Chefsache Industrial Security: Wie Unternehmen den Einstieg schaffen

Simon Nutz, Consultant Industrial Security

“Security? Das betrifft uns nicht!” – Angesprochen auf Security ist das noch immer gängige Antwort von Maschinenherstellern und -betreibern. „Für Security ist unsere IT zuständig“, wird leicht entschuldigend angefügt. In der Praxis jedoch fehlt der IT, vor allem in Bezug auf Automatisierungs-Netzwerke, das spezifische Wissen. Auf der anderen Seite sind Konstrukteure oder auch Sicherheitsbeauftragte (Health and Safety Manager, HSE) unsicher im Umgang mit Cybersicherheit. Wie also sich für Industrial Security rüsten?

Ab Januar 2027 muss die Maschinenverordnung (MVO) in der Europäischen Union verbindlich angewendet werden. Sie gilt für alle Unternehmen, die Maschinen in die EU importieren oder dort betreiben wollen. Die MVO schreibt Industrial Security in Form von Schutzmaßnahmen gegen Korrumpierung vor. Industrial Security wird damit geschäftskritisch und so Management-Aufgabe. Das Management muss dafür Sorge tragen, dass Industrial Security im Unternehmen verankert wird.

Alle an einen Tisch bringen
Damit das gelingt, müssen im ersten Schritt alle Beteiligten an einem Tisch zusammenkommen. Bei Maschinenbauern sind das die IT und die Entwicklung/Konstruktion und – falls vorhanden – die Security-Verantwortlichen (z.B. CISO). Bei Anwendern sind es neben der IT, die Produktionstechnik und Produktionsleitung, HSE und CISO.
Zunächst geht es darum, Wissen aufzubauen und ein gemeinsames Verständnis für Industrial Security zu entwickeln: Welche gesetzlichen Verpflichtungen kommen auf die Maschinen- und Anlagenindustrie zu? Wie stehen Safety und Security hierbei in Verbindung? An welchen Schnittstellen treffen IT und OT aufeinander?

Im zweiten Schritt erarbeiten diese interdisziplinären Teams eine passende Strategie für das Unternehmen mitsamt Umsetzungskonzept. Es geht darum, sich innerbetrieblich zu finden und zu strukturieren: Wo liegen künftig die Verantwortlichkeiten? Wie sieht die Netzwerktopologie der eigenen Maschinen aus? Wie passt das zu den neuen gesetzlichen Vorgaben?

Mit der Risikobeurteilung beginnt die Umsetzung
Erst danach ist das Unternehmen in der Lage, das Thema Industrial Security umzusetzen. Das beginnt mit der Bewertung und Quantifizierung von möglichen Schadensereignissen und der Erstellung einer Schutzbedarfsanalyse. In diesem Zuge werden außerdem mögliche Schwachstellen sowie Angriffs- und Manipulationspotenziale durch Vernetzung, Digitalisierung und KI identifiziert. Wichtig: Zu den Schutzzielen der Industrial Security zählen neben klassischen IT-Schutzzielen wie Vertraulichkeit, Integrität und Verfügbarkeit auch die Safety, also die funktonale Sicherheit der Maschine.

Eine Security-Risikobeurteilung ist stets Ausgangspunkt. Es geht darum, durch Security-Lücken entstandene Gefährdungen und Risiken zu betrachten. Das erfordert eine kontinuierliche Überwachung und Anpassung der Sicherheitsmaßnahmen. Hierbei müssen oft komplexe IT-Infrastrukturen und Netzwerke miteinbezogen werden, was zusätzliche technische Expertise und Ressourcen erfordert.

Experte für Security und Safety gesucht!
Wer externe Unterstützung beim Einstieg in Industrial Security in der Automation sucht, sollte sich bewusst sein, dass IT-Security-Know-how nur bedingt weiterhilft. Denn die Prozesse zur Risikoverminderung von Angriffen auf Maschinen (Industrial Security) ähneln sehr stark den Abläufen zur Reduzierung von Risiken, die von Maschinen ausgehen können (Safety). Wer Industrial Security umsetzen will, muss Experte für Maschinensicherheit sein, und die dazugehörigen Vorgaben und Normen kennen, allen voran die Maschinenverordnung.

Die konkrete Umsetzung der Gesetzgebung ist aktuell in Bewegung. An einigen Stellen sind die harmonisierten Normen erst in Erstellung. Als Experte für Maschinensicherheit ist Pilz nah dran und gestaltet relevante Normen aktiv mit. Dieses Know-how gibt Pilz in Form von Dienstleistungen und Schulungen an seine Kunden weiter. Das Training „Grundlagen Industrial Security“ richtet sich an Einsteiger. Teilnehmer lernen Terminologie und Anforderungen kennen und Cybersicherheit im Kontext von Maschinen- und Netzwerksicherheit zu verstehen. Best Practices tragen zum Verständnis von Cybersicherheitsrisiken in der eigenen Produktion bei.
Die Schulung „Certified Expert for Security in Automation (CESA)“ vermittelt das Werkzeug, um in industriellen Automatisierungsnetzwerken wirksame organisatorische und technische Maßnahmen zu ergreifen.

Über das Trainingsangebot hinaus, bietet Pilz mit dem „Identification and Access Management“-Portfolio (I.A.M.) Produkte und individuelle Lösungen für eine Vielzahl von Aufgaben rund um Mitarbeiterschutz, Haftungsschutz, maximale Produktivität sowie Schutz der Daten. Zu den Anwendungen gehören beispielsweise die Authentifizierung von Nutzern, die sichere Betriebsartenwahl, Daten- und Netzwerksicherheit sowie das Zugangsmanagement. Auf diese Weise können Safety und Security in einem System abgedeckt werden.

Um sich rechtzeitig für die Herausforderungen der Industrial Security zu wappnen, sollten sich Maschinenhersteller und -betreiber weltweit jetzt mit dem Thema auseinandersetzen. Wissen muss aufgebaut, Zuständigkeiten und Schnittstellen festgelegt werden und eine eigene Strategie erarbeitet werden. Idealerweise initiiert das Management diesen Prozess.