Cybersicherheit im ZVEI

Das Querschnittsthema Cybersicherheit ist Chefsache im ZVEI: Alle ZVEI-Leitmärkte – von Industrie 4.0, über Energie und Gebäude bis hin zu Mobilität und Gesundheit – haben Initiativen zur Cybersicherheit etabliert. Gebündelt werden ihre Anliegen und Interessen im AK Cybersicherheit, geführt von Dr. Klaus Mittelbach, Vorsitzender der ZVEI-Geschäftsführung.

ZVEI-Sicherheitslagebild für die Elektroindustrie

Schwerpunkt der Arbeit des ZVEI zum Thema Cybersicherheit ist es, die Aufmerksamkeit für Cybersicherheit bei Unternehmen, Politik, Bürgern und Mitarbeitern zu verankern. „Datensicherheit gewährleisten“ ist auch eine der zentralen Handlungsempfehlungen aus der ZVEI-Innovationsstudie zur Digitalisierung in der Elektroindustrie. Denn nur, wenn Cybersicherheit und Datenschutz gewährleistet sind, entsteht das notwendige Vertrauen für die Möglichkeiten der Digitalisierung. Als Reaktion auf diese Handlungsempfehlung wurde daher bereits im vergangenen Jahr das Pilotprojekt „Sicherheitslagebild im Fachverband Automation“ erfolgreich abgeschlossen. Es zeigt: Nahezu jedes Unternehmen in der Automationsbranche ist mit kleineren und mittleren Angriffen konfrontiert, drei von zehn Unternehmen müssen regelmäßig schwere Vorfälle bewältigen. In Kürze wird das Lagebild der deutschen Elektroindustrie zur Cybersicherheit für alle ZVEI-Mitgliedsunternehmen veröffentlicht. Der ZVEI hat die Umfrage in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführt. Ziel ist es, auf diesem Weg die Aufmerksamkeit für das Thema Cybersicherheit in der Elektroindustrie zu erhöhen und es für Betroffene und die Öffentlichkeit verständlich zu machen. Denn wirksame Schutzmaßnahmen für Unternehmen und Produkte sind eine zentrale Voraussetzung, um datenbasierte Geschäftsmodelle und neue Kooperationen umsetzen zu können. Vielen Unternehmen fallen die Orientierung sowie erste Schritte bei dem Thema jedoch nicht leicht. Vor diesem Hintergrund soll die Informationslage verbessert und die Hilfestellungen für ZVEI-Mitgliedsunternehmen zielgerichteter aufgestellt werden. Erste Ergebnisse deuten auf ein gemischtes Bild hin: Positiv zeichnet sich ab, dass das Thema Cybersicherheit definitiv in der Branche angekommen ist – 88 Prozent der Teilnehmer geben an, dass dies ein Topthema der Geschäftsführung ist. Die Umfrage zeigt aber auch, dass weiterhin ein „Vertrauensproblem“ gegenüber den Ermittlungsbehörden besteht. So haben 75 Prozent der Teilnehmer angegeben, einen mutwillig verursachten Vorfall nicht zur Anzeige gebracht zu haben, da die Erfolgsaussichten als gering eingestuft werden.

Um gerade in Unternehmen mehr Cybersicherheit zu gewährleisten, braucht es eine Security-Kultur innerhalb der Branche. Erfahrungs- und Austauschkreise im ZVEI, aber beispielsweise auch die Allianz für Cyber-Sicherheit bieten hier passende Plattformen. Gerade kleine und mittlere Unternehmen können dort vom Expertenwissen profitieren.

Allianz für Cybersicherheit

Die Allianz für Cybersicherheit setzt sich dafür ein, dass Cybersicherheit – ebenso wie Umweltschutz, Compliance und CSR – fester Bestandteil der Unternehmensleitlinien wird. Denn sie schützt und erhält Unternehmens- wie Gesellschaftswerte gleichermaßen. Durch die Digitalisierung und die „Botnetz-Fähigkeit“ aller Dinge im Internet of Things trägt künftig jedes Unternehmen und jeder private Nutzer auch eine Cyber-Verantwortung für die Gesellschaft. Denn Angriffe, die mithilfe der Rechenleistung von beispielsweise vernetzten Kühlschränken erfolgen, sind nur möglich, wenn jedes einzelne dieser Geräte nicht gegen Cyberangriffe geschützt ist. Um dieser Verantwortung gerecht zu werden, ist ein Kulturwandel nötig. Wie beim Umweltschutz braucht dies Zeit. Entscheidend ist hier, den Menschen ins Zentrum des Ideenwandels zu stellen: Ein Umdenken beim Thema Cybersicherheit – im Gegensatz zu ausschließlich technischen Konzepten – ist der Schlüssel zum Erfolg. Der Faktor Mensch steht auch bei den Hilfestellungen der Allianz im Mittelpunkt. Informationen und Checklisten sind gut. Für die Zukunft sollte aber ein Weg gefunden werden, wie man im Bedarfsfall zusätzlich eine konkrete Einschätzung und Erste Hilfe von Mensch zu Mensch anbieten kann.

Fokus auf „Industrial Security“

Bei der Umsetzung von Cybersicherheitsmaßnahmen kommen konkrete Probleme und Nöte auf – auch gut gemachte Security-Standards lassen sich nicht ohne weiteres anwenden. Hinzu kommt, dass einige Maßnahmen der klassischen IT-Sicherheit nur bedingt bis gar nicht auf Maschinen, Produktionsanlagen und Industrieprodukte übertragbar sind. Beispiele sind das schwierige Management von Zertifikaten für Identitäten und Verschlüsselungen bei Maschinen oder gar einzelnen Komponenten. Der ZVEI und auch die Allianz für Cybersicherheit haben es sich zur Aufgabe gemacht, immer wieder die Nöte von Industrieanwendern zu erfragen – über traditionelle Umfragen hinaus – und genau darauf angepasst Unterstützung bereitzustellen. Industriepolitisch steht die Etablierung der „Industrial Security“ als Ergänzung zur auch für die Sicherheit im Produktionsumfeld sehr bedeutenden klassischen „IT-Security“ sowie die Gewährleistung der Vertrauenswürdigkeit in Zeiten globaler Wertschöpfungsbeziehungen im Mittelpunkt.

Newsgame „Hack the Factory“

Um mehr Aufmerksamkeit auf das Thema zu lenken, geht der ZVEI auch neue Wege: Auf der SPS Drives 2017 haben wir das Newsgame „Hack the factory“ präsentiert. Spieler schlüpfen in die Rolle des Hackers, können zwischen verschiedenen Zielen und Angriffsmethoden wählen und versuchen, ihre Spuren nach einem erfolgreichen Zugriff zu verwischen. So sammeln sie spielerisch Wissen über Cybersicherheit.

Ein europäischer Cyber-Vertrauensraum

Eine erhöhte Awareness für Cybersicherheit schützt nicht nur Privatanwender und Unternehmen, sondern ist auch Standortfaktor für Deutschland und Europa. Denn die Digitalisierung verschärft den internationalen Wettbewerb zwischen den USA, China und Europa bzw. Deutschland. Dieser wird jedoch nicht selbstverständlich mit fairen Mitteln ausgetragen. So deutet vieles darauf hin, dass gerade China Wettbewerb durch Streben nach Technologie-Vorherrschaft umgehen will: Einerseits forciert das Land seine Strategie, Hochtechnologie-Unternehmen anderswo zu übernehmen. Andererseits bricht es aus dem Konsens internationaler Normungsinstitutionen aus. Ein gemeinsames „Level Playing Field“ ist immer weniger zu erkennen. Deshalb ist es wichtig, in Europa die Initiative nicht aus der Hand zu geben. Ein erster Schritt dafür ist der am 13. September 2017 von der EU-Kommission veröffentlichte „Rechtsakt zur Cybersicherheit“. Dieser soll gewährleisten, dass künftig einheitliche europäische Cybersicherheit-Zertifizierungen entwickelt werden. Einen ähnlichen Ansatz verfolgt die Diskussion zum Gütesiegel für IT-Sicherheit in Deutschland. Die hier jeweils zugrunde liegende Zielstellung, Cybersicherheit einheitlich und mit Priorität zu behandeln, begrüßt der ZVEI ausdrücklich. Produktzertifikate sind dafür aber nicht der richtige Weg. Stattdessen bietet die fest etablierte Konformitätserklärung durch die Hersteller einen geeigneten kosteneffizienten und flexiblen Lösungsansatz. Warum ist das europäische Vorhaben nun von so überragender Bedeutung? Es erhöht die Anforderungen an Cybersicherheit und fördert – wenn richtig ausgestaltet – Innovationen und anwenderfreundliche Technologieentwicklung. Transparenz schafft Wettbewerb. Dabei sollte eine neue Basis-Cybersicherheit einheitlich als Level-Playing-Field für alle gelten. Gleichzeitig sollte genug Flexibilität vorhanden sein, dass sich jeder Hersteller am Markt differenzieren kann, wenn er zusätzliche Standards erfüllt. Das stärkt die Wettbewerbsfähigkeit Europas und kann dazu beitragen, dass europäische Unternehmen endlich zum globalen Leitanbieter von Security – insbesondere in der Industrial Security – werden. Damit kann dies Europas Antwort auf die USA und China sein: Die Bürger und Unternehmen bestmöglich schützen und unseren Vorteil als Industriestandort für die Cybersicherheit ausbauen. Klar ist, dass für dieses Vorhaben der europäische Digitale Binnenmarkt – gestaltet als gemeinsamer Vertrauensraum – die einzig sinnvolle Bezugsgröße sein kann. Einen solchen international kompatiblen Rahmen für Vertrauenswürdigkeit können jedoch nur Industrie und Politik gemeinsam erreichen: Hersteller müssen sich um Security-by-Design kümmern und auch die Qualität ihrer eigenen Drittprodukte, die sie vor allem im Softwarebereich einsetzen, intensiv abfragen. Gute und vertrauenswürdige Produkte können nur aus einem sicheren Entwicklungs- und Produktionsprozess heraus kommen. Hier müssen Politik und Wirtschaft über Standardisierung und Regulierung hinaus enger, flexibler und schneller zusammenarbeiten. Wenn eine solche Zusammenarbeit zwischen Industrie und Politik in mehr Bereichen und einem größeren Maßstab – z.B. in einer weiter gestärkten Allianz für Cybersicherheit, erreicht wird, ermöglichen wir einen europäischen Cyber-Vertrauensraum, mit dem wir die Konkurrenz der USA, China und auch Israel nicht zu scheuen brauchen.