„Behandeln Sie sich selbst als potenzielles Ziel, denn Sie sind es.“

Lior Frenkel

Lior Frenkel war 2007 Mitbegründer von Waterfall Security Solutions. Die Unidirectional Security Gateways von Waterfall Security bieten 100%igen Schutz vor Bedrohungen der Betriebstechnologie (OT) und Online-Angriffen an verschiedenen Standorten wie Flughäfen, Eisenbahnsystemen und Kraftwerken .

Zu den stetig wachsenden Kunden des Unternehmens zählen Betreiber kritischer Infrastrukturen und Versorgungsunternehmen, Kraftwerke, Kernkraftwerke, Offshore-Plattformen, Raffinerien, Pipelines sowie Anlagen der Pharma-, Chemie- und Fertigungsindustrie. Die Produkte von Waterfall sind in Nordamerika, Europa, dem Nahen Osten und Asien im Einsatz und unterstützen eine Vielzahl von industriellen und Fernüberwachungsplattformen, Anwendungen, Datenbanken und Protokollen.

Die Energiebranche ist nach der US-amerikanischen Öl- und Gasindustrie der zweithäufigste Sektor, der von Cyberangriffen betroffen ist. Fast drei Viertel aller US-amerikanischen Öl- und Gasunternehmen erleben jährlich mindestens einen schwerwiegenden Cybervorfall. Ein moderner Cyberangriff auf ein Pipeline-Netzwerk oder ein LNG-Terminal kann gravierende Folgen für die menschliche Sicherheit und die Umwelt haben, wie etwa Leckagen, Explosionen, Brände, Freisetzungen und Leckagen.

Hier finden Sie ein Interview mit Frenkel zum Thema Cybersicherheit im Öl- und Gasmarkt . Das Interview wurde aus Gründen der Länge und Klarheit bearbeitet.

F: Wie groß ist die Herausforderung , Öl- und Gasanlagen vor Cyberangriffen zu schützen, da sie sich oft an abgelegenen Standorten befinden?

A: Das ist eine hervorragende Frage. Die Antwort lautet: Es kommt darauf an. Die Öl- und Gasindustrie unterscheidet sich insofern nicht von vielen anderen Branchen, etwa Industriesektoren, Wasserversorgungsunternehmen, Energieerzeugungsanlagen und Eisenbahnen – aus Sicht der Cybersicherheit sind sie alle vergleichbar. Natürlich gibt es Unterschiede. Die Gemeinsamkeiten überwiegen jedoch. Jede dieser Branchen verfügt über Computernetzwerke, die physische Prozesse steuern. Genau diese Netzwerke müssen geschützt werden, und zwar so, dass die physischen Prozesse reibungslos und sicher ablaufen. Das ist industrielle Cybersicherheit . Bei Banken oder „normalen“ Unternehmen gibt es kein solches Computernetzwerk, das einen physischen Prozess steuert . Der entscheidende Unterschied liegt also darin, ob wir Informationen schützen, wie in einem typischen Unternehmen, wo die Vermögenswerte und die vom Netzwerk verarbeiteten Daten Informationen sind, oder ob es sich um physische Prozesse, Maschinen und Ähnliches handelt.

Wenn man ein Industrieunternehmen hat, wie beispielsweise einen Öl- und Gasförderer wie eine Offshore-Plattform – dann ist diese physisch vorhanden.

Stellen Sie sich vor, Sie haben Pumpen und die gesamte Ausrüstung, die Öl und Gas aus der Tiefsee fördert. Wenn diese ausfallen, steht die Produktion still. Es gibt keine alternative Offshore-Plattform, die Sie einfach einschalten könnten. Bei „normalen Unternehmen“ sind die Anlagen nicht physisch und können gesichert werden – das ist die Grundvoraussetzung jedes IT-Sicherheitskonzepts. Selbst im schlimmsten Fall verfügen Sie über eine Sicherungskopie Ihrer Dateien und Informationen. Im Bereich der industriellen Cybersicherheit fehlt uns diese Sicherung. Wenn ein Angreifer in Ihr Netzwerk eindringt und wir alles neu installieren müssen, steht Ihr Betrieb still: Züge fahren nicht, die Produktion steht still, die Fertigung steht still. Und wenn es sich um eine Offshore-Plattform handelt und ein Teil Ihrer Maschinen ausfällt, kann der Stillstand drei bis vier Monate dauern, weil die Anlage, die wir verwalten und kontrollieren, nicht gesichert ist. Die Möglichkeit, Ihre Produktion stillzulegen , wenn Sie keine Sicherung haben, verschafft einem Cyberangreifer so viel Macht, dass Sie bereit wären, jeden geforderten Betrag zu zahlen.

F: Selbst die besten Cybersicherheitsmaßnahmen sind nur so gut wie die Menschen, die sie anwenden.

A: Das stimmt, aber es ist nur ein Teil des Ganzen. Wenn Ihre Sicherheitslage sehr schlecht ist und Sie kein robustes Sicherheitskonzept haben, kann jeder Fehler einer Person schwerwiegende Folgen haben. Andererseits können Sie das beste Sicherheitskonzept implementieren, Milliarden von Dollar investieren, die besten Produkte der Welt kaufen und diese optimal einsetzen. Aber wenn Ihre Mitarbeiter nicht wissen, was zu tun ist, die Tragweite der Situation nicht verstehen und nicht entsprechend geschult sind – dann spielt es keine Rolle, wie viel Geld Sie investieren, sie werden Fehler machen, die Ihre Sicherheit gefährden. Es wäre falsch, sich nur auf die Mitarbeiter im Unternehmen zu konzentrieren; Sie müssen eine gute Sicherheitsinfrastruktur aufbauen, die Mitarbeiter schulen , ein hohes Sicherheitsbewusstsein gewährleisten und die notwendigen Maßnahmen konsequent durchsetzen. Dann sind Sie bestens aufgestellt.

F: Angriffe auf die Öl- und Gasinfrastruktur können rein monetär, aber auch politisch motiviert sein. Welche Art von Angriffen beobachten Sie konkret in der Öl- und Gasindustrie?

A: Was wir hauptsächlich sehen, sind kriminelle Angriffe; ich würde sagen, neun von zehn sind rein finanzieller Natur, einfach weil es ein sehr lukratives Geschäft ist. Der Kriminelle sitzt irgendwo in einem anderen Land als das Unternehmen, das er angreift, ohne jegliches persönliches Risiko. Er hackt eine Website, fordert Geld, bekommt es und kann unbehelligt weitermachen. Warum also einen Zug überfallen oder Piraterie auf See betreiben, wo man sein Leben riskieren kann? Für Kriminelle ist das ein äußerst lukratives Geschäft.

Industriekunden wie die Öl- und Gasindustrie sind aus den bereits genannten Gründen ein besonders attraktives Ziel: Ich kann ihre Produktion lahmlegen, und das wäre katastrophal. Wir beobachten auch staatlich oder terroristisch unterstützte Angriffe. Meiner Ansicht nach sind diese in den USA seltener als beispielsweise in Osteuropa. Aber sie sind vorhanden. In den USA geht es eher um Informationsbeschaffung. Es gibt nicht viele Staaten, die ernsthaft sagen: „Lasst uns Teile der US-Infrastruktur lahmlegen.“ Sie denken vielleicht darüber nach, planen es vielleicht sogar. Sie wollen Informationen stehlen, Aufklärung für einen Angriff sammeln, geistiges Eigentum stehlen. Es geht also nicht so sehr darum, die Produktion zu unterbrechen oder zu stören, sondern es passiert manchmal als Nebeneffekt. Das Risiko ist also vorhanden.

F: Wie lässt sich das Bedürfnis nach Sicherheit mit dem Bedürfnis nach Arbeitsleistung in Einklang bringen? Können Sicherheitsmaßnahmen so aufwendig sein, dass sie die effiziente Erledigung der täglichen Arbeit erschweren?

A: Darauf gibt es also keine eindeutige Antwort. Betrachten wir es mal anders. Der Grund für die Fragen ist, dass die Risiken nicht vollständig verstanden werden. Nehmen wir zum Beispiel eine Offshore-Plattform: Dort muss man einen Schutzhelm, Sicherheitsschuhe mit Stahlkappen und manchmal auch eine Rettungsweste tragen. Anschließend folgt eine einstündige Sicherheitsschulung, in der die Evakuierung, das richtige Verhalten in verschiedenen Situationen und die verbotenen Handlungen erklärt werden. Auch die Raucherbereiche werden behandelt. Aber niemand fragt danach oder empfindet die Schulung als zu aufwendig, weil die Risiken bekannt sind.

Und noch etwas zu den Sicherheitsvorkehrungen : Sie werden auch durchgesetzt. Ich kann nicht sagen, dass mir das egal ist. Ich würde einfach ohne Weste oder ohne Mütze gehen. Dann würden sie mir sagen, dass ich meine Plattform nicht betreten darf, weil es dort zu unsicher ist. Wenn die Leute das Risiko besser verstehen – und es geht zwar langsam voran, aber es geht nur langsam voran –, fragen sie nicht mehr nach dem von Ihnen erwähnten Ausgleich. Sie wollen das Risiko vermeiden und sind bereit, dafür etwas mehr zu bezahlen. Der Prozess wird also etwas länger dauern, aber er wird sicher sein.

F: Erzählen Sie mir etwas über Ihr Unternehmen und Ihr Wertversprechen, insbesondere für diese Branche.

A: Waterfall Security ist ein Unternehmen für industrielle Cybersicherheit mit Schwerpunkt auf der Sicherheit von Betriebstechnologien – das ist unser Kerngeschäft. Unsere Technologie, das sogenannte Unidirectional Security Gateway, ermöglicht es, Informationen aus unkontrollierten Netzwerken sicher mit der Außenwelt zu teilen. Würden Sie in einen Zug steigen, dessen Steuerungssystem über das Internet erreichbar ist? Wohl kaum. Würden Sie Ihren Kindern Lebensmittel geben, die von einer Produktionslinie stammen, die über das Internet zugänglich ist? Doch die meisten Systeme sind es. Das hat viele Gründe: Viele dieser Systeme wurden vor Jahren entwickelt und implementiert, als Cybersicherheit noch kein großes Risiko darstellte.

Wenn man ein Steuerungsnetzwerk mit der Außenwelt verbindet, ist allgemein bekannt, dass eine Firewall eingesetzt wird. Das ist die richtige Lösung, wenn beide Netzwerke Informationsnetzwerke, also IT-Netzwerke, sind. Genau dafür wurden Firewalls entwickelt und erfüllen ihren Zweck perfekt. Sie waren jedoch nie dafür ausgelegt, das Internet auf der einen und eine Turbine auf der anderen Seite zu verbinden. Gab es aber keine Alternative, wurde eine Firewall eingesetzt, weil es keine andere Möglichkeit gab. Wir haben eine alternative Lösung für Firewalls entwickelt, die am Perimeter zwischen Steuerungsnetzwerken, OT-Netzwerken und der Außenwelt arbeitet. Unsere dedizierte Hardware, die wir entwickeln und fertigen, und die dazugehörige Software erfassen Informationen aus dem OT-Netzwerk. Angenommen, Sie möchten Ihre Kompressorstation fernüberwachen. Sie möchten wissen, was vor sich geht – Warnungen, Alarme, Durchflussraten, alles, was Sie wissen möchten. Unser System erfasst alle benötigten Informationen und sendet sie über die Hardware, die so konstruiert ist, dass sie Informationen nur in eine Richtung übertragen kann. Die Software sammelt die Daten, sendet sie über die unidirektionale Hardware, und unsere externe Software empfängt diese Informationen und leitet sie an die jeweiligen Empfänger weiter. Daher der Name „Waterfall“ für unser Unternehmen. Unsere Technologie funktioniert wie ein Wasserfall – das Wasser fließt nur in eine Richtung, und eine physische Barriere verhindert den Rückfluss.

Sie installieren und konfigurieren unsere Systeme, und alle benötigten Daten stehen Ihnen extern zur Verfügung. Sie können sie in Ihren Systemen nutzen, an einen Cloud-Dienst senden oder an den Gerätehersteller zur Erstellung eines vorbeugenden Wartungsprogramms übermitteln. Sie können mit den Informationen völlig risikofrei – nicht nur risikoarm, sondern absolut risikofrei – damit umgehen, dass über diese Verbindung etwas zurückgelangt. Das Risiko von Fernsteuerung, Malware-Verbreitung und Ransomware ist somit ausgeschlossen. Unsere Systeme sind in der Öl- und Gasindustrie sowie im Pipelinebau weit verbreitet, hauptsächlich im Upstream- und Midstream-Bereich. Dazu gehören Pipelines, Ölplattformen, Offshore-Plattformen und Kompressorstationen. Wir sind außerdem in praktisch allen kritischen Infrastrukturen und Industriezweigen im Einsatz, von der Energieerzeugung über Wasserversorgungssysteme und -betriebe bis hin zu Chemieanlagen, Eisenbahnen, U-Bahnen, Flughäfen – um nur einige zu nennen.

F: Eine allgemeine Frage: Gibt es etwas, worüber wir noch nicht gesprochen haben, das Ihrer Meinung nach für die Öl- und Gasindustrie in Bezug auf Ihr Unternehmen oder im Bereich Sicherheit im Allgemeinen wichtig ist?

A: Ich glaube, die Annahme, Öl und Gas spielten keine Rolle, war nie richtig. Heute trifft sie aber noch weniger zu. Vor fünf Jahren sprachen wir mit Öl- und Gasunternehmen, und die sagten uns: „Wir verstehen die Technologie, aber wir sehen das Risiko nicht. Wir wissen, dass Firewalls uns nicht schützen werden; wir verstehen alles. Aber wen interessiert schon unser Schicksal?“

Und das hat sich nicht nur wegen des „Big Bang“, dem Anschlag auf die Colonial Pipeline, geändert. Das ist ein gutes Beispiel. Viele unserer Kunden aus der Öl- und Gasbranche wurden aber erst zu unseren Kunden, als sie selbst betroffen waren. Nicht etwa, weil sie sich vorbereiteten, nicht aufgrund einer TSA-Richtlinie , nicht weil es ihnen jemand befohlen hatte, sondern weil sie betroffen waren. Entweder zahlten sie Lösegeld und niemand erfuhr davon, oder sie hatten einfach Glück und der Anschlag war nicht erfolgreich.

Behandle dich selbst wie ein potenzielles Ziel, denn das bist du. Ja. Und ruf uns an.