Michael Jochem, Chief Digital Officer für Industrietechnik Bosch, und Arne Schönbohm, Leiter Bundesamt für Sicherheit in der Informationstechnik (BSI) über das Thema Cybersicherheit.

Auf Nummer sicher

Im industriellen Internet der Dinge kann alles mit allem verknüpft werden: vom Computer zur Fabrikplanung über einzelne Maschinen, Industrieroboter und Werkstücke in der Produktion bis hin zu Smartphones und Tablets oder autonom fahrenden Transportsystemen. Mehr als 25 Milliarden Geräte weltweit sind heute schon vernetzt, im Jahr 2025 sollen es über 70 Milliarden sein. Doch wie steht es dabei um die Cybersicherheit? Stellung dazu nehmen Michael Jochem, Vorsitzender des Arbeitskreises Cybersicherheit im ZVEI und Chief Digital Officer für Industrietechnik bei Bosch, und Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik.

 
 
Wie groß ist die Bedrohung für die deutsche Wirtschaft?

Michael Jochem: Das Internet der Dinge oder Internet of Things (IoT) ist längst ein fester Bestandteil unseres Alltags. Cybersicherheit ist für das IoT eine wichtige Voraussetzung. Zwar ist Cybersicherheit schon seit mehr als 20 Jahren in der Office-IT ein Thema, ihre Relevanz für Produktionsnetzwerke gewinnt aber erst in den letzten Jahren an Bedeutung. Lange Zeit betrachtete man Produktionsanlagen eher abgekoppelt von Office-IT-Netzwerken. Das hat sich inzwischen geändert. Die Anlagen sind Teil eines Gesamtsystems. Bei Industrie 4.0 verschmelzen Informationstechnik (IT) und Operation Technology (OT), bestehend aus Hardware, Software und Maschinensteuerung. Während sich Grundlagen und „Werkzeuge“ in der IT- und Softwareentwicklung rasant verändern, sind Anlagen in Fabriken meist auf viele Betriebsjahre ausgelegt. Und es ist nicht so einfach, neue Steuerungssysteme zu installieren, die besser gegen Angriffe schützen. Dieses Spannungsfeld gilt es zu berücksichtigen. Es stellt sich immer wieder die Frage, wie jedes einzelne Produkt in der vernetzten Welt gegen Angriffe geschützt werden kann. Cybersicherheit spielt eine zentrale Rolle: Das schwächste Glied in der Kette bestimmt, wie widerstandsfähig der gesamte Prozess ist. Das gilt erst recht für Produkte, die in kritischen Infrastrukturen eingesetzt werden und deren Ausfall, Störung oder Manipulation die Vertraulichkeit, Verfügbarkeit oder Integrität des jeweiligen Systems gefährden würde.

 

Arne Schönbohm: Für viele Industrieunternehmen war Vernetzung und Digitalisierung tatsächlich „Neuland“. Viele Maschinen und Produktionsanlagen waren nicht dafür gedacht, vernetzt oder aus der Ferne gewartet zu werden. Cybersicherheit spielte somit keine große Rolle. Die Standardempfehlungen, die sich im Büroumfeld etabliert haben, sind nicht eins zu eins auf die Produktionswelt übertragbar. Man stoppt nicht einfach eine Industrieanlage, nur um ein Software-Update einzuspielen – jedenfalls nicht ohne genau zu wissen, ob die Anlage danach auch noch so funktioniert, wie sie soll. Aber: Die Gefährdungslage ist auf hohem Niveau angespannt, es gibt täglich hunderttausende neue Schadprogrammvarianten. Wir haben in den letzten Jahren erlebt, was Schadprogramme wie WannaCry, NotPetya oder Ransomware anrichten können. Deswegen kommen Unternehmen nicht umhin, sich um die Cybersicherheit zu kümmern und angemessene Maßnahmen zu ergreifen, schon aus eigenem Interesse angesichts einer hohen Gefährdungslage. Das BSI steht dabei unterstützend mit Rat und Tat zur Seite, etwa durch IT-Grundschutz-Profile mit konkreten Empfehlungen für bestimmte Branchen oder auch mit den Angeboten der Allianz für Cyber-Sicherheit, die sich mit rund 4.500 Teilnehmern als wirksame Plattform für mehr Cybersicherheit in der Wirtschaft etabliert hat.

„Das schwächste Glied in der Kette bestimmt, wie widerstandsfähig der gesamte Prozess ist. Das gilt erst recht für Produkte, die in kritischen Infrastrukturen eingesetzt werden.”

Michael Jochem, Chief Digital Officer für Industrietechnik, Bosch

Wie weit sind die Unternehmen beim Thema Cybersicherheit?

Michael Jochem: Viele Unternehmen, darunter auch Bosch, haben schon vor mehr als zehn Jahren damit begonnen, das Bewusstsein für Cybersicherheit in der Wirtschaft zu schärfen. In den ersten Jahren haben wir beim ZVEI verstärkt auf „Awareness“-Kampagnen gesetzt. Das allein reichte aber nicht aus. Wir benötigen bindende Mindeststandards und Vorgaben. Im ZVEI haben wir 2018 entschieden, den Schritt hin zu einer gesetzlichen Regulierung zu unterstützen. Wir müssen ein einheitliches Spielfeld für alle Akteure im europäischen Binnenmarkt entwickeln. Das Verfahren zur CE-Kennzeichnung kann als Vorbild dienen. 

Arne Schönbohm: Eine pauschale Antwort ist hier kaum möglich. Es gibt viele Unternehmen, die sehr viel für die Absicherung ihrer Geschäftsprozesse, Systeme und Daten tun. Andere wiederum haben noch Nachholbedarf. Für alle gilt: Die Digitalisierung kann nur dann erfolgreich sein, wenn man die Informationssicherheit nicht vernachlässigt. Dieser Ansatz hat sich noch nicht in allen Chefetagen durchgesetzt.

Brauchen wir mehr Reglementierung?

Michael Jochem: Die Herausforderungen sind groß, die Entwicklungen in der Branche sehr dynamisch. Allein die Unternehmen der deutschen Elektroindustrie bringen jedes Jahr eine sechsstellige Anzahl internetfähiger Produkte auf den Markt. Im ZVEI arbeiten wir an Vorschlägen für einen neuen Rechtsrahmen, der in Produktregulierungen der EU einfließen kann. Dabei ist es nicht sinnvoll, Cybersicherheit nachträglich in bestehende Richtlinien, beispielsweise für Funkanlagen, Maschinen oder Medizinprodukte, zu integrieren. Das Angleichen verschiedenster Regularien ist zu komplex. Eine übergreifende verbindliche Vorgabe für Cybersicherheit, wie sie uns vorschwebt, erfasst alle vernetzbaren Produkte, auch die, die bislang nicht Teil bestehender Richtlinien sind. Cybersicherheit ist ein Wettlauf, ein Prozess, bei dem wir kontinuierlich Systeme und Produkte beobachten, kontrollieren und Schwachstellen umgehend beheben müssen. Stets geht es um einen Mix aus Prävention, der Detektion von Angriffen und einer adäquaten Reaktion.

Arne Schönbohm: Wenn es um das Gemeinwohl geht, dann hat der Staat eine Verantwortung, die er auch wahrnimmt. Durch das IT-Sicherheitsgesetz von 2015 wurde der Schutz kritischer Infrastrukturen verbessert. Durch IT-Grundschutz-Profile haben wir auch kleinen Unternehmen und Handwerksbetrieben konkrete Hilfestellungen gegeben und den Einstieg in die Cybersicherheit ermöglicht. Die Digitalisierung kann nur gelingen, wenn Anwenderinnen und Anwender Vertrauen in neue Technologien entwickeln und diese zu ihrem Nutzen sicher einsetzen können. Dieses Vertrauen kann dadurch entstehen, dass die eingesetzten Produkte und Dienstleistungen von einer neutralen Instanz überprüft und zertifiziert werden. Im Bereich der Standardisierung haben wir bereits einiges erreicht, wir müssen uns aber auch weiterhin gemeinsam mit der Wirtschaft auf Standards verständigen, die ein Sicherheitsniveau definieren, das nicht unterschritten werden sollte. Daran arbeiten wir intensiv und tauschen uns dazu auch mit Verbänden wie dem ZVEI regelmäßig aus.

„Viele Hersteller haben bereits erkannt, dass die Sicherheit ihrer Produkte durchaus ein Verkaufsargument sein kann. Mit dem geplanten IT-Sicherheitskennzeichen gehen wir in diese Richtung.”

Arne Schönbohm, Leiter Bundesamt für Sicherheit in der Informationstechnik (BSI)

Was ist der Preis für Cybersicherheit?

Michael Jochem: Mit Cybersicherheit verdienen Hersteller zunächst kein Geld, vielmehr entstehen mit Sicherheit erst einmal Kosten. Das erklärt eine gewisse Zurückhaltung. Aber langfristig rechnet sich das Engagement. Wir minimieren finanzielle und wirtschaftliche Risiken, gleichzeitig stiften wir Vertrauen. Cybersicherheit trägt also zu nachhaltigen Kundenbeziehungen bei. Doch nicht in allen Ländern sind bereits so viele Initiativen gestartet worden wie in Deutschland. Deshalb ist es umso wichtiger, dass wir in der EU vorangehen und eine für alle gangbare Lösung finden. Vernetzung macht weder vor Fabriktoren noch an Ländergrenzen Halt. Ich bin überzeugt: Eine umfassende und vorausschauende Cybersicherheit ist ein Erfolgsfaktor und stärkt die Wettbewerbsfähigkeit von Unternehmen. Und das muss unser Ziel sein.

Arne Schönbohm: Informationssicherheit sollte Bestandteil eines umfassenden Risikomanagements sein. Unternehmen, die digitalisieren wollen, werden dies nur erfolgreich tun können, wenn sie die Informationssicherheit angemessen berücksichtigen. Investitionen in die IT-Sicherheit sind ein wichtiger Beitrag für den Geschäftserfolg des Unternehmens. Viele Hersteller haben bereits erkannt, dass die Sicherheit ihrer Produkte durchaus ein Verkaufsargument sein kann. Mit dem geplanten IT-Sicherheitskennzeichen gehen wir in diese Richtung. Es soll Verbrauchern ermöglichen, die Sicherheitseigenschaften eines Produkts besser einschätzen zu können und in die Kaufentscheidung mit einzubeziehen.

Text: Marc-Stefan Andres | Illustration: Carina Crenshaw

 

Seit der Erstausgabe von AMPERE führt die Redaktion Doppelinterviews, die in der Rubrik „Standpunkte“ erscheinen. Dieses Mal ist es uns aufgrund von Coronabedingten Widrigkeiten nicht gelungen, beide Gesprächspartner an einen Tisch zu bringen. Wir haben daher Michael Jochem und Arne Schönbohm unabhängig voneinander befragt.

 

Dieser Artikel erscheint in der Ausgabe 4.2020 am 17. November.


ampere

Das Magazin der Elektro- und Digitalindustrie

Mit dem Magazin der Elektro- und Digitalindustrie ampere, das zwei Mal im Jahr erscheint, schaut der Verband über den Tellerrand der Branche hinaus.

Jede Ausgabe von ampere setzt sich kontrovers und informativ mit Themenschwerpunkten der Elektroindustrie auseinander, die aus unterschiedlichen Perspektiven beleuchtet werden. Der Verband will mit dem Magazin den Dialog mit Entscheidungsträgern aus Politik, Wirtschaft, Wissenschaft und Gesellschaft stärken.