Für Maschinen- und Anlagenbauer bieten Hersteller, deren Portfolio Security-Dienstleistungen enthält, bedeutende Vorteile. Arno den Elzen, Business Development Manager Network Security Service bei Rockwell Automation, betrachtet dazu im Interview wirtschaftliche, personelle und technologische Aspekte.

Sind deutsche Unternehmen ausreichend auf mögliche Cyber-Attacken vorbereitet und reichen deren Schutzmaßnahmen aus? 

den Elzen: Zum jetzigen Zeitpunkt kann man diese Frage noch nicht für die gesamte Industrie und alle deutschen Unternehmen beantworten. Was wir allerdings tatsächlich beobachten können ist, dass das Thema Cybersecurity offenkundig stärker in den Unternehmensfokus gerückt ist. Immer mehr Unternehmen haben in den letzten Jahren stärker in umfassende Cybersecurity-Lösungen investiert. Wir merken auch anhand der Nachfrage, dass die digitale Sicherheit mittlerweile beginnt den Stellenwert einzunehmen, den sie auch verdient.

Insbesondere bei Unternehmen, die beispielsweise der Energie- und Versorgungsbranche angehören, können wir dies noch stärker als im Branchendurchschnitt beobachten. Da solche Unternehmen zur kritischen Infrastruktur zählen, ist es hier besonders wichtig, dass der Betrieb der Anlagen gewährleistet ist und keine Ausfälle durch Cyberattacken entstehen. Besonders diese Unternehmen sind alleine schon aufgrund gesetzlicher Bestimmungen dazu verpflichtet sich Gedanken darüber zu machen, wie ihre Anlagen problemlos funktionieren können.

Wir sprechen bei Cyberattacken aber nicht nur von Produktions- und Betriebsausfällen, sondern auch von Datenklau und potentiell lebensbedrohlichen Manipulationen. Deswegen greifen die genannten gesetzlichen Bestimmungen auch für Unternehmen in der Pharma- und Lebensmittelindustrie. Cybersecurity muss hier ein grundlegender Bestandteil der digitalen Architektur sein.

Als Grundlage der Investitionen in die Cybersecurity sollten im Wesentlichen die Richtlinien, die in der internationalen Normenreihe IEC 62443 festgelegt sind, gelten. Diese beachten wir bei Rockwell Automation selbstverständlich auch bei jedem Projekt, das wir gemeinsam mit Betreibern und Verantwortlichen planen und durchführen.

Unabhängig vom Budget, welche drei Security-Maßnahmen sollten Unternehmen zwingend umsetzen, um sich vor Cyber-Attacken zu schützen?

den Elzen: Aus unserer Erfahrung sind Risk Management, genaue Evaluation und Erkenntnis der installierten Basis sowie ein geordnetes Change Management mit Blick auf die eigenen Mitarbeiter und übergeordnete Strategien die wichtigsten Punkte, die Unternehmen beachten müssen.

Kritische Komponenten, die innerhalb einer Anlage besonders exponiert oder für den Betrieb essentiell sind, müssen eindeutig identifiziert werden. Für diese muss danach eine genaue Definition aller erforderlichen und notwendigen Schutzmaßnahmen erfolgen.

Zudem sollten Unternehmen sich einen klaren Überblick über alle Komponenten innerhalb der Anlage verschaffen und wissen, welche Geräte im produktionsnahen Umfeld eingesetzt werden. Dabei gilt es besonders auf das Patch-Management zu achten und hierbei auch Systeme zu berücksichtigen, die nicht auf Windows basieren.

»IIoT-Teams für ein solides Change Management«

den Elzen: Viele Unternehmen unterschätzen auch den Einfluss ihrer Mitarbeiter auf die eigene Cybersecurity. Rund 60 Prozent aller relevanten Vorfälle auf diesem Gebiet entstehen durch Unachtsamkeit oder schlicht mangelnde Kenntnisse rund um die notwendige Cyber-Hygiene. Teil eines soliden Change-Management kann an dieser Stelle auch sein, eigene IIoT-Teams zu bilden, die sowohl aus der IT als auch aus der Produktion stammen. Aus dieser Verschmelzung von OT und IT können Richtlinien für das gesamte Unternehmen hervorgehen, die die Cybersecurity stärken ohne Produktionsabläufe zu erschweren.

Stichwort Security als Dienstleistung: Sollte die Fertigungs- und Prozessindustrie Managed Security Services in Betracht ziehen?

© Rockwell Automation

den Elzen: Ich würde sogar soweit gehen zu sagen, dass dieser Schritt und die Inanspruchnahme von Security-as-a-Service die einzig richtige Herangehensweise ist, um einen langfristigen und umfassenden Schutz von Anlagen zu gewährleisten.

Cyberkriminelle schlafen nicht und bauen ihre Kapazitäten stetig weiter aus. Das bedeutet im Umkehrschluss, dass es für Firmen und Hersteller immer schwieriger wird, sich mit dem Thema gebührend auseinanderzusetzen, sich umfassend zu schützen und zugleich wirtschaftlich zu bleiben. Dementsprechend muss man auf externe Anbieter und Hersteller von Automatisierungskomponenten zurückgreifen, die Security Services im Portfolio haben. Im Zuge der Digitalisierung werden Anlagen auch immer komplexer und für die Mitarbeiter vor Ort wird es durch jeden Schritt hin zu einer notwendigen digitalen Infrastruktur schwieriger alle relevanten Aspekte zu berücksichtigen.

Die Digitalisierung ist aber zugleich auch ein essentieller Bestandteil der künftigen Strategie einer umfassenden Cybersecurity. Spezialisten der Hersteller können auf diese Weise per Fernzugriff Produktionsanlagen überwachen und Betreiber auf Fehler und Anomalien hinweisen. Gemeinsam kann man sich dann auch über die entsprechenden Maßnahmen zur Abwehr kümmern. Bei Rockwell Automation bieten wir bereits heute umfangreiche Dienstleistungen hinsichtlich des Lebenszyklus von Anlagen an und statten auf diese Weise unsere Kunden mit dem notwendigen Rüstzeug für die Zukunft aus.