Den Artikel von Tim Ebeling, Geschäftsführer des Aufzugmessgeräteherstellers Henning, haben wir wie üblich auch auf unserer Website veröffentlicht. Max Mairle, Product Security Manager von TK Elevator, nutzte daraufhin die Kommentarfunktion bei lift-journal.de und widersprach in etlichen Punkten Ebelings Einschätzung. Daraufhin entspann sich eine ausführliche (und sehr sachliche!) Online-Diskussion zwischen den beiden Experten. Das war Anlass für das LIFTjournal, die beiden um ein Gespräch zu bitten.
Herr Mairle, Sie haben auf unserer Website sehr ausführlich zu dem Artikel von Herrn Ebeling Stellung genommen. Was hat Sie dazu bewegt?
Mairle: Zunächst einmal: Es freut mich, dass dieses zunehmend wichtiger werdende Thema im LIFTjournal aufgegriffen wurde. Aber in einigen Punkten stimme ich nicht mit ihm überein. Ich wollte sie als Mitglied der Arbeitsgruppe, die aktuell diese Norm erarbeitet, nicht unkommentiert stehen lassen.
Foto: © murrstock/123RF.comHerr Ebeling, welche Aspekte wurden in Ihrem Austausch besonders diskutiert?
Ebeling: Neben vielen Gemeinsamkeiten haben wir in drei Punkten verschiedene Ansichten. Zum einen würde ich in solch einer Norm gerne mehr technische als organisatorische Anforderungen sehen. Ich verstehe die Ansicht von Herrn Mairle, dass Security in vielen Aspekten auch die Organisation betrifft. Ich sehe aber z. B. bei dem im Normenentwurf geforderten Informationsaustausch zwischen Betreiber, Errichter, Wartungsdienstleister und Komponentenhersteller für mittelständische Unternehmen große Probleme.
Die genannten Parteien sind sich in der Regel nicht darüber bewusst sind bzw. können gar nicht wissen, an welcher Aufzugsanlage sie gemeinsam beteiligt sind. Daher würde ich einen Ansatz vorziehen, der die Cybersecurity-Anforderungen auf die fertig gestellte Anlage bezieht und nicht bereits in die Arbeitsabläufe einzelner Unternehmen eingreift. Da denke ich zum Beispiel an die Komponentenhersteller, die diese Anforderungen bereits berücksichtigen müssten, bevor sie mit der Entwicklung einer Komponente beginnen.
Genauso sehe ich große Schwierigkeiten für mittelständische Errichter- und Instandhaltungsfirmen in der Handhabung von Anlagen, deren Komponenten die Anforderungen dieser Cybersecurity-Norm erfüllen müssten. Der mechanische Austausch einer Komponente wird dann weitere bisher unbekannte Tätigkeiten nach sich ziehen. Das betrifft die Systemintegration der neuen Komponente, beispielsweise den Austausch von Softwarezertifikaten o. Ä.
Natürlich wird dies auch massiv die Inbetriebnahme solch einer Anlage betreffen. Ferner scheint es mir fraglich, ob offene Bussysteme, wie beispielsweise CANopen DSP 417, in der aktuellen Form mit dem Entwurf der ISO 8102-20 harmonieren würden. Das werden sie wahrscheinlich nicht, müsste doch der CAN Bus eine (z. B. mit Softwarezertifikaten) verschlüsselte Kommunikation aufweisen.
Der strittigste Punkt zwischen Herrn Mairle und mir ist aber die sogenannte „sichere Zone“. Diese existiert in der ISO/DIS 8102-20 nicht, beispielsweise aber in Vorschlägen der nordamerikanischen NEII. Bei diesem Konzept der „sicheren Zone“ wird der eigentliche Aufzug (Maschinenraum, Schacht) als sicher angesehen und der elektronische Zugang von außen als unsicher. Demzufolge müsste nur die Komponente, die die Schnittstelle nach außen abbildet, besonders gegen Angriffe gesichert werden. Dies wäre ein ähnliches Konzept wie bei der funktionalen Sicherheit – (funktionale) Sicherheitskomponenten müssen bestimmte SIL-Level erfüllen, andere Systemkomponenten nicht. Dieses Konzept ließe sich sehr praktikabel umsetzen, weshalb ich es favorisiere.
Foto: © scyther5/123RF.comHerr Mairle, wieso stimmen Sie dieser Argumentation nicht zu?
Mairle: Product- bzw. Cybersecurity ist in erster Linie eine organisatorische Aufgabe. Technische Maßnahmen sind sicherlich notwendig und werden auch normativ gefordert, müssen allerdings sinnvoll gewählt, richtig implementiert und konfiguriert werden, um einen Beitrag zur Sicherheit leisten zu können.
Auch ist eine dauerhafte Überprüfung und Pflege der Maßnahmen notwendig, da andernfalls jedes verkaufte System spätestens am Tage seiner Installation als securitytechnisch veraltet und somit potenziell unsicher betrachtet werden müsste. All dies setzt ein funktionierendes System aus Prozessen sowie eine Zusammenarbeit aller Parteien voraus, die zu der Cybersicherheit beitragen. Den Kern eines Cybersecurity-Standards auf einen „Secure Development Lifecycle“ zu richten, ist somit nur konsequent.
Es ist nicht nur ein Problem der Aufzugsbranche, dass Hersteller securityrelevanter Komponenten die Sicherheit ihrer Produkte auch nach dem Verkauf gewährleisten müssen, aber nicht unbedingt wissen, wo und wie ihre Komponenten eingesetzt werden. Auch andere Branchen, etwa die der IT, stehen bzw. standen vor ähnlichen Herausforderungen.
Die dabei gefundenen Lösungen können sicherlich von unserer Branche übernommen werden: Verwendet heute eine Firma eine securityrelevante IT-Komponente wie etwa ein Netzwerkgerät, so weiß der Hersteller des Produkts in der Regel nichts über den Betreiber oder dessen konkrete Verwendung. Wird dem Hersteller eine Schwachstelle in seinem Produkt bekannt, so publiziert er diese idealerweise und gibt eine entsprechende Handlungsempfehlung. Entweder der Betreiber selbst oder ein von ihm beauftragter Dritter überwacht diese veröffentlichten Schwachstellen, um nach einer Analyse geeignete Maßnahmen zu ergreifen.
Wie Herr Ebeling richtig anmerkt, wird die Anwendung der Norm auch bei der Wartung oder Inbetriebnahme einer Anlage zu neuen, bislang in unserer Branche nicht üblichen Arbeitsschritten und Job-Profilen führen. Wenn wir als Branche Produkte anbieten wollen, die im Cybersecurity-Sinne sicher sind, so wird sich dies nicht vermeiden lassen.
Die Annahme einer „sicheren Zone“, die das gesamte Aufzugssystem umfasst und die nur vor Bedrohungen von außen geschützt werden muss, halte ich für mindestens fragwürdig. So können etwa spätere Änderungen an einer Anlage zu zusätzlichen Schnittstellen mitten ins System führen, die zum Zeitpunkt der Installation nicht bedacht werden konnten.
Außerdem kann man einen direkten physischen Zugriff auf installierte Aufzugskomponenten, je nach Anlage, nicht ausschließen. Weiterhin ist ein „Defense in Depth“-Konzept zwar längst als Best Practice identifiziert, aber kaum umsetzbar, wenn der Fokus rein auf die Schnittstellen zur Außenwelt gerichtet ist: Wenn nur eine Schutzschicht um das Gesamtsystem vorhanden ist, muss das gesamte System auch als kompromittiert betrachtet werden, sobald dieser eine Layer nicht mehr greift. Potenzielle Schwachstellen und Schnittstellen im Inneren des Systems sind somit aus meiner Sicht weder vernachlässigbar noch erlauben sie die Annahme einer „sicheren Zone“.
Spielt bei Ihren unterschiedlichen Positionen eine Rolle, dass Sie, Herr Mairle, die Sichtweise eines Konzerns einnehmen und Sie, Herr Ebeling, die eines Mittelständlers/Komponentenherstellers?
Mairle: Auch wenn ich für einen Konzern arbeite, der von der Produktentwicklung bis zur Aufzugswartung das gesamte Leistungsspektrum unserer Branche anbietet, denke ich nicht, dass dies einen wesentlichen Einfluss auf meine Positionen hat. Klar sein muss ohnehin, dass das Ziel einer neuen Cybersecurity-Norm die Etablierung von Mindeststandards zur Erhöhung der Sicherheit unserer Passagiere und unseres Personals vor Ort ist und nicht der Ausschluss von Marktteilnehmern. Um dies zu erreichen, müssen die Unternehmen unabhängig von ihrer Größe in gewissen Bereichen die Art und Weise ändern, in der sie bislang arbeiten.
Ebeling: Sicherlich betrachte ich den Normenentwurf, neben den technischen Anforderungen (die natürlich jeder Komponentenhersteller erfüllen sollen könnte), auch danach, welche Auswirkungen er auf unser Marktumfeld hat. Wenn Errichter, Instandhaltungsunternehmen und Komponentenhersteller in einer Firma vereint sind, sind die angesprochenen organisatorischen Anforderungen vergleichsweise einfach zu erfüllen.
Im Mittelstand ist dies deutlich schwieriger, weil es in der Regel Dutzende von Parteien betrifft. Errichter und Instandhalter gibt es zwar nur jeweils einen, aber dafür eine reiche Anzahl an Komponenten(-herstellern). Es reicht also nicht eine einzige Abteilung, die sich mit der Organisation der Cybersecurity beschäftigt. Zusätzlich müssen sich diese auch noch firmenübergreifend miteinander abstimmen. Ich sehe die praktische Anwendung des Organisationsanteils des Normenentwurfs für den Mittelstand als sehr schwierig an.
Bei welchen Aspekten stimmen Sie beide denn überein?
Ebeling und Mairle: Wir sehen beide, dass Cybersecurity auch für Aufzüge wichtig ist und zukünftig sicherlich noch wichtiger wird, je mehr Funktionen durch Elektronik und Software statt Mechanik umgesetzt werden. Auch haben wir keine Zweifel, dass eine Cybersecurity-Norm einen mehr oder weniger ausgeprägten Einfluss auf die zukünftige Arbeitsweise in unserer Branche haben wird.
Wir sind uns auch darin einig, dass es eine der wichtigsten Security-Maßnahmen sein muss, sicherzustellen, dass der physische Zugriff auf die Hardware des Aufzugs, sei sie elektronisch oder mechanisch, soweit möglich ausgeschlossen ist. Und trotz aller Diskussion zum Thema „sichere Zone“ sehen wir beide den größten Schutzbedarf eines Aufzugssystems gegenüber Bedrohungen von außen.
Wie ist der aktuelle Stand? Gab es viele Einsprüche zum Entwurf?
Mairle: Von August bis November letzten Jahres konnten die nationalen Normungsorganisationen über den „Draft International Standard“ dieser Norm abstimmen. Hier gab es eine Zustimmung von über 90 Prozent. Auch die im Rahmen dieser Abstimmung abgegebenen Kommentare zeigen zwar ein international großes Interesse am Thema Cybersecurity, allerdings kaum grundsätzliche Bedenken oder gar Ablehnung.
Foto: © rawpixel/123RF.com/gremlin/iStock.comSie beide halten das Thema Cybersecurity für sehr wichtig. Wie hoch schätzen Sie die Gefährdung ein?
Mairle: Diese Frage kann man nicht pauschal beantworten, da eine individuelle Gefährdungsbeurteilung von vielen Faktoren abhängig ist. Es gibt auch nicht nur eine Gefährdungsausprägung: Von Auswirkungen auf die Verfügbarkeit oder Integrität einer Anlage über Diebstahl von geistigem Eigentum bis hin zu Auswirkungen auf die funktionale Sicherheit ist vieles denkbar. Realistisch gesehen schätze ich das Risiko für eine einzelne Standardanlage als überschaubar ein.
Anders mag es aussehen, wenn ein Angriff möglich ist, der mit mehr oder weniger gleichbleibendem Aufwand viele Systeme gleichzeitig ins Visier nehmen kann, sozusagen skaliert. Oder auch wenn eine einzelne Anlage für einen Angreifer aus irgendeinem Grund besonders „wertvoll“ ist: Etwa, wenn wichtige Personen darin befördert werden, durch die Anlage Zugang zu besonders sensiblen Gebäudebereichen möglich ist oder eine Anlage aufgrund von technischen Besonderheiten von besonderem Interesse ist.
Ebeling: Ich teile die Einschätzung von Herrn Mairle, dass die Gefährdung momentan noch überschaubar ist und auch seine Beispiele für ein erhöhtes Risiko von Cyberangriffen sind für mich nachvollziehbar. Dazu kommt, dass die Digitalisierung des Aufzuges gerade erst beginnt, d. h. es entstehen immer mehr Schnittstellen am Aufzug zur Außenwelt und damit steigt das Risiko, dass sich darunter auch ungenügend abgesicherte Schnittstellen befinden.
Tim Ebeling ist Geschäftsführer der Henning GmbH & Co. KG und als Hersteller auch digitaler Aufzugkomponenten sehr an Cybersecurity für Aufzüge interessiert. In seiner Eigenschaft als Vorstandsmitglied des VFA-Interlift ist er Mitglied im Digitalization & Cybersecurity Komitee der ELA.
Max Mairle ist Product Security Manager bei TK Elevator und als Mitglied der ISO/TC 178/WG 12 ”Cybersecurity” an der Erstellung der ISO 8102-20 beteiligt.
Die Fragen stellte Ulrike Lotze.
Darum geht es: Der Teil 20 der ISO 8102-Reihe zur Cybersecurity von Aufzügen und Fahrtreppen befasst sich mit der branchenspezifischen Anwendung der IEC 62443-Normenreihe. Diese Normenreihe aus dem Gebiet der industriellen Cybersicherheit verfolgt durch die Berücksichtigung der unterschiedlichen Rollen von Unternehmen innerhalb einer Branche einen ganzheitlichen Ansatz. Es werden sowohl technische als auch prozessuale Anforderungen gestellt. Aktuell wird der FDIS-Entwurf der ISO 8102-20 vorbereitet, die Publikation ist für September dieses Jahres geplant.
Die vollständige Diskussion zwischen Tim Ebeling und Max Mairle können Sie hier lesen.
Kommentar schreiben