Cybersécurité
BCL
Wie erreichen wir 99,9% Cyberresilienz im Smart Home, Office oder in der vernetzten Fabrik? Dieser Frage sind der Business Club Luxemburg und der Bundesverband der Deutschen Industrie (BDI) am 8. Oktober 2020 beim ersten virtuellen deutsch-luxemburgischen Cybersecurity-Breakfast nachgegangen. Gemeinsam mit SECURITYMADEIN.LU und SEC Consult (Luxembourg) Sàrl diskutierten VertreterInnen aus Wirtschaft, Politik und Institutionen dies- und jenseits der Mosel in „100 Minuten für die IoT-Sicherheit“ über Risiken und Gefahren im Internet der Dinge (IoT), sowie Herausforderungen, aber auch Chancen und Lösungen, welche in einer zunehmend vernetzten Welt bestehen. Die Veranstaltung wurde von der Handelskammer Luxemburg und CERT@VDE unterstützt.
Deutsch-luxemburgisches Cybersecurity-Breakfast: 100 Minuten für die IoT-Sicherheit from Luxembourg Chamber of Commerce on Vimeo.
***
„Studien beziffern die Schadenssumme durch digitale Wirtschaftsspionage, Datendiebstahl, Angriffe auf IT und OT, sowie Sabotage in Deutschland auf mehr als 100 Milliarden Euro pro Jahr – und das allein bei Unternehmen“, erklärte Iris Plöger, Mitglied der Hauptgeschäftsführung beim Spitzenverband der Deutschen Industrie. Diese Zahlen verdeutlichen, wie dringlich es sei, die Gegenwehr des Industriestandorts Deutschland zu stärken. Dazu müsse Cybersicherheit laut Plöger zur Chefsache werden: „Absolute Sicherheit gibt es weder im Realen noch im Digitalen. Ein hohes Maß an Resilienz jedoch schon.“ Zudem spielt das Thema Hygiene nicht nur im aktuellen Pandemie-Kontext eine wichtige Rolle, auch Maßnahmen der Cyberhygiene, also der sichere Umgang mit Daten und vernetzbaren Technologien, müssen fortlaufend umgesetzt werden.
Der Standort Luxemburg habe sich dem Thema Cybersicherheit bereits früh angenommen und biete heute ein sehr dynamisches Cybersecurity-Ökosystem, so Jean Graff, Botschafter von Luxemburg in Deutschland. Mehr als 300 Unternehmen, darunter 75 Start-ups, bieten in Luxemburg Dienstleistungen und Produkte im Bereich der Cybersicherheit an. Luxemburg wurde im Rahmen der EU auserkoren, das EuroHPC JU zu beherbergen, welches für die Koordination der 8 Superrechner-Standorte in der EU zuständig ist. In diesem Rahmen erhält auch Luxemburg seinen eigenen High-Performance Computer, der Anfang 2021 den Betrieb aufnehmen soll. Neben dem EuroHPC ist Luxemburg jetzt schon Sitz der zuständigen Dienststellen für Digitales der Europäischen Kommission, sowohl seitens DG CONNECT als auch seitens DG DIGIT. „Zusammen sind sie wesentlicher Bestandteil der Infrastruktur für die Cybersicherheit in Luxemburg, welche dadurch nachhaltig gestärkt wird.“, so der Botschafter.
Vor dem Hintergrund seiner langjährigen Erfahrung und bestmöglichen Infrastrukturen im Bereich Cybersicherheit hat das Großherzogtum beschlossen, sich um den Sitz des European Cybersecurity Competence Center zu bewerben. „Unser Land bietet hierfür ein ausgezeichnetes Umfeld, welches starke Synergien und das erforderte Entwicklungspotential ermöglicht.“ Der Botschafter betonte in diesem Zusammenhang, dass weder nationale Regierungen noch Industrien sich der Herausforderung alleine stellen könnten, ein höheres Maß an Cybersicherheit in der EU zu gewährleisten.
Ganz im Sinne der grenzüberschreitenden Zusammenarbeit stand auch die Keynote von Andreas Steier, CDU- Bundestagsabgeordneter für Trier und Trier-Saarburg. Steier selbst war fast 20 Jahre in Luxemburg bei der Firma IEE tätig und kennt daher die Zusammenarbeit in der Grenzregion gut. Die Grenzen, die gerade in den vergangenen Monaten in der Corona-Pandemie immer wieder eine Rolle gespielt haben, gelte es zu überwinden, so Andreas Steier. Im Bereich der Cybersicherheit würden gemeinsame und einheitliche Standards eine große Chance, nicht nur für Betriebe, sondern auch für den Verbraucher, der hierdurch geschützt werde, bieten. Der Bundestagsabgeordnete appellierte daher an Unternehmen, bei der Entwicklung von Standards mitzuwirken und möglichst auch Experten freizugeben, um gemeinsame Lösungen zu finden. Ziel sei es, auf nationaler und europäischer Ebene ohne Überregulierung Vertrauen und Verbindlichkeit zu schaffen.
Laut Pascal Steichen, CEO von SECURITYMADEIN.LU, lautet das Schlüsselstichwort in Sachen IoT-Sicherheit „Security by Design“. Nach ihm müsse Sicherheit von Anfang an in der Produktentwicklung mitgedacht werden. Er verwies dazu auf Richtlinien und Sicherheitskonzepte, die von Institutionen wie der Agentur der Europäischen Union für Cybersicherheit (ENISA) oder des Bundesamts für Sicherheit in der Informationstechnik (BSI) veröffentlicht werden. Aber auch freiwillige Gemeinschaften wie iamthecavalry.org würden diesbezüglich nützliche Informationen bieten. Um luxemburgische Unternehmen und die Bevölkerung über die Bedeutung von IoT-Sicherheit zu sensibilisieren, ist noch im Oktober diesen Jahres eine nationale Kampagne geplant, die auf secure-iot.lu erscheinen wird.
Der CEO der IoT Inspector GmbH Rainer Richter bestätigte, Angreifer hätten längst erkannt, „dass IoT-Geräte oft das schwächste Glied in der gesamten IT-Sicherheit von Unternehmen sind.“ In einer Live-Demo präsentierte Richter mit dem IoT Inspector eine Lösung, die eine automatisierte Sicherheitsanalyse, sowie die Bewertung der Compliance von IoT-Firmware erlaubt und die in Kürze auch von Luxemburger Cybersecurity Competence Center verwendet werde
Anschließend stellte Ina Zehnder, Product Manager bei Keymitt S.A., das Smart Lock System des luxemburgischen Start-Ups vor, anhand dessen Türen remote geöffnet werden können. Jede Öffnung wird dabei dokumentiert und der Anwender erhält eine entsprechende Meldung auf seinem Smartphone. Laut Zehnder handele es sich bei diesem IoT-Gerät jedoch weniger um einen Ersatz für den herkömmlichen Schlüssel als um eine ergänzende Anwendung für den Smart Home Nutzer.
Einen ganzheitlichen Ansatz in Sachen Cybersicherheit verfolgt die in Taufkirchen bei München ansässige Hensoldt Cyber GmbH. Mit TrentOS, einem eigens entwickelten hochsicheren Betriebssystem, stellt das Corporate Start-Up eine Lösung “Made in Germany” für Anwendungen mit hohen Sicherheitsanforderungen bereit, so Sales Manager Tom Roller. Das exponentielle Wachstum an IoT-Geräten und der gleichzeitige Mangel an IT-Sicherheitsexperten stellt eine besonders große Herausforderung dar. Hensoldt Cyber versucht dem entgegenzuwirken, indem das Unternehmen beispielsweise eng mit der TU München, dem Fraunhofer Institut AISEC oder der RWTH Aachen zusammenarbeitet.
Abschließend sprach Thorsten Ries, Head of CyberDefense bei der POST Luxembourg, über die Sicherheitsherausforderungen des größten Arbeitgebers im Großherzogtum. Da das Unternehmen als “eines der wenigen Post-Unternehmen in Europa” neben dem klassischen Brief- und Paketgeschäft, noch sämtliche Dienste in den Bereichen Kommunikation, Finanzdienstleistungen und IT Services unter einem Dach vereine, stelle dies die Sicherheitsabteilung vor eine besonders große Aufgabe, alle Geschäftsbereiche angemessen abzudecken. Aus Effizienz- und Kostengründen müssten alle Bereiche miteinander vernetzt sein, gleichzeitig jedoch separat voneinander geschützt werden, damit ein Angriff auf Telekommunikationsseite beispielsweise nicht dem Finanzdienst schade.
Auf die Frage, ob 99%ige IoT-Security möglich sei, waren die UnternehmensvertreterInnen sich einig: Ein höchstmögliches Maß an Sicherheit sei nur dann gewährleistet, wenn alle Akteure in der Kette – von der Produktion, über die Installation bis hin zum Betrieb – sich der IoT-Sicherheit annehmen. Sicherheit sei kein Zustand, der einmal erreicht wird und dann fortbesteht, sondern ein Prozess, der kontinuierlich angepasst werden müsse.