CT: Während meines Vortrags beim Engineering Summit 2024 fragte ich, wie viele Personen in jedem Unternehmen für die IT-Sicherheit verantwortlich seien, und nur wenige hoben die Hand. Haben Sie das Gefühl, dass die IT-Sicherheit bereits alle Bereiche Ihres Unternehmens durchdrungen hat?
Thomas Norwegen: Ich denke, das Bewusstsein nimmt zu, aber es gibt noch viel Potenzial. In vielen Unternehmen hören wir, dass sich IT-Sicherheitsprobleme aufgrund von Vorfällen bis in die Führungsebene erstrecken. Die Menschen vor Ort verstehen zunehmend die Dringlichkeit. Allerdings mangelt es auf den unteren Ebenen wie Engineering, Entwicklung, Vertrieb und Projektmanagement, die offensichtlich wenig mit dem Thema zu tun haben, oft noch an der nötigen Sensibilisierung. Diese Bereiche sind jedoch von entscheidender Bedeutung für die tatsächliche Umsetzung Ihrer Sicherheitsstrategie.
CT: Haben Sie Tipps, wie Unternehmen ihre Mitarbeiter sowie Kunden für das Thema IT-Sicherheit sensibilisieren können?
Norwegen: Ein Schlüssel ist die Kommunikation. IT-Sicherheitsteams müssen aktiv mit anderen Abteilungen interagieren und diese beraten. Es ist wichtig, die Sicherheit über alle Abteilungen hinweg zu integrieren, anstatt sie innerhalb einer Abteilung zu isolieren. Eine Hürde besteht darin, dass Mitarbeiter ihre Zeit oft auf Projektbasis buchen und glauben, Sicherheitsgespräche seien nicht abrechenbar. Unternehmen müssen Räume schaffen, in denen Teams Ideen austauschen und Sicherheitsmaßnahmen diskutieren können. Wichtig ist auch „Tone from the Top“ – eine klare Priorisierung durch das Management. Unternehmen sollten bei Sicherheitsproblemen proaktiv vorgehen und nicht erwarten, dass jemand nicht danach fragt.
Der Anlagenbau nimmt Zeit in der Planung und Lieferung in Anspruch, was es schwierig macht, die Cybersicherheit während des Betriebs auf dem neuesten Stand zu halten. (Bild: Vertigo Image – Stock.adobe.com)
CT: In Ihrem Vortrag haben Sie auch über das Konzept der „Sicherheit durch Design“ gesprochen. Könnten Sie bitte näher darauf eingehen und wie es in der Praxis umgesetzt wird?
Nowey: Es gibt keine feste Definition von „Security by Design“, aber die Grundidee besteht darin, von Anfang an über Sicherheit nachzudenken: über Systeme nachzudenken, die auf Sicherheit ausgelegt sind. Die Sicherheit wird oft erst dann hinzugefügt, wenn das System bereits betriebsbereit ist. Dies führt häufig zu Problemen und Sicherheitslücken. Ein typisches Beispiel ist ein Entwickler, der ein System betreiben möchte, ohne sich um Sicherheitsaspekte kümmern zu müssen. Sicherheitsfunktionen müssen häufig nachträglich aktiviert werden, was häufig zu Fehlfunktionen führt. Um dies zu vermeiden, muss Sicherheit von Anfang an in die Systemarchitektur integriert werden.
Voraussetzung ist, dass das System von Beginn an mit allen Sicherheitsmechanismen funktioniert. Dies erfordert nicht nur technisches Wissen, sondern auch das Bewusstsein der Mitarbeiter, dass Sicherheitsstandards bei der Inbetriebnahme ebenso wichtig sind wie alle anderen Funktionsprüfungen. Sie benötigen auch einen Mechanismus, der funktioniert. Design bedeutet für mich auch, dass sich jemand Gedanken darüber gemacht hat, wie das Sicherheitssystem letztendlich tatsächlich funktionieren wird.
Da es sich bei Anlagen um vernetzte Systeme handelt, können Sicherheitsmaßnahmen nicht einfach am Ende des Planungsprozesses angeordnet werden. (Bild: Raitalinn – Stock.adobe.com)
CT: Zwei häufig vorgebrachte Argumente sind, dass IT-Sicherheit zu teuer und zu komplex sei. Wie gehen Sie mit diesem Einwand um?
Nowey: Andererseits sind die Kosten für Sicherheitsvorfälle viel höher als für präventive Maßnahmen. Andererseits können Cyberangriffe nicht nur wirtschaftlichen, sondern auch rufschädigenden Schaden anrichten. Vertrauen spielt hier eine große Rolle. Kunden erwarten von Unternehmen nicht nur die zuverlässige Bereitstellung von Produkten und Dienstleistungen, sondern auch, dass ihre IT-Systeme sicher sind. Daher ist das Vertrauen in die IT-Sicherheit eines Unternehmens ebenso wichtig wie die Zuverlässigkeit seiner Servicetechniker und die Qualität seiner Produkte. Und dieses Vertrauen müssen sich Unternehmen erst verdienen.
Ja, IT-Sicherheit erfordert Aufwand. Es geht nicht darum, den Aufwand zu leugnen, sondern ihn als langfristige Investition zu betrachten. Cybersicherheit kann auch eine Chance für neue Geschäftsmodelle sein, etwa Sicherheitsupdates und Überwachung, die als fortlaufender Service angeboten werden können. So bauen Sie Ihr Unternehmen rund um die Cybersicherheit auf.
CT: In Ihrem Vortrag haben Sie erwähnt, dass lange Projektlaufzeiten im Anlagenbau zu Cybersicherheitsproblemen führen. Könnten Sie bitte genauer erläutern, worin diese Herausforderung besteht?
Nowy: Nehmen wir an, eine Maschine oder Anlage wird in einer Fabrik entwickelt und getestet. Im Moment hat die Software einen bestimmten Status, aber wenn diese Maschine in mehr als 12 Monaten oder sogar in ein paar Wochen voll einsatzbereit ist, kann es sein, dass sich die Softwarewelt bereits verändert hat. Möglicherweise werden neue Schwachstellen entdeckt und die ursprüngliche Softwareversion ist möglicherweise nicht mehr sicher.
Im Consumer-Bereich sind wir beispielsweise daran gewöhnt, dass wir unsere Smartphones und Computer beim Auspacken als Erstes aktualisieren, um sie auf den neuesten Stand zu bringen. Dieses Konzept fehlt im Anlagenbau häufig. Hier gilt es Lösungen zu finden, wie man über einen langen Zeitraum entwickelte und ausgelieferte Maschinen auf dem aktuellen Sicherheitsniveau hält. Das gilt nicht nur für Software-Updates, sondern auch für Dinge wie KI-Algorithmen, die Nutzer natürlich auf dem neuesten Stand halten möchten.
CT: Was denken Sie über die Umsetzung der NIS2-Richtlinie (Netzwerk- und Informationssicherheit) und des CRA (Cyber Resilience Act)? Ist es realistisch, dass Unternehmen die Anforderungen rechtzeitig umsetzen?
Nowey: Die Umsetzung der NIS2-Anforderungen ist sicherlich Neuland, insbesondere für viele kleine Unternehmen. Für ein international tätiges Unternehmen wie uns stellen die unterschiedlichen Durchsetzungsgesetze in den EU-Ländern eine große Herausforderung dar. Dennoch erwarte ich, dass die Mehrheit die Anforderungen umsetzen kann, zumal die meisten Unternehmen sie zunächst nicht testen. Für eine erfolgreiche Umsetzung in der Wirtschaft ist es wichtig, dass Gesetzgeber und Aufsichtsbehörden Unternehmen informieren und bei der Auslegung und Klärung von Vorschriften behilflich sind. Ich denke, das NIS 2 Impact Check-Tool der Federal Information Security Agency ist ein gutes Beispiel. Eine solche Unterstützung beseitigt die Unsicherheit und ermöglicht es Ihnen, sich auf das zu konzentrieren, worum es wirklich geht: die tatsächliche Verbesserung der Sicherheit Ihres Unternehmens.
Wir glauben, dass die CRA vor einer noch größeren Herausforderung steht. Die Anforderungen sind hier deutlich höher und die Umsetzungsfrist ist mit drei Jahren relativ kurz. Produkte, die sich derzeit in der Entwicklung befinden und bis Ende 2027 auf den Markt gebracht werden, müssen vollständig konform sein. Wenn eine Anlage mit einer bestimmten technischen Ausstattung im Jahr 2025 oder Anfang 2026 verkauft und Ende 2027 ausgeliefert wird, muss die Anlage bereits CRA-konform sein. Gerade für Maschinen- und Anlagenbauer halte ich das für äußerst schwierig. Denn zum einen muss die Produktentwicklung bereits auf neue Anforderungen ausgelegt sein, zum anderen müssen auch die von Zulieferern zugekauften Komponenten, wie zum Beispiel Industrie-PCs, ausgelegt sein. Auch Betriebssysteme, SPS und Sensoren müssen über entsprechende Sicherheitseigenschaften verfügen und über den gesamten Lebenszyklus gewährleistet sein.
