Die EU hat kürzlich neue Richtlinien zur Stärkung der Cybersecurity eingeführt, wie den Cyber Resilience Act (CRA) und die NIS-2-Direktive. Welche konkreten Pflichten kommen speziell auf Automatisierer zu?

Dr. Tebbe: Automatisierer stehen vor der Herausforderung, sowohl den CRA als auch die NIS-2-Richtlinie zu erfüllen. Hierbei zielt der CRA darauf ab, vernetzte Produkte während ihres gesamten Lebenszyklus vor unbefugtem Zugriff und Manipulation zu schützen. Ein wichtiger Baustein ist dabei die zeitnahe Bereitstellung von Security Updates. Die NIS-2 erweitert die Vorschriften der bestehenden NIS-1 und verpflichtet Unternehmen, je nach Kategorie und Branche, zu einem wirksamen Risikomanagement für den Betrieb ihrer digitalen Infrastruktur und Dienstleistungen. Ähnlich wie beim CRA müssen zudem signifikante Cybervorfälle an nationale Stellen gemeldet werden. Dies bedeutet, dass wir als Hersteller und Systemintegratoren sowohl unsere Infrastruktur als auch unsere Produkte und Systeme umfassend auf Sicherheitslücken prüfen und entsprechende Sicherheitsmaßnahmen implementieren müssen. Dies geht oftmals mit langwierigen Entwicklungszeiten einher. Außerdem müssen wir sicherstellen, dass unsere Lieferanten ebenfalls diese hohen Standards einhalten, was eine enge Zusammenarbeit und regelmäßige Audits erforderlich macht.

Wie setzt Wago die neuen Anforderungen um und welche Rolle nimmt dabei die internationale Normenreihe IEC 62443 für die Cybersecurity in der Industrieautomation ein?

Dr. Tebbe: Wago betreibt bereits seit langem ein ISMS – ein Information Security Management System – auf Basis des internationalen Standards ISO 27001 und ist damit gut auf die Anforderungen der NIS-2-Direktive vorbereitet. Für die Produktentwicklung haben wir ein ganzheitliches Sicherheitskonzept etabliert, das auf der internationalen Normenreihe IEC 62443 basiert und zertifiziert ist. Diese Norm ist ein wichtiger Standard für die Cybersecurity von industriellen Automatisierungs- und Steuerungssystemen und umfasst grundlegende Maßnahmen zur Risikovermeidung: Dazu gehören zum Beispiel die Verwendung von Trust Zones, Defense-in-Depth-Ansätzen, Least-Privilege-Prinzipien sowie das Management von Schwachstellen. Diese Maßnahmen helfen uns, die Sicherheitsanforderungen der neuen EU-Richtlinien zu erfüllen und unsere Produkte während ihres gesamten Lebenszyklus optimal zu schützen.

In Zukunft erhalten Produkte, die unter den Cyber Resilience Act fallen, kein CE-Kennzeichen mehr, wenn sie nicht die gesetzlichen Anforderungen erfüllen. Welche Produktklassen betrifft dies?

Dr. Tebbe: Der CRA ist eine horizontale Regulierung und trifft somit auf beliebige Klassen von Produkten zu, die eine digitale Komponente oder ein digitales Bauteil integriert haben. Ausnahmen gibt es nur wenige, etwa für Medizintechnik oder Kraftfahrzeuge, da diese speziell reguliert sind. Somit fallen Haushaltsgeräte, Smartphones oder Spielzeug ebenso unter den CRA wie industrielle Steuerungen und Software-Anwendungen. All diese Produkte müssen also künftig auch konform zum CRA sein, um ein CE-Zeichen zu erhalten und auf dem europäischen Markt in Verkehr gebracht werden zu dürfen. Besonders wichtige oder kritische Komponenten müssen stets durch eine akkreditierte Prüfstelle auf Konformität geprüft werden. Dies soll nach Planung der EU jedoch nur für wenige Produkte gelten, die in der Regel Security-Funktionen realisieren oder unterstützen. Für alle anderen Produkte reicht eine Selbstbeurteilung aus, beispielsweise auf Basis eines harmonisierten Standards. Ein Kandidat für einen solchen harmonisierten Standard ist die zuvor erwähnte IEC 62443. Das Vorgehen gemäß IEC 62443-4-1 und -4-2 adressiert die Pflichten aus dem CRA über den gesamten Produktlebenszyklus und umfasst die Prinzipien Secure-by-Design, Secure-by-Implementation und Secure-by-Default. Erst nach bestandener Prüfung wird das CE-Zeichen angebracht und abschließend die Konformitätserklärung im Rahmen der EU-Richtlinien verfasst.

Das Sicherheitskonzept nach IEC 62443 von Wago umfasst unter anderem sichere Netzwerke, Informationsschutz, Benutzer-Authentifizierung und Schwachstellenmanagement.

© Wago

Welchen Stellenwert nimmt das Product Incident Response Team – PSIRT – bei Wago mit Blick auf die ganzheitliche Cybersecurity ein?

Dr. Tebbe: Das Schwachstellenmanagement ist bei uns bereits seit vielen Jahren fest verankert. Unser PSIRT fungiert als zentrale Anlaufstelle für Schwachstellenmeldungen in unseren Produkten und Lösungen. Ziel ist es, unsere Kunden dabei zu unterstützen, ihre Anwendungen und Prozesse bestmöglich zu schützen. Das Team bewertet potenzielle Schwachstellen, berät sich mit relevanten Stakeholdern wie der Entwicklungsabteilung und dem Produktmanagement und leitet notwendige Maßnahmen wie Handlungsempfehlungen, Updates oder Patches ein. Ein Beispiel für unsere Arbeit ist die Behebung einer Schwachstelle, die wir mit dem Unternehmen Intilion bei Switches behoben haben, die in Batteriespeichern eingesetzt waren. Dank der strukturierten Prozesse des PSIRT konnten wir die potenzielle Angriffsfläche schnellstmöglich eliminieren. Unser Team arbeitet kontinuierlich daran, diese Prozesse auf alle neuen und bestehenden Produkte auszuweiten.

Wie erfahren Kunden, ob und in welchen Produkten ein Gefährdungspotenzial vorliegt?

Dr. Tebbe: Bei der Koordinierung und Veröffentlichung von Informationen gehen wir nicht allein vor, sondern werden durch unseren Koordinationspartner, den CERT@VDE als Teil des Verbands Deutscher Elektrotechniker, unterstützt. Der CERT@VDE informiert über Fehlerbehebungen und Sicherheitslücken durch sogenannte Advisories und bietet zusätzlich auch einen RSS-Feed an. Um die Informationssicherheit als kritischen Erfolgsfaktor für Industrie 4.0 und Digitalisierung zu stärken, hat der VDE eine IT-Sicherheitsplattform etabliert. Diese Plattform dient als zentrale Anlaufstelle für Kunden, indem sie Sicherheitslücken verschiedener Unternehmen bündelt und konkrete Lösungsmaßnahmen bereitstellt.

Ganzheitliche Cybersecurity: Durch die Partnerschaft mit dem OT-Security-Spezialisten Radiflow implementiert Wago innovative Lösungen zur Echtzeitüberwachung und Sicherheitslückenanalyse.

© Wago

Was raten Sie Unternehmen, bei der Umsetzung von Security-Maßnahmen zu beachten, und wie unterstützen Sie dabei?

Fröhlich: Unternehmen sollten sowohl ihre OT- als auch IT-Netzwerke im Blick behalten und ein umfassendes Sicherheitskonzept implementieren, so wie es auch die NIS-2 Direktive fordert. Wago bietet hierzu Beratungsdienstleistungen im Bereich der OT-Security an, die durch eine Kombination aus Hard- und Softwarelösungen ergänzt werden. Ein Beispiel hierfür ist unsere Partnerschaft mit Radiflow, um weltweit umfassende OT-Sicherheitslösungen anzubieten, die auf die individuellen Bedürfnisse spezieller Märkte wie Smart Factory, Smart Building oder auch Smart Energy zugeschnitten sind. Durch unser Know-how in der industriellen Automatisierung und Radiflows Expertise im Bereich der OT-Cybersicherheit können wir ein ganzheitliches Security Consulting bereitstellen und helfen unseren Kunden dabei, OT-Netzwerke so sicher wie möglich zu gestalten.

Können Sie ein Beispiel für das Zusammenspiel der Radiflow-Softwarelösungen und Ihren Produkten beziehungsweise Lösungen nennen?

Fröhlich: Unsere Kundenberatung teilen wir in zwei Phasen auf, um die Angriffsvektoren in Kundennetzwerken systematisch zu verkleinern. In der ersten Phase liegt der Fokus auf der Netzwerküberwachung und Detektion von Anomalien. Auf dieser Basis kann in der zweiten Phase eine größtenteils automatisierte Risikobewertung und Ableitung von Maßnahmen durchgeführt werden. Ein gelungenes Beispiel für die erste Phase der Zusammenarbeit ist die nahtlose Integration von Radiflows iSID in die Wago Softwarelandschaft. Dieses vollumfängliche Intrusion-Detection-System läuft auf unseren Edge Devices und wird bei uns als Wago Cybersecurity Network Sight bezeichnet. In großen Netzwerken erleichtern spezielle Netzwerk-Taps, die Wago Cybersecurity Collectors, die Überwachung. Zudem können die erhobenen OT-Daten auch für das Asset Management genutzt werden – nach dem Motto: „Man kann nur das schützen, was man kennt.“ So reduzieren wir den manuellen Aufwand und die Personalkosten unserer Kunden.
 

Wie lassen sich Bedrohungen in der OT-Umgebung erkennen und minimieren?

Fröhlich: Unternehmen sollten ihre aktuellen OT-Sicherheitsmaßnahmen überprüfen und eine umfassende Risikobewertung vornehmen. Basierend auf Radiflows ‚Ciara‘ bieten wir mit Wago Cybersecurity Analysis ein Tool, das dem Endkunden ermöglicht, Be-drohungen zu identifizieren, Risiken zu bewerten und gezielte Sicherheitsmaßnahmen wie Netzwerksegmentierung umzusetzen. Dies ermöglicht eine effiziente Risikominderung. Die Plattform unterstützt Kunden zudem bei der kontinuierlichen Überwachung und Anpassung der Sicherheitsstrategie, um Konformität mit internationalen Standards wie NIST, IEC 62443 und ISO 27001 sicherzustellen. Dies ist besonders wichtig für Unternehmen, die in stark regulierten Branchen tätig sind.
 

Zwischen dem CRA und der NIS-2-Direktive bestehen enge Wechselwirkungen, da sie sowohl Produkte für Endverbraucher als auch industrielle Komponenten in kritischen Infrastrukturen betreffen.

© Wago

Wie lassen sich die in den Analysen gewonnenen Erkenntnisse am besten umsetzen?

Fröhlich: Ein großer Vorteil ist die einheitliche Berichterstattung: Wago Cybersecurity Analysis bietet detaillierte Analysen und ein intuitives Dashboard, das den aktuellen Sicherheitsstatus des Netzwerks übersichtlich darstellt. Die Erkenntnisse aus den Analysen sollten in konkrete Sicherheitsmaßnahmen überführt und zum Beispiel durch robuste Strategien für Netzwerksegmentierung umgesetzt werden: Dazu gehören unter anderem die Härtung von Systemen, die Implementierung von Sicherheitsupdates und Patches sowie die Anpassung von Netzwerkkonfigurationen. Unternehmen können die in den Analysen gewonnenen Erkenntnisse somit nutzen, um ihre Sicherheitsstrategie kontinuierlich zu überwachen und bei Bedarf anzupassen. Unser Security-Consulting- Team hilft dabei, Maßnahmen zu ergreifen, um die Sicherheit von industriellen Steuerungssystemen zu gewährleisten.

Wie sieht die weitere Roadmap in Bezug auf die Partnerschaft mit Radiflow aus?

Fröhlich: Wir planen, die Partnerschaft weiter auszubauen und unsere gemeinsamen Sicherheitslösungen kontinuierlich zu verbessern. Neben den vier bereits abgestimmten Produkten werden weitere folgen, wie zum Beispiel der Active Scanner, der die gezielte Suche von Schwachstellen in einzelnen Geräten ermöglicht. Außerdem ist eine Erweiterung unseres Switch- und Routerportfolios geplant, das ebenfalls nach IEC 62443 zertifiziert ist. Hier könnten Alarmmeldungen aus iSID in Firewall-Regeln münden.

Für manche klingt all dies nach einem extrem hohen Aufwand. Was würden Sie diesen Unternehmen raten?

Fröhlich: Auf den ersten Blick klingt die Umsetzung dieser Sicherheitsmaßnahmen sehr umfangreich. Dennoch ist es entscheidend, proaktiv zu handeln, um langfristige Schäden und Ausfallzeiten zu vermeiden. Daher raten wir Unternehmen, schrittweise vorzugehen, indem sie zunächst die größten Sicherheitslücken schließen und dann kontinuierlich weitere Maßnahmen implementieren. Hier ist es wichtig, in erster Linie zu schauen, was sich überhaupt im Netzwerk befindet – denn was ich sehe, kann ich gleichzeitig besser schützen.