Cybersecurity wird zum Lackmustest für Maschinenbauer: Pilz-Experten im Doppelinterview

Im Gespräch mit Maximilian Traxler, Industrial Security Consultant, und Andreas Willert, Head of Industrial Security, beide Pilz Österreich, kamen klare Botschaften zu Tage.

Cybersecurity wird im Maschinenbau oft noch als klassisches IT-Thema gesehen. Mit neuen Regelwerken wie dem Cyber Resilience Act (CRA) wird daraus aber plötzlich eine Pflicht für Maschinenhersteller. Hat die Maschinenbau-Branche diese Entwicklung verschlafen bzw. unterschätzt?

Maximilian Traxler: Das ist eine spannende Frage. Von „verschlafen“ würde ich nicht sprechen, aber viele Unternehmen haben die Tragweite und vor allem den zeitlichen Vorlauf wahrscheinlich unterschätzt. Ein wesentlicher Punkt ist, dass industrielle Security nicht einfach mit klassischer IT-Security gleichgesetzt werden kann. Bei Produkten gelten andere Rahmenbedingungen: Ein Produkt wird entwickelt, in Verkehr gebracht und muss über seinen Lebenszyklus hinweg bestimmte Anforderungen erfüllen. Das unterscheidet sich grundlegend von klassischen IT-Umgebungen, die laufend verändert und administriert werden. Genau deshalb braucht der Maschinenbau hier einen eigenen, produktspezifischen Zugang.

Andreas Willert: Dazu kommt: Die erforderlichen organisatorischen und technischen Maßnahmen sind in vielen Fällen deutlich umfangreicher, als anfangs angenommen wurde. Gerade wenn man sich mit Secure Product Development oder mit Anforderungen aus dem Umfeld der IEC 62443 beschäftigt, wird klar, dass es nicht um punktuelle Maßnahmen geht, sondern um strukturelle Änderungen in Entwicklung, Dokumentation und Risikomanagement. Diese Umstellung braucht Zeit.

„Security ist keine Nebenaufgabe, die man irgendwann mit erledigt. Sie braucht klare Zuständigkeit, Management-Rückhalt und Ressourcen.“ Andreas Willert, Head of Industrial Security, Pilz GmbH (Bilder: x-technik)

Viele Unternehmen warten noch darauf, dass alle Details zu CRA oder NIS2 „endgültig“ feststehen. Haben Sie dafür Verständnis oder wird die Zeit für Maschinen- und Anlagenbauer nun knapp, Herr Willert?

Willert: Dass Unternehmen auf Klarheit warten, ist nachvollziehbar. Das Problem ist nur: Die Zeit reicht in den meisten Fällen nicht aus, wenn man tatsächlich erst dann beginnt, wenn alles bis ins letzte Detail harmonisiert ist. Die regulatorischen Zeitachsen sind gesetzt und die Umsetzungsfristen sind nicht dafür gedacht, erst dann mit dem Thema zu starten. Sie sind dafür da, die Anforderungen bis zu diesem Zeitpunkt bereits umgesetzt zu haben. Wer heute noch auf den perfekten Endstand wartet, geht ein erhebliches Risiko ein.

Traxler: Dem stimme ich zu. Es ist deutlich leichter, heute mit dem zu beginnen, was bereits feststeht und später fünf oder zehn Prozent nachzuschärfen, als kurz vor dem Stichtag von null auf hundert gehen zu wollen. Viele unterschätzen auch, dass nicht nur technische Fragen offen sind, sondern schon die organisatorische Grundfrage geklärt werden muss: Wer ist im Unternehmen überhaupt zuständig? Wenn diese Diskussion erst kurz vor Wirksamwerden geführt wird, wird es knapp.

„Viele Unternehmen haben die Tragweite und vor allem den zeitlichen Vorlauf der Bestimmungen unterschätzt. Ein wesentlicher Punkt ist, dass industrielle Security nicht einfach mit klassischer IT-Security gleichgesetzt werden kann.“ Maximilian Traxler, Industrial Security Consultant, Pilz GmbH

Wie nehmen Sie aktuell die Stimmung in der Branche zu diesen Themen wahr?

Willert: Vor einigen Jahren gab es nur wenige echte Vorreiter, die sich frühzeitig und strategisch mit Industrial Security beschäftigt haben. Diese Unternehmen haben heute einen klaren Wettbewerbsvorteil, weil sie ihre Produkte technisch und regulatorisch deutlich besser einordnen können. Seit dem vergangenen Jahr spüren wir aber einen massiven Anstieg des Interesses. Informationsveranstaltungen sind voll, die Nachfrage steigt stark und die Nervosität nimmt sichtbar zu.

Traxler: Gerade in KMU ist die Unsicherheit groß. Viele sehen die Vielzahl an Anforderungen, wissen aber nicht, wo sie ansetzen sollen. Dazu kommt: Security landet in der Praxis oft bei Personen, die bisher stark im Bereich Safety oder CE-Koordination tätig waren. Das ist nachvollziehbar, weil etwa der CRA im CE-Kontext relevant wird. Trotzdem ist Security fachlich eine andere Disziplin. Das führt häufig dazu, dass Unternehmen den Handlungsbedarf erkennen, aber noch keinen klaren Einstieg finden.

Dass Unternehmen auf Klarheit warten, sei laut beiden Gesprächspartnern nachvollziehbar. Das Problem sei nur: Die Zeit reicht in den meisten Fällen nicht aus, wenn man tatsächlich erst dann beginnt, wenn alles bis ins letzte Detail harmonisiert ist.

Wenn Sie eine zentrale Botschaft an Maschinen- und Anlagenbauer richten könnten: Warum ist jetzt der richtige Zeitpunkt, sich mit Cybersecurity und den neuen regulatorischen Anforderungen auseinanderzusetzen, Herr Traxler?

Traxler: Weil die Gesetze bereits in Kraft sind und wir uns in Übergangsfristen befinden. Diese Fristen bedeuten nicht, dass man bis dahin warten kann, sondern dass man jetzt umsetzen muss. Wer heute startet, kann strukturiert vorgehen, Verantwortlichkeiten festlegen, Prozesse aufbauen und nötigenfalls nachjustieren. Wer weiter abwartet, riskiert am Ende hektische, teure und unvollständige Lösungen.

Willert: Der richtige Zeitpunkt ist eindeutig jetzt, weil Security nicht mit einer Einzelmaßnahme erledigt ist. Es geht um Kompetenzen, Prozesse, Risikobewertungen, Produktentwicklung, Dokumentation und Kommunikation entlang der Lieferkette. All das braucht Ressourcen und Management-Unterstützung.

Der CRA und die Maschinenverordnung betreffen Produkte, also unter anderem Maschinen mit digitalen Elementen. Die NIS2-Richtlinie richtet sich dagegen primär an Betreiber beziehungsweise an Organisationen, die Netz- und Informationssysteme betreiben.

Für Maschinenbauer wirken CRA, NIS2 und Maschinenverordnung jedoch wie ein komplexes Regelpaket. Wie hängen diese Regelwerke grundsätzlich zusammen? Können Sie dies kurz skizzieren?

Traxler: Zunächst einmal muss man sie sauber trennen. Der CRA und die Maschinenverordnung betreffen Produkte, also unter anderem Maschinen mit digitalen Elementen. Die NIS2-Richtlinie richtet sich dagegen primär an Betreiber beziehungsweise an Organisationen, die Netz- und Informationssysteme betreiben. In der Praxis hängen diese Regelwerke aber eng zusammen, weil Maschinen heute vernetzte Systeme sind und damit sowohl produktbezogene als auch betriebliche Security-Fragen auslösen.

Willert: Ergänzen möchte ich, dass es für Maschinenbauer wichtig ist, zu verstehen, dass der CRA keineswegs nur ein Thema für reine Komponentenhersteller darstellt. Auch Maschinen fallen in vielen Fällen in dessen Anwendungsbereich. Die Maschinenverordnung wiederum bringt Security stark in den Safety-Kontext hinein und die NIS2 erhöht den Druck auf Betreiber, ihre Produktionsnetzwerke resilienter zu machen. Daraus entsteht entlang der Wertschöpfungskette eine durchgehende Informations- und Verantwortungskette.

Beide Pilz-Experten meinen: Vor einigen Jahren gab es nur wenige echte Vorreiter, die sich frühzeitig und strategisch mit Industrial Security beschäftigt haben. Diese Unternehmen haben heute einen klaren Wettbewerbsvorteil, weil sie ihre Produkte technisch und regulatorisch deutlich besser einordnen können.

Welches übergeordnete Ziel verfolgt die EU damit für Industrieanlagen und Maschinen, Herr Willert?

Willert: Das übergeordnete Ziel ist die Resilienz – und zwar nicht nur technisch, sondern auch organisatorisch. Es geht darum, industrielle Systeme über ihren gesamten Lebenszyklus robuster gegen Cyberrisiken zu machen. Das betrifft Produkte, Prozesse, Kommunikationsbeziehungen und Verantwortlichkeiten. Man kann das als regulatorische Verdichtung sehen, aber technisch betrachtet ist es vor allem eine längst notwendige Reaktion auf die Realität hochvernetzter Produktionsumgebungen.

Maschinenbauer sind seit Jahrzehnten gewohnt, mit funktionaler Sicherheit und klassischer Risikobeurteilung zu arbeiten. Was verändert sich durch Cybersecurity jetzt grundlegend?

Willert: Der größte Unterschied ist die Dynamik. In der funktionalen Sicherheit bewertet man Gefährdungen, legt Schutzmaßnahmen fest und hat damit eine relativ stabile Ausgangsbasis. In der Cybersecurity verändert sich die Risikolage laufend: Neue Schwachstellen werden bekannt, Bedrohungsakteure ändern ihre Methoden, Technologien altern, Einsatzszenarien verändern sich. Security ist deshalb kein einmaliger Nachweis, sondern ein kontinuierlicher Prozess. Genau das verändert den Blick auf Maschinen grundlegend.

Warum funktioniert das bisherige Modell einer einmal erstellten und über Jahre kaum veränderten Risikobeurteilung im Kontext von Cybersecurity nicht mehr?

Traxler: Da sich sowohl die Technik als auch das Umfeld verändern, ist dieser Weg nicht mehr wirksam. Eine Maschine, die heute in einer bestimmten Umgebung unkritisch ist, kann morgen in einem anderen Einsatzkontext oder mit neuer Anbindung plötzlich ganz andere Risiken aufweisen. Auch neue Geschäftsfelder können eine Rolle spielen. Wenn sich etwa Zielmärkte oder Branchen ändern, steigt unter Umständen die Attraktivität für Angriffe deutlich.

Wie lässt sich eine Security-orientierte Risikobetrachtung konkret auf Maschinen und deren Netzwerktopologie oder Systemarchitektur anwenden, Herr Willert?

Willert: Am Anfang steht nicht die Maßnahme, sondern das Verständnis des Systems. Wir beginnen typischerweise damit, alle Beteiligten abzuholen: Welche Regelwerke gibt es, welche Normen sind relevant, was bedeutet OT-Security konkret? Danach geht es um Verantwortlichkeiten und um die Frage, was die Maschine oder Anlage eigentlich leisten soll. Welche Geschäftsprozesse werden unterstützt? Welche Informationen werden verarbeitet? Welche Kommunikationsbeziehungen bestehen? Welche Schnittstellen, Services und Angriffsflächen existieren? Erst auf dieser Basis ist eine sinnvolle Risikobeurteilung möglich.

Traxler: Ein häufiger Fehler ist, sich sofort auf Einzellösungen oder Technologien zu stürzen, ohne vorher Zuständigkeiten, Ziele und Risikoannahmen zu klären. Ebenso problematisch ist die Erwartung, dass man einfach nur eine Norm abarbeiten oder ein Tool installieren müsse und dann „fertig“ sei. Security braucht Struktur.

Die neuen Regelwerke betreffen nicht nur Maschinenhersteller, sondern teilweise auch Betreiber. Wie verändert sich dadurch die Zusammenarbeit zwischen beiden Seiten?

Willert: Betreiber müssen sich im Rahmen von NIS2 viel stärker mit der Resilienz ihrer Produktionsnetzwerke auseinandersetzen. Dadurch entstehen zwangsläufig neue Fragen an Maschinenhersteller: Wie ist die Maschine vernetzt? Welche Schnittstellen gibt es? Welche Kommunikationspfade bestehen? Welche Services sind aktiv? Welche Security-relevanten Eigenschaften hat das System? Diese Transparenz wird künftig vorausgesetzt.

Traxler: Der Austausch wird bidirektional. Betreiber werden Anforderungen an Maschinenhersteller formulieren, etwa zur Integration in IAM- oder Netzwerkstrukturen. Umgekehrt müssen Maschinenhersteller ihren Kunden mitgeben, wie eine Maschine sicher betrieben werden soll. Genau hier treffen CRA und NIS2 aufeinander.

Was müssen Maschinenhersteller künftig Betreibern an Informationen oder Sicherheitskonzepten mitgeben, damit diese ihre eigenen regulatorischen Anforderungen erfüllen können?

Willert: Vor allem belastbare Informationen über den Security-Kontext des Produkts. Dazu gehören etwa Angaben zu Kommunikationsbeziehungen, aktivierten Services, offenen Ports, Fernwartungskonzepten und bekannten Schwachstellen inklusive ihrer tatsächlichen Relevanz im konkreten Produktkontext. Es reicht künftig nicht mehr aus, nur auf einen Patch oder eine veröffentlichte Schwachstelle hinzuweisen. Hersteller müssen bewerten, was diese Information für das konkrete Produkt bedeutet.

Sie beide stehen als Experten regelmäßig mit Unternehmen aus der Industrie im Austausch. Gibt es Beispiele, die zeigen, wie Unternehmen mit den Anforderungen und den vorliegenden Aufgaben umgehen, Herr Willert?

Das Spektrum ist sehr groß. Es gibt Unternehmen, die bereits sehr solide aufgestellt sind, auch wenn sie das selbst anfangs gar nicht so eingeschätzt haben. In Projekten erleben wir durchaus, dass Systeme nach fundierter Analyse, Penetrationstests und simulierten Angriffsversuchen als robust bestätigt werden können. Das ist ein wichtiges Signal, weil es zeigt: Wer strukturiert entwickelt und sauber dokumentiert, startet oft nicht bei null. Gleichzeitig sehen wir aber auch viele Unternehmen, die erst jetzt beginnen und feststellen, wie komplex das Thema tatsächlich ist. Dort hilft ein schrittweiser Zugang am meisten. Nicht alles auf einmal, sondern priorisiert und entlang des tatsächlichen Risikos.

Abschließend: Was passiert aus Ihrer Sicht, wenn Maschinen- und Anlagenbauer das Thema Cybersecurity und die neuen regulatorischen Anforderungen weiterhin aufschieben, Herr Traxler?

Dann wird der Anpassungsdruck massiv steigen. Unternehmen riskieren nicht nur regulatorische Probleme, sondern auch operative und wirtschaftliche Nachteile.

Willert: Genau deshalb ist die wichtigste Botschaft: Verantwortlichkeiten definieren, top-down handeln und jetzt starten. Security ist keine Nebenaufgabe, die man irgendwann mit erledigt. Sie braucht klare Zuständigkeit, Management-Rückhalt und Ressourcen. Wer das frühzeitig erkennt, schafft nicht nur Compliance, sondern stärkt auch die Zukunftsfähigkeit seiner Produkte und seines Unternehmens.

Vielen Dank für das Gespräch!

Pilz auf der all about automation: Stand Stand: 420