Chief Cybersecurity Officer gibt Einblicke: Wie Siemens Zero Trust umsetzt

Foto: Tobias Arhelger – shutterstock.com

Siemens arbeitet nicht nur daran, seine Produkte möglichst frei von Schwachstellen zu halten, sondern legt vor allem auch Wert auf sichere, interne Prozesse. Der Fertigungsgigant, der in diversen Geschäftsbereichen tätig ist – darunter Industrie, Smart Infrastructure, Gesundheitswesen und Finanzdienstleistungen – schützt seine Systeme, indem er drei Hauptbereiche fokussiert:

• Zero Trust,

• Supply Chain und

• Legacy-Systeme.

In den 166 Jahren seines Bestehens ist Siemens durch Übernahmen exponentiell gewachsen und beschäftigt heute mehr als 300.000 Mitarbeiter. Die Akquisition von Unternehmen bringt allerdings Systemintegrationen und oft auch Sicherheitsrisiken mit sich. “Wir sind eine Company der Companies”, konstatiert Helen Negre, die kürzlich die Rolle des Chief Cybersecurity Officer für Siemens USA übernommen hat. Die Managerin ergänzt: “Das erschwert es, eine übergreifende Cybersicherheitsstrategie für das gesamte Unternehmen zu entwickeln.”

Dazu kommt allerdings, dass sich Siemens wegen seines Engagements im Bereich der kritischen Infrastrukturen stets im Fadenkreuz von fortschrittlichen Angreifern befindet, wie die Sicherheitsentscheiderin deutlich macht: “Nennen Sie eine kritische Infrastruktur – wir haben höchstwahrscheinlich etwas damit zu tun. Angesichts der aktuellen politischen Lage müssen wir täglich Milliarden sicherheitsrelevanter Ereignisse managen.”

Was Zero Trust für Siemens bedeutet

Mit seinem Fokus auf Zero Trust steht Siemens nicht allein da: Laut den Analysten von Forrester haben sich weltweit 83 Prozent aller Großunternehmen zur Einführung von Zero Trust verpflichtet. Der Sicherheitsanbieter Okta kommt im Rahmen seines “2022 State of Zero Trust Report” zum Ergebnis, dass 55 Prozent der befragten Unternehmen bereits eine Zero-Trust-Initiative eingeführt haben, während 97 Prozent in den nächsten 12 bis 18 Monaten damit planen.

Im Fall von Siemens bedeutet Zero Trust in erster Linie Mikrosegmentierung, Perimetersicherheit, strenges Identity Management und eine strikte Durchsetzung von Richtlinien. Dabei verfolgt der Konzern einen dreistufigen Zero-Trust-Ansatz. In der ersten Phase geht es darum, aufzuklären, eine Roadmap zu erstellen, die abzusichernden Applikationen und Assets zu identifizieren sowie eine gemeinsame Definition darüber zu erarbeiten, wie Zero Trust für jede Organisation innerhalb des Unternehmens aussehen soll.

“Dabei ging es teilweise auch um das kulturelle Mindset”, stellt Negre fest und führt aus: “Die Mitarbeiter auf allen Ebenen des Unternehmens mussten verstehen, was Zero Trust ist, warum es wichtig ist und wie es die Risiken reduziert. Darüber hinaus brauchte jede unserer Organisationen eine Roadmap mit konkreten Meilensteinen. Das Ziel war es, gemeinsam mit den einzelnen Geschäftsbereichen ein Zero-Trust-Framework zu kreieren. Das lief also nicht so ab, dass die Security die Vorgaben machte.”

Diese erste Phase der Zero-Trust-Umstellung ist laut der CCO von Siemens USA inzwischen abgeschlossen. Derzeit durchläuft der Konzern die zweite Phase, in der es darum geht, alle “low-hanging fruits” der Zero-Trust-Roadmap in Angriff zu nehmen – die Projekte, die innerhalb von sechs bis zwölf Monaten umgesetzt werden können.

Die dritte Phase des Zero-Trust-Shift bei Siemens umfasst schließlich alle längerfristigen Projekte. Etwa in stark regulierten Branchen, wie die Sicherheitsentscheidern nahelegt: “In diesen Bereichen könnte eine langsamere, bewusstere Umstellung erforderlich sein. Und dann sind da noch die Standorte mit Legacy-Geräten, die erhebliche Investitionen erfordern, bevor sie sich auf Zero Trust umstellen lassen.”

Legacy-Hardware macht Probleme

Gerade im Industrie- und Healthcare-Umfeld ist in die Jahre gekommene Hardware keine Seltenheit, die nicht für den Einsatz in der vernetzten Welt gedacht und damit auch nicht Zero-Trust-kompatibel ist. “In Produktionsumgebungen ist der Lebenszyklus von Geräten relativ lang. Bei einem Brownfield-Projekt in einer Branche, die sich seit 40 Jahren kaum verändert hat, bekommen Sie Dinge zu sehen, die Ihr Großvater noch erkannt hätte”, illustriert Negre. Nach ihrer Aussage zählen bei Siemens etwa ein bis zwei Prozent der Fabriken zu den modernsten Smart Factories, die um Cybersecurity-Grundsätze herum aufgebaut wurden. Weitere ein bis zwei Prozent seien Relikte der Vergangenheit – der Rest liege irgendwo dazwischen.

“Ob es um interne Abteilungen oder externe Kunden geht, wir müssen sie dort abholen, wo sie sind. Das ist manchmal eben eine ältere Maschine, die 30 Jahre lang perfekt funktioniert hat. Dann stellt sich die Frage, wie wir in einem solchen Fall auf sichere Weise Konnektivität bereitstellen und das Ganze zu Zero Trust transformieren”, verdeutlicht die Siemens-CCO.

Im Fall von Produktionsumgebungen seien Maschinen möglicherweise nonstop in Betrieb und könnten nicht abgeschaltet werden, um gepatcht zu werden. Hinzu komme, dass einige Anlagen und Maschinen mit maßgeschneiderter Software ausgestattet seien, die speziell für den jeweiligen Standort entwickelt wurde. Ein Sicherheits-“Wrapper” für solche Geräte sei lediglich eine Notlösung, konstatiert die Managerin und ergänzt nicht ohne Stolz: “Wir verlassen uns nicht allein darauf. Selbst wenn der Security Wrapper über Konnektivität und eine Firewall verfügt, reicht das nicht aus, um unsere internen Standards zu erfüllen. Die decken nämlich auch die Bereiche Passwort beziehungsweise Authentifizierung und Mikrosegmentierung ab.”

Die beste Option sei in den meisten Fällen alle Komponenten auszutauschen – was Siemens auch als langfristiges Ziel verfolge. Letzten Endes sei entscheidend, so Negre, dass alles auf Zero Trust umgestellt wird.

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

Supply-Chain-Security im Fokus

Interne und Legacy-Systeme abzusichern ist bei Siemens allerdings nur die halbe Cybersecurity-Miete. Die Zero-Trust-Strategie bezieht nämlich auch alle Zulieferer mit ein. Eine sinnvolle Maßnahme, wie ein Blick in den “Cyber Security Industry Report” des Sicherheitsanbieters Bulletproof zeigt: Demnach gehen 40 Prozent aller Sicherheitsbedrohungen auf die Supply Chain zurück.

“Wir haben es teilweise mit Anbietern zu tun, die noch nicht bereit für Zero Trust sind”, offenbart Sicherheitsentscheiderin Negre. In der Tat fährt Siemens eine separate Supply-Chain-Security-Initiative, die Zero Trust beinhaltet. Wie Negre erklärt, gehe es dabei vor allem darum, herauszufinden, welche Anbieter die Cybersecurity-Kriterien von Siemens erfüllten. Sei das nicht der Fall, stünden ehrliche Gespräche mit den jeweils betroffenen, internen Geschäftsbereichen an: “Ein einzelner Anbieter oder Dienstleister könnte ein unkalkulierbares Risiko darstellen. Für diesen müssen wir dann eventuell eine Alternative finden.”

Einen bestimmten, ausschlaggebenden Faktor für das Attribut “zu riskant” gebe es jedoch nicht, beteuert Negre: “Wir bewerten die Technologie ganzheitlich, basierend auf einer Reihe von Kriterien. Dazu gehören unter anderem globale Cybersicherheitsstandards, öffentlich zugängliche Informationen über Schwachstellen und aktuelle Cybervorfälle.”

Ein weiterer wichtiger Aspekt der Lieferkettensicherheit: Software-Stücklisten (SBOM, Software Bill of Material). Einige Geschäftsbereiche von Siemens unterliegen bereits gesetzlichen Anforderungen hinsichtlich SBOMs. Der kommende Cyber Resilience Act wird Software Bill of Materials auch in Europa für die meisten kritischen Infrastrukturen vorschreiben. “Manchmal werden Produkte in den USA entwickelt und in Europa verkauft oder andersherum. Wir müssen also sicherstellen, dass sämtliche unserer Abhängigkeiten so weit wie möglich definiert sind”, merkt Negre an.

Wie Siemens sich für die (Security-)Zukunft rüstet

Der europäische Cyber Resilience Act ist dabei nur eine von vielen regulatorischen Änderungen, die Siemens im Auge behalten muss. Auch in den Vereinigten Staaten wurden mehrere neue Cybersicherheitsinitiativen auf den Weg gebracht, zuletzt die National Cybersecurity Strategy.

Siemens fördert darüber hinaus weltweit die Zusammenarbeit mit Regierungsorganisationen und ISACs (Information Sharing and Analysis Center). Und das aus gutem Grund, wie die CCO erklärt: “Der wichtigste Punkt für uns als Unternehmen ist es, Beziehungen aufzubauen. In jedem Land, in dem wir präsent sind, haben wir sehr wahrscheinlich Beziehungen zur Regierung, die es uns ermöglichen, Informationen auszutauschen und uns ein Bild von der spezifischen Bedrohung im jeweiligen Land zu machen. Wir arbeiten auch mit Behörden wie CISA, NIST, dem FBI und vielen anderen zusammen, um Fachwissen auszutauschen, Insights zu erhalten und sicherzustellen, dass wir alle gesetzlichen Anforderungen erfüllen. Das trägt auch zur Schaffung eines sichereren Cybersicherheitsökosystems für alle Unternehmen bei.”

Es gebe davon abgesehen auch große technologische Veränderungen beziehungsweise Herausforderungen, die in Zukunft nicht nur auf Siemens in Sachen Cybersecurity zukämen, weiß die Managerin. Eine davon sei Quanten-Computing, das nach Meinung von Experten das Potenzial aufweise, alle derzeitigen Verschlüsselungstechniken auszuhebeln. “Eine echte Bedrohung”, kommentiert Negre, relativiert jedoch: “Aber nicht unbedingt eine unmittelbare. Das Thema wird seit zehn Jahren propagiert – aber die Rechner, die tatsächlich in der Lage sind, in diesem Bereich zu arbeiten, sind rar gesät und entsprechende Algorithmen noch nicht entwickelt. Jeder sollte sich darauf vorbereiten, aber derzeit steht das Thema nicht unbedingt ganz oben auf der Tagesordnung.”

Ein weiterer, ganz aktueller, Trend: künstliche Intelligenz. Siemens genießt dabei den Luxus, auf eine eigene KI-Forschungsabteilung und Datenwissenschaftler zurückgreifen zu können. Das bleibt nicht ohne positive Folgen: “KI unterstützt uns dabei, effizienter zu arbeiten. Sie sollten sich fragen, wo Sie KI sinnvoll für manuelle Tasks einsetzen können, um Ihren Experten zu ermöglichen, sich um die wirklich wichtigen Dinge kümmern zu können.”

Angesichts einer Milliarde Security-Ereignissen pro Tag musste Siemens seine eigenen Lösungen in diesem Bereich entwickeln – arbeitet aber auch mit externen Anbietern zusammen, um deren Lösungen in seine Umgebung zu integrieren. “Wir schauen uns alle Versionen von KI an und finden heraus, wie wir sie am besten in unserem Unternehmen einsetzen können”, unterstreicht Negre und ergänzt anschließend, dass Siemens derzeit ChatGPT intern nicht einsetze, weil Bedenken hinsichtlich der Kommunikationssicherheit bestünden: “Wir stellen unseren Mitarbeitern unsere eigene Version zur Verfügung.” (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.