesicherheit arbeiten Sie bei SBA Research?
Ullrich: Ein Projekt im Automotive-Bereich hatte Sensoren in Prüfständen zum Thema, die drahtlos betrieben werden sollten – die Verkabelung des Prüflings sollte aus Effizienzgründen gespart werden. Autohersteller sind bei der Abhörsicherheit von Funkverbindungen aber sehr sensibel – die Konkurrenz könnte Daten stehlen oder auch manipulieren. Wir haben mit einem Protokoll einer anderen Universität gearbeitet und einen Beitrag geleistet, um die Prüfstände sicherer zu machen und Sicherheitsfeatures zu implementieren.
Aber eigentlich ist ein nachträgliches Sichern nicht der optimale Ansatz. Besser wäre, die Sicherheit gleich von Anfang an mitzudenken. Ein »Security by Design« ist immer effizienter, schlanker und dadurch auch weniger fehleranfällig oder liefert weniger Angriffsfläche. Ich gehen davon aus, dass es langfristig auch günstiger ist.
Report: Wie sollten Bestandssysteme abgesichert werden, die nicht nach dem Prinzip »Security by Design« gebaut worden sind?
Ullrich: Bis man etwas Sinnvolleres findet, sollte man diese Systeme abkapseln und möglichst gut vor Angreifern verstecken – bis man sie durch bessere Systeme möglichst ablöst. Aber im Prinzip gilt das auch für die IT, in der man Netzwerke und Geräte trotz Sicherheitsfeatures an Bord auch mit einer Firewall und verschiedenen Intrusion-Detection-Lösungen schützt. In der Industrie mit teilweise noch offeneren Systemen brauchen wir dringend mehrere »Lines of Defence«.
Allzu einfach darf man es Angreifern nicht machen. Es ist wie bei Fahrradschlössern. Das absolut sichere Schloss gibt es nicht. Aber Sie gewinnen viel, wenn Sie den Aufwand des Knackens mit zum Beispiel mehreren Schlössern erhöhen. Auch in der IT-Sicherheit gibt es eine Ökonomie bei Angriffen: Wenn zu viel Zeit, Computing-Ressourcen und Aufwand im Vergleich zum erwarteten Ergebnis gebraucht wird, wird es uninteressant. Unternehmen müssen ihr Risiko bewerten und entscheiden, welchen Sicherheitsaufwand sie betreiben wollen.
Zur Person und Unternehmen
Johanna Ullrich ist »Key Researcher« beim COMET-Zentrum SBA Research in Wien. Sie leitet die Forschungsgruppe »Networks and Critical Infrastructures Security« und wurde bereits mehrfach ausgezeichnet, darunter mit der Promotio Sub Auspiciis Praesidentis und dem Forschungspreis der Dr. Maria Schaumayer Stiftung.
SBA Research ist mit mehr als 100 Mitarbeiter*innen das größte Forschungszentrum Österreichs, das sich exklusiv mit Informationssicherheit beschäftigt. Neben Forschungsaktivitäten unterstützt SBA Research Unternehmen mit Cybersecurity-Trainings, bei der Planung und Durchführung von Penetration-Tests, dem Umsetzen von Datenschutz-Managementsystem und auch bei der Softwaresicherheit in der Entwicklung.