Cyber Security sei zwar in der IT schon lange ein wichtiges Thema, allerdings fehle der Sicherheitsgedanke in der OT (Operational Technology) noch stark. Laut Roger Hiestand, Leiter Cyber Security bei Siemens Schweiz AG, liege dies an einer Wissenslücke, welche es zu schliessen gilt. Innerhalb der Fachkommission Cyber Security des SES war er Teil der Entwicklung des neuen Tageskurs «Cyber Security in Industrieumgebung» an der STFW.
Roger Hiestand, Leiter Cyber Security bei Siemens Schweiz AG, Christian Siegrist, Leiter strategisches Geschäftsfeld Videosecurity bei Securiton AG, und Martin Pfander, Customer Success Manager bei Sitasys AG, erarbeiteten gemeinsam als Fachkommission Cyber Security des SES den neuen Tageskurs «Cyber Security in Industrieumgebung» der STFW. Die drei Experten bilden nicht nur die Fachkommission Cyber Security des SES, sondern unterrichten auch den Kurs an der STFW. Weshalb dieser Kurs für die Industrie wichtig ist, für wen sich dieser Kurs lohnt und wo der Mehrwert liegt, erzählt uns Roger Hiestand im Interview.
Roger, klären wir doch das Wichtigste gleich zu Beginn: Worum geht es im neuen Kurs «Cyber Security in Industrieumgebung»?
Wir wollen die Gesellschaft und die Fachkräfte der Gebäudetechnik für das Thema der Cyber-Resilienz sensibilisieren. Das bedeutet, dass wir unter anderem ArchitektInnen, FachplanerInnen, SicherheitsberaterInnen, Facility IntegratorInnen sowie EndkonsumentInnen über die Sicherheit der Gebäudeautomationssysteme und Sicherheitsanlagen aufklären möchten. Ziel ist es, dass bereits in der Planungsphase von Anlagen das Risiko-Management sorgfältig aufbereitet wird und mögliche Sicherheitslücken frühzeitig erkannt sowie die entsprechenden Handlungsmassnahmen definiert werden.
Cyber Security ist ein wohlbekannter Begriff und in aller Munde. Ist die Gesellschaft nicht schon genügend sensibilisiert?
Cyber Security ist im Bereich der IT schon lange ein brisantes Thema. Allerdings hinkt der Bereich der OT, also der Operational Technology, stark hinterher. Aktuell herrscht hier noch eine grosse Wissenslücke. Da unsere Gebäude sowie die Systemlösungen immer smarter werden, nimmt das Risiko eines Angriffes mit mehr oder minder gravierendem Ausmass zu. Viele sind sich dem möglichen Schadensumfang nicht bewusst. Einige Schwachstellen können und müssen frühzeitig eliminiert werden. Deshalb werden Fachkräfte in diesem Bereich an Bedeutung gewinnen.
Roger Hiestand, Leiter Cyber Security bei Siemens will die Fachkräfte im OT-Bereich für das Thema Cyber Security sensibilisieren.
Es ist ein Kurs, der vom Verband Schweizerischer Errichter von Sicherheitsanlagen (SES) entwickelt wurde. Wie kam es dazu?
Mitte 2018 hat sich der SES dazu entschieden eine Arbeitsgruppe im Bereich Cyber Security zu bilden. Der SES hat früh erkannt, dass das Thema Cyber Security im OT-Bereich schnell an Relevanz gewinnen wird. Per Mitte 2020 wurde aus der Arbeitsgruppe eine Fachkommission, die nun übergeordnet für die Cyber Security im SES verantwortlich ist. Wir können von unserem umfangreichen Fachwissen aus der Branche profitieren und arbeiten auf ein gemeinsames Ziel hin, nämlich die Cyber Security bzw. das Verständnis dafür im Markt zu stärken. Um diese Vision zu realisieren, sah der SES den grössten Handlungsbedarf darin, eine entsprechende Schulung anzubieten.
Mit welchen Kursinhalten wollt ihr dieses Ziel erreichen?
Unsere Schulungen sind in drei relevante Bereiche der Cyber Security aufgeteilt: Zum ersten geht es um technische Massnahmen. Damit das nötige Wissen vermittelt werden kann, entwickelten wir Dokumentationen und Guidelines, welche das Fundament des Unterricht-Skriptes bilden. Zum zweiten müssen Prozesse und Verantwortlichkeiten klar definiert werden: Wer ist für die Cyber Security und wer im Angriffsfall zuständig? Am Ende muss auch geklärt werden, was im Angriffsfall zu unternehmen ist und wie man möglichst schnell wieder in den «Normalbetrieb» wechseln kann. Zum dritten beinhaltet der Kurs ebenfalls «Awareness Training». Wir schauen an, wie wir Kundschaft, MitarbeiterInnen, PlanerInnen, InstallateurInnen etc. für dieses Thema sensibilisieren können. Dabei geht es beispielsweise auch um solche Fragen: Wie schaffen wir es, dass bereits in der Planungsphase einer Videoanlage die Cyber Security mit einbezogen wird?
Was sind deiner Ansicht nach die Highlights dieses Tageskurses?
Der Unterricht ist selbstverständlich so konzipiert, dass die Teilnehmenden sich beteiligen können und sollen. Wir machen keinen platten Frontalunterricht. Zudem haben wir am Ende des Tages genügend Zeit für echte Praxisbeispiele in Form von ethischem Hacking eingeplant, wo wir Schwachstellen aufzeigen können. Wir spielen Angriffsbeispiele durch und schaffen so einige Praxis-Aha-Erlebnisse.
Sind Vorkenntnisse nötig, um am Kurs teilnehmen zu können?
Ein gewisses Mass an technischer Affinität sollten Teilnehmende haben und zum Beispiel wissen, was unter einer IP Adresse verstanden wird. (lacht)
Ansonsten sprechen wir vor allem Fachkräfte rund um die Gebäudetechnik sowie die PlanerInnen und InstrukteurInnen von Gebäudestrukturen an. Aber natürlich ist jede resp. jeder, der sich für dieses Thema interessiert, herzlichst willkommen.
Christian Siegrist, Martin Pfander, Roger Hiestand (von links nach rechts) bilden zusammen die Fachkommission Cyber Security des SES. Sie entwickelten den neuen Tageskurs «Cyber Security in Industrieumgebung» der STFW, den sie auch unterrichten.
Wieso ist dir persönlich das Thema Sicherheitsfragen in der IT/OT so wichtig?
Vor 13 Jahren startete ich als Systemingenieur im Bereich Video-Überwachung bei Siemens. Wir wollten standardisierte Hardware-Lösungen für unsere Kunden entwickeln. Die Sicherheit ist natürlich ein wichtiges Thema im Bereich der Video-Überwachung.
Ich persönlich war schon von klein auf von Systemlücken und Sicherheitsfragen rundum technische Gegebenheiten fasziniert. Ich war halt ein Tüftler, Programmierer und einfach ein Machertyp – manche bezeichnen so jemanden wohl als «Nerd». (lacht)
Wie bist du ursprünglich vom jungen Tüftler in ein solch spannendes Berufsgebiet gelangt?
Ich würde sagen mit einer ordentlichen Portion Leidenschaft. Ich war schultechnisch eigentlich eher ein nicht so ambitionierter Junge und besuchte die Realschule. Als Machertyp wollte ich nach der Schule auch lieber arbeiten und nicht weiter zur Schule gehen. Vermutlich aufgrund von meinen Freunden lernte ich schon bald Programmiersprachen und die Sicherheitslücken des Internets kennen. Ehrlich gesagt, suchte ich in dieser Zeit auch etwas nach den Grenzen. (schmunzelt)
Ich absolvierte die Lehre als Elektromonteur. Bald schon wollte ich mein IT-Wissen professionalisieren sowie weiterentwickeln und besuchte deshalb die Höhere Fachschule für Informatik. Einige Jahre später absolvierte ich zudem den Bachelor in Wirtschaftsinformatik an einer Fachhochschule und hängte dann auch noch einen CAS Cyber Security an.
Das dürften so die wichtigsten Meilensteine meines beruflichen Lebens gewesen sein – nebst all den wertvollen «learnings on the job». Das Schönste ist, dass ich mich heute immer noch täglich mit meiner Leidenschaft auseinandersetzen darf.
