Über das Scheitern von Digitalisierungsprojekten in kritis-relevanten Umgebungen

Weltwirtschaft

Viele Digitalisierungsprojekte in kritis-relevanten Umgebungen scheitern, oder ziehen sich viel zu lange hin, und übersteigen das Maß der zumutbaren Kosten für das Unternehmen, den Bund und Länder (Steuerzahler), speziell wenn es Fördermittel für öffentliche staatliche Projekte gibt. Wenn Sie wüssten wie mit solchen Geldern manchmal umgegangen wird, und dies sind viele Milliarden in einigen Fällen, Ihnen würden die Haare zu Berge stehen. Manchmal fließen 200.000.000 Euro nur für die Konzeption eines solchen Projektes. Oftmals passiert das aus Gründen, für die keiner etwas kann. Oder manchmal auch einfach, weil niemand früh genug nachdenkt oder den Antrag rechtzeitig bei einem Bundesamt oder einer Behörde auf Abnahme eines neuen Netzes für seine Digitalisierung in kritis-relevanten Umgebungen stellt. Warum auch? Es gibt doch ein Netz, das abgenommen ist. Warum sich den Stress machen ein neues abnehmen zu lassen? Das dauert Jahre für die Abnahme so die Begründung. Hier meine entscheidende Frage. Warum dauert das ein Jahrzehnt wie im Falle eines großen Transportunternehmens z.B. ? Wird dessen Bundesamt schlecht geführt? Hat man keine Lobby um hier schnelleren Technikwechsel zu erwirken? Braucht man die Zeit schlichtweg wie beim Schubladentest der Küchen bei IKEA?

Also baut man das neue Netz auf das alte Netz. Das scheint zunächst einfacher und günstiger. Denkt man. Keine größeren langjährigen Gutachten, keine Totalabnahme, „tutti appy“ wie der Italiener sagt, doch…“der Computer sagt nein“. Alte Stromnetze liegen, die schon von einem Amt abgenommen und begutachtet sind, gleiches gilt für Netze am Gleisfeld der Bahn, für Verkehrsleitsystemnetze, Wasserreiniger- oder versorgerverbundnetze, oder in der Produktion in herstellenden Unternehmungen. Die Liste der Beispiele ist ellenlang.

Dann werden dem Projekt Ziele gesteckt, die ein vollendetes Digitalisierungsnetz darstellen, in kritis-relevanter Umgebung. Mit SOC und allem Pipapo. Vollendete Planung, die Fördergelder fließen. Ein Gutachter blinder wie der andere oder sogar gekauft. Gefälligkeitsgutachten fallen in Safety-Bereichen. Planer lassen streichen, was ihnen nicht gefällt beim Gutachten, oder was eine Umplanung zur Folge hätte mit Kosten und Zeitverzug. Das möchte man nicht.

Ein SOC soll gleich alles abfangen. Aber ein SOC erfordert ein SOC Readinessprojekt. Dafür hat man keine Zeit. Ein SOClebauer wird angeheuert und der soll die IT Infrastruktur des gesamten Unternehmens erst einmal glatt ziehen und ein funktionierendes SOC für IT und IoT bereitstellen. CMDB, Asset Management, PKI, alles fehlt. Darum kümmert sich der SOClebauer auch noch parallel. Dann werden Teams eingestellt von Leuten, die ein SOC betreiben können, aber leider keins aufbauen können, ja da gibt es kleine Unterschiede. Hätte man mal bei der Einstellung solcher Leute besser geachtet. Ein SOC ohne Asset Management und Config DB. Wunderbar. Solche Planer sitzen tatsächlich in dem Management ihrer Unternehmen! Tagtäglich darf man das erleben, Gott sei Dank für alle, sonst würden selbstständige Unternehmen ja keine Aufträge erhalten.

Bis das Projekt durchgeplant ist und alle Anforderungen definiert sind, vergeht so viel Zeit, dass Hersteller schon wieder neue Technologie bereitstellen, die Gelder spart, für das aber die erste Netzplanung seitens der Sicherheitsanforderungen und Maßnahmen (SOC) ungeeignet ist und wohlmöglich schon begutachtet ist. Also physische und logische Sicherheitsbereiche und Hochsicherheitsbereiche sind schon definiert und streng geplant, begutachtet, und jetzt kommt eine eierlegende Wollmilchsau bei der das Management, das so dermaßen in Verzug ist mit dem Projekt, wenigsten bei den Kosten glänzen kann. Es vermischen sich Ebenen (Kosten, Technik, Ziele). Also wird versucht das neue Zeug „ich nenne das jetzt einfach einmal lapidar“ irgendwo rein zu quetschen oder es wird mit dem Gutachter so lange verhandelt bis man ihm andeutet, dass man auch mal gewillt sei einen anderen Gutachter drauf schauen zu lassen, ein dezenter Hinweis, „mach, oder flieg“, bis man ein Gebilde hinbekommt, das einen zufrieden stellt. Gutachter die das lesen, wissen jetzt genau was ich meine. Die Manager übrigens auch.

Aber leider ist das nur ein schlechter Kompromiss, der niemals richtig funktionieren wird, oder es gibt Tote. Interne Ingenieure stehen vor Rätseln, bekommen immer neue Anforderungen bis sie krank werden oder den Arbeitsplatz wechseln. Die Fluktuation der das Unternehmen verlassenden Mitarbeiter ist hoch, Management wird sehr oft ausgewechselt und kann wenn es Glück hat in staatlichen Unternehmen immer wieder in Deckung auf eine andere Position gehen, wenn es an der ersten Position Fehlentscheidungen traf, oder durchziehen musste, was von übergeordneter Stelle kam. Auch gehen neue Technologien sehr oft an solchen Projekten vorbei (Zerotrust-Umgebungen z.B.), weil niemand Zeit hat sich damit richtig zu beschäftigen. Externe dominieren das Projekt. Weil Ressourcen im 62443-Normenbereichen knapp sind, nimmt mal alles was schon einmal IoT gehört hat. Auch hier kommen so manche externe in einigen Bereichen an ihre Grenzen und verlassen das Projekt wieder, oder der Kunde merkt er hatte nicht die/den richtigen.

Einige Zulieferer kennen die geforderten Normen nicht im betroffenen kritis-relevanten Bereich.

Man möchte weg von den Relais, von elektronischen Systemen und begründet das Projekt mit Einsparungen im Milliardenbereich, argumentiert wird damit die die Sicherheit auf Common of the Shelf Produkte zu verlagern, um so herstellerunabhängig zu werden und lässt die Zulieferer wieder ihre Cots-Produkte so stark verändern, dass es mit Cots nichts mehr zu tun hat. Gibt es da eine interne Revisionsprüfung? Verwendet man öffentliche Fördergelder wirklich für das was man geplant hatte, oder für was flossen die Gelder wirklich? Kein Schwein scheint das zu interessieren. Den Bund der Steuerzahler allenfalls aber meistens sind die viel zu spät.

Mit Fehlentscheidungen vergrault das Management dann noch die Hauptplaner, die gerne beraten würden, aber intern völlig auf Widerstand stoßen wegen Beratungsresistenz oder von anderen externen, die gerne buhlen um den Lead, unberechtigt kritisiert werden. So schafft man Lager in einem Projekt, in dem man keine Lager haben möchte. Anstatt eine Gesamtprojektleitung zu installieren die auch steuert installiert man eine die nur und noch nicht einmal richtig kontrolliert. Am Ende gehen alle und man steht vor einem großen Scherbenhaufen.

Ein SOC wird gebaut für die kritische Infrastruktur. Abermillionen werden ausgegeben. Sehr oft baut man dann nicht das richtige SOC ein sondern meist das, mit denen der CISO schon einen Rahmenvertrag hat. Die Zielumgebung ist nichtig, und der SOC Hersteller Accountmanager signalisiert, das geht da, das geht auch dort. Weiterhin ist der Scope schlecht gesetzt. In Safety-Bereichen überlässt man die Sicherheit von z.B. Schienenfahrzeugen dem Hersteller. Die Schiene selbst bekommt ein SOC. Das Schienenfahrzeug bekommt nichts. Was ist das für eine Dummheit? Die Triebfahrzeughersteller haben seit Jahren eigentlich einen Trackrecord des Blutes an sich kleben, bis sie etwas änderten. Der Fahrplan der Bahn ist in Blut geschrieben, Blut von Toten, die bei Unfällen starben. Fast alle Sicherheitssysteme von Siemens für Schienenfahrzeuge tragen ein Jahresdatum im Namen. In diesem Jahr war meist ein tragischer Unfall die Ursache für Nachbesserung an der Sicherheit. Reaktiv. Nie proaktiv. Welche Sicherheit kann man ernsthaft vom einem Triebfahrzeughersteller erwarten? Überlegen Sie mal selbst! Dessen Kernkompetenz ist Fahrzeugbau. Sicherheit macht der nebenbei. Und das genau ist der Fehler. Manager in den betroffenen Unternehmen reagieren und entscheiden völlig falsch. Das ist schon fast eine Katastrophe.

Heutzutage bauen Hersteller Autopiloten in Schienenfahrzeuge, die mit den Triebköpfen kommunizieren, meist über ein G3, G4 oder bald G5 Netzwerk, die aber nicht verschlüsselt kommunizieren. Greift man sich das CAT5 Kabel hinter der Verkleidung in diesen Fahrzeugen und hat einen Abhörglasfasering und Laptop und kennt sich ein bisschen nur aus mit der Sicherheit, kann man Zug fahren, in anderen Beispielen können Sie Lichter an und aus machen, Windräder zum kaputtdrehen bringen, oder Ampeln fehlschalten, Fahrstühle stoppen, Rolltreppen, wenn ich es in meinen Pentestphasen nicht versucht hätte und geschafft hätte, ich würde es ja selbst nicht glauben. Bis in Ihr Haus rein geht das mittlerweile weil Sie sich mit ihren Heizthermostaten, Alexas und mehr auf ihre Provider und Hersteller verlassen, der das Zeug meist gebaut hat, aber Sicherheit eben nur nebenher macht.

Ich habe mit Hugo Teso vor 10 Jahren auf dem Verkehrspilotentag der Vereinigung Cockpit mit einem virtualisierten Honeywell-Cockpit eines Großraumjets auf einem Velokopter den Berufspiloten aller Airlines gezeigt, wie leicht es ist einen Airliner zu hacken, einen Trojaner auf die EFIS einzuschleusen, und ihn mit einer selbstentwickelten Handyapp 2 min später zu steuern, zu fliegen. Das ist Realität. Ok, Hugo und ich sind auch Flieger und kennen uns dazu mit Sicherheit aus. Das Staunen war groß, und man hat schnell erkannt, dass Redundanz der Flight Management Systeme eher nur ein Nachteil ist. Das Deutsche Luft- und Raumfahrtzentrum und die EASA in Köln signalisierten damals danke, wir haben alles im Griff. Blödsinn. Das anwesende Sicherheitsreferat 13 der Bundespolizei meinte dazu, man sollte das nicht so publik machen Hr. Tsolkas. Das war alles. Meinen Sie es hätte danach einen Ruck durch die Hersteller von Flugzeugen gegeben? Wenn Sie wüßten wie die Sicherheit des Computernetzes an Board einer der neueren Boeings ab 787 wirklich ist, Sie würden nicht mehr fliegen damit. Virtualisierter unsicherer Schrott ist das. Man sorgt für die Sicherheit eines Hundes heute schon besser.

Das schlimme ist, diese Herren, die das planen stoppt niemand. Sie machen weiter und weiter. Der eine geht der andere kommt. Unfähigkeit glänzt. Und weiter geht es. Die Absichten sind gut. Bei allen. An der Umsetzung hapert es teilweise gewaltig mangels know how und mangels Kreativität, man kann sich nicht vorstellen, was passieren könnte. Wenn man das nicht kann, glaubt man es einfach nicht. So ist leider das menschliche Hirn gestrickt. Sie müssen von Edward Snowden hören dass sie komplett abgehört werden, täglich. Sie konnten sich das nicht vorstellen. Der CCC hat es gesagt, ja fast jeder in der IT-Sicherheit. Es  muss also erst ein Snowden kommen oder ein Unfall passieren. Na dann gutes Warten und frohes Schaffen.