Geraten hochsensible Informationen in die falschen Hände, kann der Schaden immens sein. Um sie zu schützen, ist ein engmaschiges Cybersicherheits-Konzept notwendig. Davon erzählt uns der promovierte Informatiker Dr. Hubert Feyrer, der nach seiner Lehrtätigkeit an internationalen Hochschulen zehn Jahre bei Volkswagen als Chief Information Security Officer verantwortlich war, und nun als Experte für Cybersicherheit bei der Maschinenfabrik Reinhausen tätig ist.
Herr Feyrer, was ist Cybersicherheit?
IT-Sicherheit, Informationssicherheit, Schutz von Daten und Informationen, Verfügbarkeit, Vertraulichkeit, Integrität – das ist zunächst sehr abstrakt. Konkret kann man es in Steuerungssicherheit und Schutzziele aufteilen: Das heißt, dass unsere Systeme für ihren Einsatzzweck bereitstehen und verfügbar sein müssen. Fehler in Form von Ausfällen sind hier leicht zu erkennen, aber auch unbedingt durch Maßnahmen im Vorfeld zu vermeiden.
Im Sinne der Cybersicherheit schwieriger zu erkennen, aber ebenso wichtig sind die Schutzziele Vertraulichkeit und Integrität, also dass Daten Unbefugten nicht zur Einsicht gelangen dürfen und damit vertraulich bleiben. Wenn unbefugte Änderungen stattfinden, dann ist auf die Daten kein Verlass mehr. Auch hier sind entsprechende Vorkehrungen im Vorfeld zu treffen, aber auch im Betrieb möglichst zu erkennen und abzuwehren.
Warum ist eine hohe Cybersicherheit beim Transformator wichig?
Transformatoren bestehen aus vielen Einzelkomponenten. Der Trend geht zu mehr Steuerung aus der Ferne und damit zu mehr Vernetzung – und damit wiederum zu mehr Angriffsoberfläche, die abgesichert werden muss. In entlegenen Regionen ist die Überwachung aus der Ferne schneller, einfacher und engmaschiger möglich als durch einen Techniker, der dafür anreisen muss.
Dazu sind aber Zugänge und Funktionen gegen unbefugte Nutzung abzusichern und auch technische Angriffe zu erkennen und abzuwehren. Bei allen digitalen Dingen sind die Schutzziele der Cybersicherheit wichtig, um so im erwarteten Rahmen zu funktionieren. Und natürlich ist es für Steuerungsfunktionen wichtig, sicherzustellen, dass die Eingabewerte und Betriebsparameter in den definierten Bereichen liegen und Abweichungen erkannt werden — egal ob diese aus Fehlern in der Bedienung oder durch absichtliche Manipulation entstanden sind.
„Cybersicherheit bedeutet nicht nur Schutz vor Angriffen, sondern auch die Verlässlichkeit der Systeme.“
Dr. Hubert Feyrer
Wie sieht Cybersicherheit in der Produktentwicklung aus?
Für den Schutz der Maschine vor dem Menschen, sei es durch Fehler oder Manipulation, gibt es drei große Bereiche: Prävention, Detektion, Reaktion. Das heißt, dass bereits beim Entwurf – Security by Design – mögliche Risiken erkannt und dann bei der Entwicklung, Programmierung und Fertigung mit geeigneten Maßnahmen vermieden werden.
Aber mit dem Ende der Produktion geht das Leben unserer Produkte erst los, und auch für den Einsatz beim Kunden müssen neue Schwachstellen entdeckt sowie daraus resultierende Risiken bewertet werden. Wenn unseren Kunden eigene Risiken in ihrer Umgebung entstehen, obliegt es uns, die Kunden darüber zu informieren, und entsprechend Sicherheitsupdates für unsere Produkte bereitzustellen. Hier greift die vorausschauende Prävention von Risiken in der Entwicklung ineinander mit der Erkennung von passenden Reaktionen im Einsatz beim Kunden und in unserer Produktpflege.
Internationale Normen wie die ISO 27001 und IEC 62443 liefern hierzu Vorgehensmodelle, die Planung, Umsetzung, Überprüfung und kontinuierliche Verbesserung umfassen. Und damit man hierbei nicht bei Null anfangen muss, gibt es dazu einen umfangreichen Katalog von Themen, die mögliche Risiken und den Umgang mit ihnen über Abteilungen hinweg beinhalten. Alles muss passen, damit die Kette nicht an ihrem schwächsten Glied reißt.
Wie gut ist MR in Sachen Cybersicherheit aufgestellt?
Aktuell ist das Informationssicherheitsmanagementsystem (ISMS) mit dem Fokus auf ETOS® und Lieferung von ETOS® Software Updates durch unser MR-Kundenportal aufgebaut. Mit dabei sind mit den Entwicklern auch alle unterstützenden Bereiche: von der IT über die Personalabteilung und dem Einkauf bis hin zur Rechtsabteilung. Im Projekt ist der aktuelle Stand durch den von der ISO 27001 vorgegebenen Katalog an Maßnahmen geprüft, Risiken sind identifiziert und Maßnahmen abgeleitet.
Digitalisierung des Leistungstrafos — was bedeutet das für Herausforderungen und Risiken für den Kunden?
Dazu ein Beispiel: Ein ETOS® wird verbunden mit TESSA®, der Asset-Management-Plattform. Die dazu nötige Verschlüsselungs-Infrastruktur wird zusammen mit den Fachbereichen, die die beiden MR-Produkte an den Enden der Verbindung verantworten, entwickelt und aufeinander abgestimmt. Zur Security in der Entwicklung gehört dabei auch vor Auslieferung an Kunden unabhängige Überprüfungen in Form von Penetrationstests und unabhängigen Audits durchzuführen. Und selbstverständlich werden auch nach Auslieferung an den Kunden unsere Produkte überwacht, um neu entdeckte Schwachstellen früh zu erkennen, und Software Updates im MR-Kundenportal zur Behebung bereitgestellt.
Was bringt die Zukunft?
Neben all diesen technischen und organisatorischen Themen gibt es viele rechtliche Entwicklungen, da auch die Gesetzgeber die Wichtigkeit von Cybersicherheit erkannt haben. Ein Beispiel dafür ist der kommende Cyber Resilience Act, der künftig EU-weit Vorgaben für Produkte mit digitalen Elementen machen wird. Dank der Vorarbeit und langjährigen Erfahrungen sind wir hier gut vorbereitet, um rechtlich und technisch sichere Produkte am Markt anbieten zu können. Selbstverständlich bleiben wir hier ständig am Ball, beobachten aktuelle Entwicklungen, passen unsere Prozesse an und schulen alle unsere Entwickler, denn: Cybersicherheit ist ein Teamsport, den wir gemeinsam durch Engagement und Fachkompetenz meistern, um unseren Kunden auch morgen sichere Produkte und Dienste anbieten zu können.
