Cyber­si­cher­heit am Trafo

Geraten hoch­sen­sible Infor­ma­tionen in die falschen Hände, kann der Schaden immens sein. Um sie zu schützen, ist ein engma­schiges Cyber­si­cher­heits-Konzept notwendig. Davon erzählt uns der promo­vierte Infor­ma­tiker Dr. Hubert Feyrer, der nach seiner Lehr­tä­tig­keit an inter­na­tio­nalen Hoch­schulen zehn Jahre bei Volks­wagen als Chief Infor­ma­tion Secu­rity Officer verant­wort­lich war, und nun als Experte für Cyber­si­cher­heit bei der Maschi­nen­fa­brik Rein­hausen tätig ist.


Herr Feyrer, was ist Cyber­si­cher­heit?

IT-Sicher­heit, Infor­ma­ti­ons­si­cher­heit, Schutz von Daten und Infor­ma­tionen, Verfüg­bar­keit, Vertrau­lich­keit, Inte­grität – das ist zunächst sehr abstrakt. Konkret kann man es in Steue­rungs­si­cher­heit und Schutz­ziele aufteilen: Das heißt, dass unsere Systeme für ihren Einsatz­zweck bereit­stehen und verfügbar sein müssen. Fehler in Form von Ausfällen sind hier leicht zu erkennen, aber auch unbe­dingt durch Maßnahmen im Vorfeld zu vermeiden.

Im Sinne der Cyber­si­cher­heit schwie­riger zu erkennen, aber ebenso wichtig sind die Schutz­ziele Vertrau­lich­keit und Inte­grität, also dass Daten Unbe­fugten nicht zur Einsicht gelangen dürfen und damit vertrau­lich bleiben. Wenn unbe­fugte Ände­rungen statt­finden, dann ist auf die Daten kein Verlass mehr. Auch hier sind entspre­chende Vorkeh­rungen im Vorfeld zu treffen, aber auch im Betrieb möglichst zu erkennen und abzu­wehren.

Warum ist eine hohe Cyber­si­cher­heit beim Trans­for­mator wichig?

Trans­for­ma­toren bestehen aus vielen Einzel­kom­po­nenten. Der Trend geht zu mehr Steue­rung aus der Ferne und damit zu mehr Vernet­zung – und damit wiederum zu mehr Angriffs­ober­fläche, die abge­si­chert werden muss. In entle­genen Regionen ist die Über­wa­chung aus der Ferne schneller, einfa­cher und engma­schiger möglich als durch einen Tech­niker, der dafür anreisen muss.

Dazu sind aber Zugänge und Funk­tionen gegen unbe­fugte Nutzung abzu­si­chern und auch tech­ni­sche Angriffe zu erkennen und abzu­wehren. Bei allen digi­talen Dingen sind die Schutz­ziele der Cyber­si­cher­heit wichtig, um so im erwar­teten Rahmen zu funk­tio­nieren. Und natür­lich ist es für Steue­rungs­funk­tionen wichtig, sicher­zu­stellen, dass die Einga­be­werte und Betriebs­pa­ra­meter in den defi­nierten Berei­chen liegen und Abwei­chungen erkannt werden — egal ob diese aus Fehlern in der Bedie­nung oder durch absicht­liche Mani­pu­la­tion entstanden sind.

„Cyber­si­cher­heit bedeutet nicht nur Schutz vor Angriffen, sondern auch die Verläss­lich­keit der Systeme.“

Dr. Hubert Feyrer

Wie sieht Cyber­si­cher­heit in der Produkt­ent­wick­lung aus?

Für den Schutz der Maschine vor dem Menschen, sei es durch Fehler oder Mani­pu­la­tion, gibt es drei große Bereiche: Präven­tion, Detek­tion, Reak­tion. Das heißt, dass bereits beim Entwurf – Secu­rity by Design – mögliche Risiken erkannt und dann bei der Entwick­lung, Program­mie­rung und Ferti­gung mit geeig­neten Maßnahmen vermieden werden.

Aber mit dem Ende der Produk­tion geht das Leben unserer Produkte erst los, und auch für den Einsatz beim Kunden müssen neue Schwach­stellen entdeckt sowie daraus resul­tie­rende Risiken bewertet werden. Wenn unseren Kunden eigene Risiken in ihrer Umge­bung entstehen, obliegt es uns, die Kunden darüber zu infor­mieren, und entspre­chend Sicher­heits­up­dates für unsere Produkte bereit­zu­stellen. Hier greift die voraus­schau­ende Präven­tion von Risiken in der Entwick­lung inein­ander mit der Erken­nung von passenden Reak­tionen im Einsatz beim Kunden und in unserer Produkt­pflege.

Inter­na­tio­nale Normen wie die ISO 27001 und IEC 62443 liefern hierzu Vorge­hens­mo­delle, die Planung, Umset­zung, Über­prü­fung und konti­nu­ier­liche Verbes­se­rung umfassen. Und damit man hierbei nicht bei Null anfangen muss, gibt es dazu einen umfang­rei­chen Katalog von Themen, die mögliche Risiken und den Umgang mit ihnen über Abtei­lungen hinweg beinhalten. Alles muss passen, damit die Kette nicht an ihrem schwächsten Glied reißt.

Wie gut ist MR in Sachen Cyber­si­cher­heit aufge­stellt?

Aktuell ist das Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­system (ISMS) mit dem Fokus auf ETOS® und Liefe­rung von ETOS® Soft­ware Updates durch unser MR-Kunden­portal aufge­baut. Mit dabei sind mit den Entwick­lern auch alle unter­stüt­zenden Bereiche: von der IT über die Perso­nal­ab­tei­lung und dem Einkauf bis hin zur Rechts­ab­tei­lung. Im Projekt ist der aktu­elle Stand durch den von der ISO 27001 vorge­ge­benen Katalog an Maßnahmen geprüft, Risiken sind iden­ti­fi­ziert und Maßnahmen abge­leitet.

Digi­ta­li­sie­rung des Leis­tungs­trafos — was bedeutet das für Heraus­for­de­rungen und Risiken für den Kunden?

Dazu ein Beispiel: Ein ETOS® wird verbunden mit TESSA®, der Asset-Manage­ment-Platt­form. Die dazu nötige Verschlüs­se­lungs-Infra­struktur wird zusammen mit den Fach­be­rei­chen, die die beiden MR-Produkte an den Enden der Verbin­dung verant­worten, entwi­ckelt und aufein­ander abge­stimmt. Zur Secu­rity in der Entwick­lung gehört dabei auch vor Auslie­fe­rung an Kunden unab­hän­gige Über­prü­fungen in Form von Pene­tra­ti­ons­tests und unab­hän­gigen Audits durch­zu­führen. Und selbst­ver­ständ­lich werden auch nach Auslie­fe­rung an den Kunden unsere Produkte über­wacht, um neu entdeckte Schwach­stellen früh zu erkennen, und Soft­ware Updates im MR-Kunden­portal zur Behe­bung bereit­ge­stellt.

Was bringt die Zukunft?

Neben all diesen tech­ni­schen und orga­ni­sa­to­ri­schen Themen gibt es viele recht­liche Entwick­lungen, da auch die Gesetz­geber die Wich­tig­keit von Cyber­si­cher­heit erkannt haben. Ein Beispiel dafür ist der kommende Cyber Resi­li­ence Act, der künftig EU-weit Vorgaben für Produkte mit digi­talen Elementen machen wird. Dank der Vorar­beit und lang­jäh­rigen Erfah­rungen sind wir hier gut vorbe­reitet, um recht­lich und tech­nisch sichere Produkte am Markt anbieten zu können. Selbst­ver­ständ­lich bleiben wir hier ständig am Ball, beob­achten aktu­elle Entwick­lungen, passen unsere Prozesse an und schulen alle unsere Entwickler, denn: Cyber­sicherheit ist ein Team­sport, den wir gemeinsam durch Enga­ge­ment und Fach­kom­pe­tenz meis­tern, um unseren Kunden auch morgen sichere Produkte und Dienste anbieten zu können.


Gleich weitersagen!

Keine Ausgabe mehr verpassen?

Hier geht's zum kostenlosen Abo.