Was genau bedeutet die Zertifizierung nach IEC 62443-4-1?

Herbert Hufnagel: IEC 62443 ist die etablierte internationale Cybersecurity Norm für den Industriesektor, die mehrere Subnormen umfasst. IEC 62443-4-1, nach der TTTech Industrial zertifiziert wurde, bezieht sich auf sichere Produktentwicklung und Lebenszyklen. Das ist quasi der Rahmen – die Subnorm definiert die Grundlagen für Security-Prozesse wie zum Beispiel Risikoanalysen, Dokumentation, und Tests. Das muss im Unternehmen erst einmal etabliert werden und auch die Mitarbeiterinnen und Mitarbeiter müssen diese Prozesse leben – das geht nicht von heute auf morgen, sondern dauert ein bis zwei Jahre.

Die Umsetzung der Prozesse werden im Rahmen der Zertifizierung durch ein Institut wie zum Beispiel TÜV Austria geprüft und bestätigt – dazu gibt es Schulungen, regelmäßige Analysen und Tests. Das ist dann die Basis auf Unternehmensseite und darauf aufbauend kann man sich die einzelnen Produkte anschauen. In unserem Fall geht es um unsere IIoT-Plattform ‚Nerve‘, die wir nach der Subnorm IEC 62443-4-2 zertifizieren lassen werden; dann können unsere Kunden ihre Applikation auf eine zertifizierte Basis aufsetzen, die sie dann ihrerseits leichter zertifizieren können.

Können Sie kurz die Zusammenhänge der Prozess- und Produktzertifizierung erläutern?

Während der Covid-19-Pandemie gab es einen großen Sprung bei der Vernetzung industrieller Systeme und das hat leider auch sehr viele Cyberattacken in der Industrie mit sich gebracht. Deswegen ist Cybersecurity auch für uns als Lieferant von großer Bedeutung, denn letztlich ist es ein Thema, das die ganze Lieferkette betrifft. Wenn eine Firma, die wir beliefern, die NIS2-Richtlinie umsetzen muss, dann hat sie natürlich auch die Anforderung an ihre Lieferanten, dass diese die Vorgaben der Richtlinie erfüllen können. Wir wollten das für unsere Kunden möglichst rasch anbieten können.

Daher streben wir auch die IEC 62443-4-2 Zertifizierung von Nerve im nächsten Jahr an: Auch auf Produktlevel gibt es laut der Norm sehr genaue Definitionen und Prozesse, die eingehalten werden müssen. Wir haben bereits Cybersecurity-Features in ‚Nerve‘ integriert, diese überarbeiten und vervollständigen wir – danach erfolgt die Prüfung vom TÜV Austria.

Die Plattform wurde 2016 gelauncht und wird kontinuierlich weiterentwickelt. Welche Veränderungen bzw. Funktionen kommen auf Nerve-Anwender aufgrund der Zertifizierung zu?

Nerve ist eine IIoT-Plattform für Maschinenbauer, die skalierbares, in der Cloud gemanagtes Edge Computing bietet – quasi eine Software-Infrastruktur für die Fertigung und die Cloud, mit der Unternehmen ihre IIoT-Projekte umsetzen können.

Wir haben bereits heute Cybersecurity Features in Nerve integriert. Mit der Produktzertifizierung können wir Kunden dann garantieren, dass wir ihnen ein sicheres System liefern. In der Handhabung verändert sich mit der Zertifizierung an der einen oder anderen Stelle etwas – wenn beispielsweise Authentifizierungen bei gewissen Funktionen notwendig sind.

Cybersecurity ist in aller Munde, doch in der Umsetzung hakt es oftmals. Was empfehlen Sie potenziellen Kunden generell auf dem Weg hin zu mehr Cybersecurity?

»Cybersecurity-Lösungen auf Unternehmensebene«

Die Umsetzung ist auf jeden Fall ein Thema – man muss Ressourcen, unter anderem geschultes Personal, bereitstellen und sich auf eine Vorlaufzeit einstellen.

Industrielle Cybersecurity-Lösungen müssen nicht nur netzwerkbasierte Security und Nutzer-Authentifizierung beinhalten, sondern das Thema ganzheitlich auf Unternehmensebene angehen. Es nützt letztlich nichts, wenn der web-basierte Zugriff auf eine Maschine gesichert ist, Personen aber unkontrolliert aufs Firmengelände gelangen und direkt auf die Maschine zugreifen können.

Um Cybersecurity zu gewährleisten, muss ein Unternehmen daher seine Prozesse überdenken und möglichst sicher gestalten – hier muss man Zeit investieren. Lösungen wie ‚Nerve‘ können aber dabei helfen, einzelne Bereiche in diesem Gesamtkonzept abzudecken und die Umsetzung bzw. die Implementierung verkürzen und erleichtern. Man kann sich aber auch Hilfe bei der Erstellung eines Konzepts holen – TTTech Industrial arbeitet hier auch mit Partnern zusammen, die Kunden auf ihrem Weg zu einer sicheren Digitalisierung ihres Unternehmens unterstützen können.