Wie Remote Management in der Industrie sicherer werden kann

Wenn industrielle Anlagen aus der Ferne gewartet und repariert werden, können Unternehmen flexibler auf Störungen reagieren und damit viel Zeit und Geld sparen. Aus diesem Grund setzen sich Remote-Management-Lösungen auch in der Chemie- und Pharmaindustrie immer mehr durch. Das Münchner Startup sematicon, das Teil des Netzwerks von 5-HT ist, warnt allerdings vor den Gefahren für die IT-Sicherheit, die mit herkömmlichen Lösungen einhergehen. „Vielen Unternehmen ist nicht bewusst, was sie für ein Risiko eingehen, wenn sie ihre alten Anlagen über VPN ans Netz anschließen“, sagt CTO Michael Walser. Zusammen mit Co-Gründer und COO André Neumann erklärt er im Interview mit 5-HT, wie ihre Lösung se.MIS™ eine sichere und gleichzeitig komfortable Fernwartung ermöglicht.

Wie kam es zur Gründung von sematicon?

André Neumann: Michael und ich kennen uns schon viele Jahre aus dem Cyber-Security-Umfeld und haben in unterschiedlichen Bereichen zusammengearbeitet. Beim Kontakt mit verschiedenen Kunden, vor allem aus der chemischen und pharmazeutischen Industrie, haben wir festgestellt, dass viele dieser Unternehmen auf der Suche nach hochsicheren und gleichzeitig komfortablen Remote-Management-Lösungen waren, die sie zu diesem Zeitpunkt auf dem Markt nicht finden konnten. Daraus ist die sematicon AG hervorgegangen. In Kooperation mit unserem Entwicklungspartner CyProtect ist daraufhin unsere Lösung se.MIS™ entstanden, eine Remote-Management-Lösung, die einen sicheren und lückenlos nachvollziehbaren Zugriff auf Anlagen ermöglicht.

Was ist an herkömmlichen Remote-Management-Systemen problematisch?

Michael Walser: Heute greifen externe Techniker in der Regel über klassische VPN-Verbindungen auf die Industrieanlagen zu, die sie aus der Ferne warten oder reparieren sollen. Dieser VPN-Zugang birgt jedoch erhebliche Sicherheitsrisiken. Die Firewall sperrt zwar den direkten Zugriff auf andere Systeme, aber wenn die betreffende Maschine intern mit anderen Maschinen vernetzt ist, ist über diesen Weg der Zugriff auf andere Systeme ungehindert möglich. Auf diese Weise kann Ransomware sehr einfach ins Netzwerk eingeschleust werden oder es können Sicherheitslücken ausgenutzt werden. Ein weiteres großes Problem ist, dass bei den zu wartenden Anlagen häufig noch alte Betriebssysteme wie Windows XP im Einsatz sind, für die es keine Sicherheitsupdates mehr gibt, sodass die Anlagen leicht angreifbar sind. Hinzu kommt, dass das Unternehmen in der Regel keine Kontrolle über die IT-Sicherheit aufseiten des externen Technikers hat: Welches Betriebssystem nutzt er? Spielt er regelmäßig Sicherheitsupdates ein? Hat er eine Firewall? Ist seine Netzwerkumgebung vertrauenswürdig oder sitzt er gerade im Homeoffice? Einfach einen Virenscanner auf der Anlage zu installieren, ist keine Lösung, weil die Systeme das nicht ohne Weiteres zulassen oder weil die Echtzeitfähigkeit der Systeme dadurch gefährdet wird. In Summe sind herkömmliche Remote-Management-Lösungen also hochproblematisch für die IT-Sicherheit in der Industrie. Trotzdem ist Remote Management natürlich eine große Chance – wir müssen uns nur überlegen, wie wir die Risiken beherrschen können, die damit einhergehen.

Wie hilft sematicon dabei, das Remote Management sicherer zu machen?

André Neumann: Wir ermöglichen eine sichere Fernwartung, indem wir anders als andere Lösungen keinen Zugang über VPN zulassen, sondern die Maschinennetze komplett isolieren. Dabei wandelt unser se.MIS™-Manager alte Protokolle in aktuelle, sichere Protokolle um, bevor ein Zugriff von außen ermöglicht wird.

Michael Walser: Wichtig ist dabei, dass wir dem externen Techniker keinen direkten Zugriff auf die Anlage erlauben – ohne dabei seine Handlungsfähigkeit einzuschränken. Dadurch schaffen wir es, eine komplette Isolation der Netze aufrechtzuerhalten. Gleichzeitig werden alle Änderungen, die der Techniker an der Maschine vornimmt, im zugrunde liegenden digitalen Wartungsbuch als Audit-Datei abgespeichert. Auf diese Weise erreichen wir vollständige Transparenz, was gerade in der Pharma- und Chemieindustrie oder in anderen kritischen Anlagen von großer Bedeutung ist.

Welche Funktionen bietet eure Lösung se.MIS™?

Michael Walser: Zunächst ist es wichtig, zu verstehen, dass se.MIS™ keine reine Fernwartungssoftware ist. Neben dieser Funktionalität bringt se.MIS™ viel mehr mit. Der Kern unserer Lösung ist das digitale Wartungsbuch. In vielen Unternehmen werden Wartungsbücher immer noch manuell geführt, sodass im Nachhinein nicht immer zweifelsfrei nachvollziehbar ist, was auf einer Maschine passiert ist. Mit se.MIS™ werden hingegen sämtliche Änderungen an der Maschine automatisch protokolliert. Außerdem behält das Unternehmen z.B. bei SPS-Anlagen wie der SIMATIC S7 die Möglichkeit, die Änderungen vor einer finalen Programmierung der SPS-Anlage von einem internen Mitarbeiter überprüfen zu lassen.

Wichtig ist dabei, dass für jeden erdenklichen Zugriff auf eine Maschine immer zuerst ein Wartungsauftrag vorhanden sein muss, der entweder von einem Mitarbeiter, von der Maschine selbst oder von einem Predictive-Maintenance-System erstellt werden kann. Sobald ein Wartungsauftrag besteht, kann der externe Techniker außerdem keine direkte Änderung an der Maschine vornehmen. Stattdessen werden alle Änderungsanfragen zunächst im se.MIS™-Manager gespeichert. Daraufhin kann der zuständige Mitarbeiter im Unternehmen sehen, von wem welche Änderung angefordert wurde, und kann entscheiden, ob er diese Änderung zulässt oder nicht. Somit erhöhen wir die Sicherheit im Remote Management, indem wir die eingehenden Daten von den ausgehenden isolieren und unseren Kunden die volle Kontrolle über Änderungen an ihren Maschinen geben. Durch die automatisierte Protokollierung aller Änderungen im digitalen Wartungsbuch eröffnen wir unseren Kunden gleichzeitig umfangreiche Audit- und Forensik Möglichkeiten. Aufgrund unserer Expertise im Kryptografie-Bereich können wir in se.MIS™ außerdem verschlüsselte Verbindungen integrieren.

Was sind die nächsten Ziele für sematicon?

André Neumann: Jetzt, da die zweite Version unsere Lösung fertig ist und nach den Pilotkunden weitere Installationen anstehen, sind wir auf Wachstumskurs. Zum einen wollen wir unser Team, das aktuell aus sieben Mitarbeitern bei sematicon und bei unserem Entwicklungspartner CyProtect besteht, in den Bereichen Technik, Vertrieb und Marketing vergrößern. Außerdem sind wir auf der Suche nach weiteren Vertriebspartnern, um neue Kunden zu gewinnen. Natürlich stehen auch die Weiterentwicklung und der weitere Ausbau der se.MIS™ Plattform im Fokus. Aktuell starten wir mit mehreren Proof of Concepts bei Unternehmen aus der produzierenden Industrie: bei einem Brillenhersteller, einem Kraftwerksbetreiber und einem weltweit tätigen Unternehmen in der Metallverarbeitungsindustrie.

Michael Walser: Bisher stammen viele unserer Kunden aus dem Mittelstand. Aufgrund unserer Architektur sind wir aber auch darauf eingestellt, von einem bis zu mehreren Hunderttausend Endpoints zu skalieren und unsere Lösung somit in großen Konzernen global auszurollen.

Wie kann 5-HT euch in eurer weiteren Entwicklung unterstützen?

Michael Walser: In Gesprächen mit Unternehmen stellen wir immer wieder fest, dass vielen gar nicht bewusst ist, was sie für ein Risiko eingehen, wenn sie ihre alten Anlagen ans Netz anschließen. Deshalb ist es für uns wichtig, in erster Linie Aufklärungsarbeit zu leisten und unsere Reichweite zu erhöhen. Wir geben unser Bestes, um unser Know-how im IT-Security-Bereich für die Industrie nutzbar zu machen.

André Neumann: Darüber hinaus freuen wir uns über Unterstützung dabei, wie wir unsere Story so erzählen können, dass sie auch von Entscheidern gehört wird, die nicht technikaffin sind. Gerne nehmen wir auch an Veranstaltungen teil oder halten Vorträge, um den Chemie- und Pharmaunternehmen im Netzwerk von 5-HT unsere Lösung näher vorzustellen.