Wie setze ich Sicherheitsmaßnahmen um?

„Cybersecurity-Schulungen für das Top-Management werden verpflichtend, um ein grundlegendes Verständnis über die Thematik sicherzustellen, denn entsprechende Maßnahmen haben von der Führungsebene ausgehend zu erfolgen.“ Andreas Willert, Head of Industrial Security.

Künftig werden Maschinen und Anlagen kein CE erhalten, ohne dass Security-Risiken analysiert worden sind. Was bedeutet das konkret, Herr Willert?

Es ist richtig, dass bis vor Kurzem die Maschinenrichtlinie nur das Thema Safety im Fokus hatte. Neu sind jetzt erstmals die Security-Aspekte, die es zu berücksichtigen gilt.

Ohne Safety kein Security – dies wird künftig noch stärker im Fokus der Anlagen- und Maschinenbauer stehen als zuvor.

Was bedeutet das für mich als Unternehmer?

Im Detail bedeutet dies, dass die Sicherheitsfunktionen der Maschine durch unbeabsichtigte oder vorsätzliche Verfälschung nicht beeinträchtigt werden dürfen. Die Zusammenfassung „keine Safety ohne Security“ ist jedoch nur ein Teilbereich mehrerer umfassender gesetzlicher Maßnahmenpakete, die getroffen wurden. Unternehmen und generell Branchen, die zuvor keine gesetzlich induzierte Notwendigkeit betraf Cybersecurity-Maßnahmen umzusetzen, sehen sich künftig durch die Maschinenverordnung (MVO) EU 2023/1230, den Cyber Resiliance Act (CRA) und die Richtlinie für Netzwerk- und Informationssicherheit 2 (NIS 2) EU 2023/2555 mit erstmaligen Verpflichtungen konfrontiert.

Andreas Willert empfiehlt, sich ensprechend auf die Änderungen vorzubereiten, etwa anhand von Schulungen.

Wen bzw. welche Bereiche betrifft die NIS 2?

Die NIS 2 adressiert nicht nur die ehemalige kritische Infrastruktur, sondern weitet die Sektoren massiv durch wesentliche und wichtige Einrichtungen aus. Zu zweiterer zählt – neben anderen – das verarbeitende/herstellende Gewerbe, also der Maschinenbau, die Hersteller von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, elektrischer Ausrüstungen sowie Hersteller von Kraftwagen, Kraftwagenteilen und sonstigem Fahrzeugbau. Unternehmen, die sich darin wiederfinden und mehr als 50 Personen beschäftigen oder mehr als 10 Mio. Euro Jahresumsatz/-bilanz erwirtschaften (Anm.: laut der Empfehlung der EU-Kommission 2003/361/EG ein Unternehmen mittlerer Größe) benötigen aktiv einen verbesserten Risikomanagementansatz (NIS 2, Kap. IV, Art. 21).

Was ist besonders zu beachten?

Zu beachten ist, dass Risiken und technische sowie organisatorische Milderungsmaßnahmen nicht nur im (Office-)IT-Netzwerk betrachtet werden müssen, also etwa mittels der ISO/IEC 27000-Normenreihe, sondern die meisten Produktionen vernetzt sind – das Operational Technology (OT) Netzwerk. Die internationale Normenreihe IEC 62443 betrachtet hierfür die Security von Industrial Automation and Control Systems (IACS). Sie entspringt der Automatisierung der Prozessindustrie, hat sich zum horizontalen Standard der wertschöpfenden Industrie, inklusive der diskreten Fertigung, entwickelt und ist ein umfassendes Konstrukt, das aus mehreren Teilen und Unterteilen besteht. Für den Anlagenbetreiber besteht Kompatibilität zur im Unternehmensbereich akzeptierten und etablierten Reihe ISO/IEC 27000.

Das klingt sehr umfangreich. Seit wann bzw. ab wann gelten diese „Regeln“ und wo kann man sich diesbezüglich weiter informieren oder sogar schulen lassen?

Diese umfangreichen Änderungen sind mit Anfang 2023 in Kraft getreten und müssen bis 17. Oktober 2024 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt sein. Wir von Pilz bieten zu diesem wichtigen Thema Schulungen und Informationen an – übrigens auch in Form von sehr spannenden Podcasts. Manches Mal ist Zuhören ein guter erster Weg, um umfangreiche Informationen aufzunehmen.

Was gilt es konkret zu tun?

Zunächst empfehle ich zu überprüfen, ob mein Unternehmen in den Wirkbereich der NIS 2 fällt, um etwaige Versäumnisse zu vermeiden. Die Unternehmen werden nämlich keinen Bescheid erhalten, sondern müssen sich selbstständig informieren und bei der dann zuständigen Behörde bzw. Stelle melden. Doch selbst wenn sie nicht direkt in den Wirkbereich der NIS 2 fallen, ist es möglich, indirekt betroffen zu sein. Zwar nicht durch die Sanktionen, wohl aber durch Auflagen von Kunden, die die Anforderungen der NIS 2 erfüllen müssen – und diese Auflagen an die Zulieferer weiterleiten.

Was passiert mir als Unternehmen bei nicht zeitgemäßer Einhaltung/Umsetzung? Gibt es einen Kulanzzeitraum?

Das ist eine knifflige Frage. Es ist so, dass das Büro für strategische Netz- und Informationssystemsicherheit des Bundeskanzleramts verpflichtet ist, die Richtlinie konform umzusetzen, aber es ist durchaus das Bewusstsein dafür vorhanden, dass man die heimische Wirtschaft nicht mit strengeren Regeln beschädigen sollte. Leider ist es auch so wie bei vielen anderen Beispielen, dass es ohne Strafe gar nicht funktioniert – leider. Meiner persönlichen Ansicht nach ist es nun umso wichtiger, unsere Unternehmen dabei zu unterstützen, einen gangbaren Weg zu gehen und die Maßnahmen umzusetzen.

Kommen wir bitte noch einmal auf die technische Anwenderebene zurück. Wer ist für die Sicherheit des Produktionsnetzwerks zuständig?

Obwohl der Werkzeugkasten von IT- und OT-Netzwerkspezialisten Schnittmengen hat, so gehören Industriesteuerungen und Industrieprotokolle nicht zum üblichen Standard-Repertoire eines IT-Systemadministrators. Die Schutzziele, also Confidentiality, Integrity und Availability sind zwischen IT und OT – bis auf Ausnahmen – meist völlig konträr. In Büroumgebungen ist ein temporärer Ausfall der Computersysteme oft erst einmal verkraftbar. Eine Fertigungsanlage, die für einige Stunden zum Stillstand gezwungen wird, ist verheerend! Diese Differenz resultiert in einer völlig anderen Basis für ein Sicherheitskonzept. Auch die Sicherheit der Lieferketten und Abhängigkeiten von Partnerunternehmen müssen betrachtet und inkludiert werden. Es bedarf einer informationssicherheitsbeauftragten Person (ISB), geläufiger auch als Chief Information Security Officer (CISO) bekannt, die unmittelbar unter bzw. mit der Geschäftsführung erforderliche technische sowie organisatorische Maßnahmen nicht nur in der (Office-)IT, sondern auch in der OT umsetzt und verantwortet.

Wie kann man sensibilisieren?

Cybersecurity-Schulungen für das Top-Management werden verpflichtend, um ein grundlegendes Verständnis über diese Thematik sicherzustellen, denn die Maßnahmen haben von der Führungsebene ausgehend zu erfolgen. Bei Nichterfüllung drohen Sanktionen von 7 Mio. Euro oder 1,4 % des Gesamtjahresumsatzes des Unternehmens bei wichtigen Einrichtungen. Natürliche Personen als leitende Angestellte können für Pflichtverletzungen haftbar gemacht werden. Österreich hat wie alle EU-Mitgliedsstaaten die NIS 2-Richtlinie bis zum 17.10.2024 in nationales Gesetz zu überführen. Das ist fix. Die Maschinenverordnung EU 2023/1230 hingegen hat immanenten Gesetzescharakter in der EU. Die bisherige Maschinenrichtlinie 2006/42/EG bzw. deren nationale Umsetzung, die Maschinensicherheitsverordnung (MSV) 2010, stand traditionell vollkommen für Maschinen-Safety, also Schutz des Menschen vor Gefahren der Maschine, z.B. durch bewegliche Maschinenteile. Völlig neu für viele Maschinen- und Anlagenbauer, adressiert die Maschinenverordnung EU 2023/1230 in Anhang III Abschnitt 1.1.9 und 1.2.1 jedoch auch Security-Maßnahmen für den Schutz der Maschine vor Korrumpierung durch Menschen, die andere Menschen sowie die Maschine selbst gefährden, z.B. Schutz vor unautorisierten Zugriffen und ungewollte Modifikation von Signalen oder Daten. Ursächlich hierfür ist nicht nur böswillige und vorsätzliche Manipulation durch Dritte, sondern auch unbeabsichtigte/zufällige Fehlbedienungen.

Was ist denn damit genau gemeint bzw. wie soll die Praxis aussehen, seine Anlagen und Maschinen intern und extern von Cyberangriffen zu schützen? Ist dies etwa utopisch?

Es klingt meist herausfordernder als die letztendliche Umsetzung dann ist. In der Praxis bedeutet es, dass künftig nicht nur die Korrumpierung industrieller Steuerungssysteme und Edge Devices zu bewerten ist, die im Internet exponiert sind, sondern auch jene, die nur im lokalen Netzwerk eingebunden oder gar vollständig offline sind. Ein offline geglaubter Industriecomputer ist schnell im Internet, wenn ein Wartungs-Notebook, das mit einem Hotspot verbunden ist, in die Anlage eingesteckt wird. Das darf man nicht unterschätzen! Die Liste der Angriffsvektoren ist nicht endend. Mit ein paar grundsätzlichen, holistischen Maßnahmen wird jedoch die Hürde für die Angreifer schon deutlich höher gesetzt.

Abschließend noch eine Frage hinsichtlich des Cyber Resiliance Acts: Worum handelt es sich hierbei genau?

Der Cyber Resiliance Act (CRA) ist ein Vorschlag für eine Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, d. h. die Software enthalten und vernetzt sind – von Konsumgütern bis hin zu Industriekomponenten. Der CRA wird künftig eines der wichtigsten Cybersecurity-Gesetze für den europäischen Markt sein. Produkthersteller sollten Vorgaben daraus bereits heute umsetzen, um künftig die Konformität ihrer Produkte im Rahmen der CE-Kennzeichnung sicherzustellen. Die Europäische Kommission begründet den CRA mit der Tatsache, dass Hardware- und Softwareprodukte zunehmend zum Ziel erfolgreicher Cyberangriffe werden.

Was ist Ihr Appell an die Unternehmer?

Wir müssen akzeptieren, dass Security kein statisches, sondern ein sich dynamisch bewegendes Ziel ist. Mit einer einmaligen Aktion ist die To-do-Liste nicht erledigt. Neu entdeckte Schwachstellen und Angriffsvektoren erfordern für Hersteller, Integratoren und Betreiber eine Aufnahme holistischer und kontinuierlicher Security-Aktivitäten in den PDCA-Zyklus, gemeinsam mit allen anderen Qualitätsmaßnahmen. Informieren Sie sich bitte rechtzeitig bei Experten. Pilz steht als Unterstützung zur Seite.