Experten für Cybersicherheit: Nick Shaw von Tripwire

Herr Shaw, Sie sind noch nicht lange bei Tripwire. Wo haben Sie zuvor gearbeitet?

Das ist richtig. Ich habe im Januar 2019 bei Tripwire angefangen und seitdem schon viel erlebt. Es gefällt mir hier sehr gut. Ich weiß, dass viele meiner Kollegen seit zehn oder mehr Jahren an Bord sind, was mich beeindruckt. Bevor ich zu Tripwire kam, war ich bei Rockwell Automation. Dort unterstütze ich Kunden bei der Umsetzung effektiver industrieller Cybersicherheitslösungen bei zwei namhaften Unternehmen aus dem Nahrungsmittel- und Getränkebereich. Ich hatte die technische Leitung für die Architektur der OT (Operational Technology), weshalb ich sehr eng mit den Kunden zusammenarbeitete und als Teil ihres Cybersicherheitsteams vor Ort sehr gut integriert war. Wir haben versucht, uns als langfristige Partner zu etablieren, die Hand in Hand mit den Kunden zusammenarbeiten, was ich auch hier bei Tripwire oft erlebe. Wie Sie sich vorstellen können, verbringe ich angesichts solcher Geschäftsbeziehungen viel Zeit auf der Straße für die Kunden. Ich war mein ganzes Leben in Rochester. Aber jetzt reise ich so viel, dass mir hier, scherzhaft gesagt, nur noch die Post zugestellt wird.

Waren Sie schon immer an der industriellen Cybersicherheit interessiert?

Als ich vor etwa zehn Jahren am RIT (Rochester Institute of Technology) war, wollte ich ebenso wie viele andere Absolventen des Studiengangs Informatik an die Westküste gehen und für Apple, Google oder ein anderes großes Technologieunternehmen arbeiten. Ich nahm jedoch an einem Kooperationsprogramm der Hochschule teil, das mir die Augen für die boomende Welt der industriellen Fertigung öffnete. Das hat mich wirklich begeistert und auf diesen Weg gebracht. Ich mochte das Unternehmen, für das ich damals tätig war, sehr. Es bot schlüsselfertige industrielle Verbrennungsanlagen an, und ich war für zahlreiche Aufgaben zuständig, beispielsweise die Programmierung von SPSen (speicherprogrammierbare Steuerungen), die Einrichtung von Servern, die Planung der Netzwerkarchitektur und sogar die Verdrahtung von Schalttafeln in der Elektrowerkstatt. Die Verbrennungsanlagen, die wir betrieben, waren riesig - bis zu 14 Stockwerke hoch und fast 8 Meter breit. Wir haben Brennstoff in die Anlagen gepumpt, die verschiedene Materialien verbrannten. Deshalb war es wichtig, dass wir alles so sorgfältig wie möglich überwacht haben. Denn die Anlagen waren wirklich wie große Bomben, und ich war mir bewusst, dass die Sicherheit des Betriebs optimiert und die Integrität des Prozesses vor jeglichen Schwachstellen geschützt werden mussten. 

Wie hat sich die industrielle Cybersicherheit seitdem verändert?

Heute würden wir so gut wie möglich für jede Anlage Sicherheitsvorkehrungen gemäß Best Practices entwickeln. Aber diese Erfolgsmethode war vor zehn Jahren noch nicht so weit fortgeschritten.  

„Zum Beispiel waren damals selbst vorausschauende Unternehmen überzeugt, dass ihr OT Netzwerk sicher sei, weil es weder mit dem IT Netzwerk noch direkt mit der Außenwelt verbunden war.“

Mittlerweile wissen wir, dass dies ein gefährlicher Irrglaube ist und dass es viele Möglichkeiten gibt, wie eine durch einen Air Gap vermeintlich geschützte Anlage infiziert oder angegriffen werden kann. Jedoch ist es vergleichsweise einfach, diese Gefahren zu verringern - die Trauben hängen hier nicht allzu hoch. Denn Cybersicherheitsmaßnahmen wie Netzwerksegmentierung und Unterteilung in Zonen sind sehr effektiv. Und es sind Maßnahmen, mit deren Umsetzung Sie morgen beginnen können.

Was hat Ihnen bei der Arbeit für Tripwire und seine Kunden bisher am meisten Spaß gemacht?

Ich denke, am meisten bin ich von der Unternehmenskultur angetan. Wie ich bereits erwähnt habe, arbeiten alle sehr eng zusammen, sowohl mit Kunden als auch mit Kollegen, was mir gefällt. Es ist deutlich anders, als für ein großes Unternehmen mit Zehntausenden Beschäftigten tätig zu sein, wie ich es früher war. Ich habe zum Beispiel das Gefühl, dass meine Kollegen und ich in diesem Unternehmen mit 500 Mitarbeitern einen großen Einfluss darauf haben, was Tripwire macht, was es anbietet und in welche Richtung es geht. Wir sprechen direkt mit den Mitgliedern des Topmanagements und geben ihnen konkrete Rückmeldungen und Anregungen von Kunden. Bisher sind bereits viele Hinweise von uns sowohl in Produkte als auch in die Art und Weise des Marktzugangs umgesetzt worden. Denn viele meiner Kollegen und ich wissen aus Sicht der Kunden, wie eine nicht staatlich reglementierte Branche wie die Fertigungsindustrie die Cybersicherheit betrachtet.

Hersteller sind nicht verpflichtet, gesetzlich vorgeschriebene Cyberschutzmaßnahmen umzusetzen, was etwa die nordamerikanischen Energieversorgungsunternehmen gemäß NERC CIP tun müssen. Sie betrachten eine Investition in Cybersicherheit möglicherweise als "Aufwand" oder "Steuer", wodurch Geld für Investitionen in den Ausbau der Infrastruktur fehlt, um den Gewinn zu steigern. Hersteller müssen daher verstehen, dass bei einem Cybervorfall - der übrigens immer wahrscheinlicher wird - die Kosten von Stillstandzeiten und Ausschuss die Vorteile, die ihnen Investitionen in direkte betriebliche Verbesserungen bringen, bei weitem übersteigen können. Außerdem werden diese Vorfälle nicht immer durch Hackerangriffe verursacht. Auch weniger spektakuläre Umstände wie etwa die Änderung einer Konfiguration können dazu führen, dass die Produkte nicht mehr so effizient oder mit der gleichen Qualität wie zuvor hergestellt werden, wodurch die Prozessintegrität deutlich beeinträchtigt wird. Ich denke, dass diese Erkenntnisse eine wichtige Rolle für den Geschäftserfolg spielen und häufiger als bisher kommuniziert werden müssen. Deshalb sprechen wir mit unseren Kunden immer öfter über unser Leistungsangebot und dessen Nutzen.

Profitieren Ihre Kunden durch die Verbindung von Tripwire zu Belden?

Es klingt komisch, aber ich wusste während meines Bewerbungs- und Einstellungsverfahrens lange Zeit nicht, dass Tripwire zu Belden gehört. Aber als ich es herausfand, war ich noch zuversichtlicher, durch den Wechsel zu Tripwire eine Karriere in der industriellen Cybersicherheit beginnen zu können. Denn jeder im Bereich der industriellen Netzwerktechnik kennt die Qualität der Industriekabel von Belden, der Switches von Hirschmann und der Firewalls von Tofino. Einen solchen Ruf und mehr als 100 Jahre industrielle Erfahrung hat sonst niemand auf dem Gebiet der Cybersicherheit. Dies unterstreicht, dass die Industrie ein Schwerpunkt für Tripwire ist und immer sein wird. Zwar bin ich eigentlich noch der Neue, aber ich nehme jede Woche an Gesprächen über Trends auf dem Industriemarkt teil und diskutiere sowohl über kurz- als auch langfristige Produktentwicklungen. Und ich sehe, dass Tripwire weiterhin erhebliche Investitionen tätigt, um neue Dimensionen für industriellen Cybersicherheitsprodukte zu eröffnen. Ich bekomme also aus erster Hand mit, dass Tripwire und Belden sich langfristig der kontinuierlichen Innovation und Entwicklung industrieller Lösungen verpflichtet haben. Dieses Wissen und diese Zuversicht mit meinen Kunden zu teilen, gibt mir ein gutes Gefühl.