Startseite » Peripherie » Software »

„Aufmerksamkeit bietet den besten Schutz vor Hackern“

Heinz-Uwe Gernhard, Leiter des VDMA-Arbeitskreises Security
„Aufmerksamkeit bietet den besten Schutz vor Hackern“

OLYMPUS_DIGITAL_CAMERA
Heinz-Uwe Gernhard, Leiter des VDMA-Arbeitskreises Security.Bild: Bosch
Anzeige
Die Digitalisierung hat ihren Preis: Die Vernetzung von Menschen, Maschinen und Unternehmen erhöht nicht nur Produktivität und Nachhaltigkeit, sondern steigert auch das Risiko einer Cyberattacke. Erfolgsrezepte dagegen verrät Heinz-Uwe Gernhard, Leiter des VDMA-Arbeitskreises Security und im Hauptberuf bei Robert Bosch in Stuttgart zuständig für IT-Security.

mav: Herr Gernhard, hat das Bewusstsein für Cybersecurity zugenommen?

Gernhard: Ja, aber nicht in dem Ausmaß, das ich damals beim Start des Arbeitskreises Security im Jahr 2012 erwartet habe. Es besteht nach wie vor dringender Handlungsbedarf, denn Deutschland und die EU werden mit Gesetzen und Regelungen Maßnahmen zum besseren Schutz, auch der Produktion, vor Cyberangriffen einfordern. Ein Mittel zum Zweck ist sicherlich der Einsatz von zusätzlicher IT. Aber ohne das dazugehörige Wissen und die organisatorischen Fähigkeiten wird das allein nicht ausreichen, um für eine Erhöhung der notwendigen Sicherheit zu sorgen. Hilfreich in diesem Zusammenhang sind sicherlich die Bemühungen im Kontext von Industrie 4.0, aber dort ist Cybersecurity leider auch nur ein Thema von vielen.

Was empfehlen Sie einem Einsteiger?

Gernhard: Einfach anfangen und Vorsorge treffen, sowohl technisch als auch organisatorisch. Das ist genauso wie bei der alljährlichen Grippe-Epidemie. Das Risiko, sie zu bekommen, ist nun mal ohne Grippeschutzimpfung höher. In der heutigen vernetzten Welt ist keiner mehr vor einer Cyberattacke sicher. Hier muss ein Sinneswandel stattfinden.

Welche Maßnahmen sollten Unternehmen ergreifen, die sich jetzt mitten in der digitalen Transformation – Stichwort Industrie 4.0 – befinden?

Gernhard: Es ist eine klare und eindeutige Managementaufgabe. Die Verantwortlichen müssen die Risiken, die durch die Vernetzung drohen, ganz klar erkennen und Maßnahmen definieren. Mit Blick auf die Verfügbarkeit der Produktionstechnik müssen sie verstehen, dass ihnen erhebliche Schäden drohen. Davor ist auf Grund der Vernetzung niemand gefeit. Wer die Fachpresse verfolgt, findet immer wieder Nachrichten, wie zum Beispiel, dass eine Cyberattacke sogar die IT einer Spezialfirma für Sicherheits- und Steuerungstechnik weitestgehend lahmlegte. Die Firma hat diesen Vorfall publik gemacht. Das ist für mich richtig und wichtig, denn wir sitzen alle im selben Boot.

Doch noch ist Offenheit in Sachen Cyberattacken eher die Ausnahme: Inwiefern können Netzwerke wie der von Ihnen geleitete VDMA-Arbeitskreis Security dabei helfen – indem man untereinander offen über Cyberattacken spricht?

Gernhard: Wir gehen das Thema proaktiv an, in dem wir die Risiken klar adressieren und Hilfestellungen zu den vielfältigen Fragen bieten. Mir geht es insbesondere darum, dass wir über Verbandsgrenzen hinweg gemeinsam für Transparenz sorgen. Eine gute Ausgangsbasis bietet auch die Plattform Industrie 4.0 mit ihrem Link www.plattform-i40.de.

Manche Firmen beginnen nun ganz gezielt, bei ihren Mitarbeitern das Bewusstsein für Betrugsszenarien zu wecken. Was halten Sie von dem neuen Zauberwort Cyberresilienz, das gerade die Runde macht?

Gernhard: Das ist der richtige Weg, denn Aufmerksamkeit bietet für diese Bedrohungsart den besten Schutz. Das ist eine Fähigkeit, die jeder Anwender von Cybertechnologien besitzen sollte.

Wie beurteilen Sie den Stand der Sicherheits-IT?

Gernhard: Vergleichen wir es mit dem Verkehr. Ein Autofahrer brauchte im Jahr 1920 ein ganz anderes Risikobewusstsein als ein heutiger Pkw-Lenker, dessen Fahrzeug eine deutlich geringere Aufmerksamkeit erfordert, weil es ihm vieles abnimmt. Fahrzeuge und Infrastruktur machen das Autofahren heute sehr viel risikoärmer. Im Vergleich dazu ist der Reifegrad unserer gegenwärtigen IT in Bezug auf ihre inhärenten Risiken auf dem Stand eines Autos von 1920. Es erfordert vom Benutzer eine hohe Aufmerksamkeit und vielfältiges Wissen. Awareness oder auf gut Hessisch „uffpasse!“ ist aktuell ein zentrales Thema.

Ist das nicht Angstmacherei?

Gernhard: Nein, es ist keine Angstmacherei. Beispielhaft werden Szenarien im Roman Blackout von Marc Elsberg durchgespielt. Die technischen Aspekte darin sind eben keine Fiktion, sondern entsprechen den Realitäten und sind nur von ihm romanhaft und spannend verpackt worden. Hier wurde ja auch der Gesetzgeber mit dem IT-Sicherheitsgesetz Kritis aktiv, das sich gerade in Überarbeitung befindet.

Der IT-Experte Peter Turczak sagte im VDMA Magazin: „In eine Cloud würde ich niemals Daten ablegen, ohne die unser Betrieb stillstehen würde.“ Unternehmen benötigen aber Daten für die Umsetzung von Industrie 4.0 und müssen sie sicher speichern. Was gehört in die Cloud und was nicht?

Gernhard: Als Nachrichtentechniker sehe ich immer den Wettbewerb zwischen Bandbreite, Rechnerleistung vor Ort und natürlich den Kosten. Die Cloud bietet vielen eine zentralisierte Anwendung mit viel Rechenleistung, wenn die Bandbreite stimmt. Der Anwender muss die Art des Cloud-Einsatzes mit Blick auf seine Risikobereitschaft und Verfügbarkeitsanforderungen und seinen technischen und organisatorischen Fähigkeiten abwägen. Eine andere wichtige Frage ist natürlich das Vertrauen bzw. die Vertrauenswürdigkeit des Anbieters und deren Sicherstellung.

Es ist also eine Vertrauensfrage?

Gernhard: Genau, ich muss mich fragen, wem ich wie vertraue. Reichen im gegebenen Rechtsraum technische Maßnahmen, Verträge und Zertifizierungen von beteiligten Dienstleistern aus?

Viele Werkzeugmaschinen verfügen über Internetanschlüsse. Worauf sollten Messebesucher achten?

Gernhard: Es handelt sich hoffentlich nicht um einen offenen Internetanschluss, sondern um eine, auch hier wieder, vertrauenswürdige Verbindung. Fragen Sie hierzu nicht nur nach der technischen Lösung, sondern auch nach den organisatorischen Fähigkeiten des Anbieters. Technisch bieten sich private VPN-Netze mit entsprechender vertraglicher Absicherung an.

Wo findet der Anwender Hilfestellung?

Gernhard: Hilfe bietet die Norm ISO/IEC 62443, die im Teil 2 bis 4 mit den „Anforderungen an das IT-Sicherheitsprogramm von Dienstleistern für industrielle Automatisierungssysteme“ den Rahmen vorgibt, worauf er bei Angeboten achten sollte. Ansonsten sind Regelungen und Standards, auch wenn sie oft etwas spröde sind, hilfreich und zielführend.

VDMA
www.vdma.org


Zur Person

Heinz-Uwe Gernhard (Jahrgang 1957) wechselte als junger Diplom-Ingenieur (Nachrichtentechnik) nach seinem Studium an der TH Darmstadt 1983 als Entwickler zum Elektronikkonzern SEL. 1987 bis 2017 entwickelte er Steuerungstechnik bei der heutigen Bosch Rexroth Electric Drives and Controls GmbH in Erbach. Seit 2017 arbeitet der Diplom-Ingenieur im Zentralbereich IT Security and Application (C/TED1) bei der Robert Bosch GmbH in Stuttgart. Sein Spezialgebiet ist das Risikomanagement und IT-Security für die Fertigung.


Steffen Zimmermann, Leiter Competence Center Industrial Security beim VDMA. Bild: VDW

Cybersicherheit durch gezieltes Zusammenspiel

Informationstechnologien sind heute ein wichtiger Teil nahezu jeder Produktionsanlage. „IT macht Maschinen nicht nur schlau und interaktiv, sondern auch anfälliger für Cyberangriffe“, beobachtet Steffen Zimmermann, Leiter Competence Center Industrial Security beim VDMA. „Um hohe Maschinenverfügbarkeit und Integrität der Daten über den gesamten Produktlebenszyklus zu garantieren, bedarf es des Zusammenspiels der Anbieter von Automatisierungslösungen und Maschinen mit dem Betreiber der Anlage.“ Zudem müssten sich Betreiber darauf einstellen, dass die Gefahr einer Cyberattacke immer besteht. Daher sollten Betreiber mit grundlegenden Maßnahmen ihre Cyberresilienz sicherstellen, um die Auswirkungen eines Cyberangriffs zu verringern.

Den aktuellen Stand der Dinge vermittelte am 11. März 2020 der Cybersecurity-Kongress von VDW und VDMA auf der Metav 2020, bei dem das Zusammenwachsen von Office- und Produktionswelt im Mittelpunkt stand. Zu den Themen zählten unter anderem: Regulierung, Fernwartung/internationale Vernetzung, Live-Hacking und Basic-Maßnahmen zur Wiederherstellung eines IT-Netzwerkes.


Mehr zum Thema Industrie 4.0
Anzeige
Aktuelle Ausgabe
Titelbild mav Innovation in der spanenden Fertigung 10
Ausgabe
10-2020
LESEN
ABO
Newsletter

Jetzt unseren Newsletter abonnieren

Medizintechnisches Kolloquium 25.11.2020 | CHIRON Group

11. Medizintechnisches Kolloquium am 25.11.2020 bei der CHIRON Group – Jetzt anmelden und Ticket sichern!

Neue Fachzeitschrift additive

Trends

Aktuelle Entwicklungen in der spanenden Fertigung

Alle Webinare & Webcasts

Webinare aller unserer Industrieseiten

Alle Whitepaper

Whitepaper aller unserer Industrieseiten

Anzeige
Anzeige

Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de