1.      Was bedeutet die Dimension Safety and Security by Design am Fraunhofer IEM?

Matthias Meyer: Mit "Safety und Security by Design" arbeiten wir am Schutz technischer Systeme in zweifacher Hinsicht: "Safety" stellt sicher, dass technische Systeme nach außen hin keinen Schaden anrichten und niemanden gefährden. "Security" konzentriert sich darauf, technische Systeme vor böswilligen Einflüssen von außen zu schützen, insbesondere vor Hackern. Hier geht es etwa um Verfügbarkeit, Schutz vor Manipulation oder den Schutz sensibler Daten. Um rechtzeitig zu analysieren, wo Gefahren durch Sicherheitsvorfälle entstehen können, ist es von entscheidender Bedeutung, Safety- und Security-Probleme integriert und in Abhängigkeit voneinander zu betrachten. Der Ansatz "by Design" bedeutet, dass diese Aspekte von Anfang an in den Entwicklungsprozess einbezogen werden müssen.

Christian Henke: Vielleicht dazu ein Einblick in die Praxis: Im Maschinen- und Anlagenbau ist das Thema Safety ein absolutes Muss. Hersteller von Maschinen und Anlagen bearbeiten und bewerten ihre Safety nach etablierten Standardverfahren wie der Maschinenrichtlinie und weiteren Normen zur funktionalen Sicherheit. In diesem Bereich ist der Maschinenbau sehr weit, weil die Verfahren seit Jahrzehnten bestehen und Voraussetzung sind, um Produkte auf den Markt zu bringen. Das Themenfeld Security kommt nun neu hinzu – und wird vom Maschinenbau noch stiefmütterlich behandelt.

Matthias Meyer: Wir haben uns als Fraunhofer IEM in den letzten Jahren gezielt so aufgestellt, dass wir integrierte Safety- und Security-Analysen mit Industrieunternehmen umsetzen können. Gerade für die frühe Entwicklungsphase haben wir die Themen Gefahrenanalyse und Bedrohungsanalyse methodisch zusammengebracht. So legen wir zum Beispiel offen, welche softwareseitigen Bedrohungen dazu führen können, dass eine Maschine zur Gefahr für ihr Umfeld wird. Diese strukturierte Vorgehensweise setzen wir inzwischen auch in einem Tool um.

2.      Warum kommt künftig kein Unternehmen mehr ohne Safety- und Security-Kompetenzen aus?

Matthias Meyer: Neue Gesetze zwingen den Maschinenbau künftig, sich mehr mit Security zu beschäftigen. Die überarbeitete Netz- und Informationssysteme-Richtlinie (NIS2) legt ab Oktober 2024 europaweit neue Cyber-Security-Mindeststandards für Betreiber kritischer Infrastrukturen fest und fordert ein verbessertes Risikomanagement. Die Radio Equipment Directive stellt Anforderungen an die Cybersicherheit und betrifft ab August 2024 alle Produkte, die Funktechnik benutzen oder Funkschnittstellen haben. Der Cyber-Resilience-Act wird voraussichtlich noch dieses Jahr in Kraft treten und bezieht sich nach Ablauf einer Übergangsfrist ab 2026 auf sämtliche Produkte mit digitalen Elementen, auch reine Softwareprodukte. Und zusätzlich ist eine neue EU-Maschinenverordnung in Arbeit, die nicht erst in nationales Recht überführt werden muss, sondern sofort gelten wird. Die EU will Security zum Industriestandard machen und auch der Weltmarkt wird im Bereich Security-Normen nachziehen.

Alle Vorgaben haben gemein, dass sie in puncto Security deutlich mehr von Unternehmen einfordern: Ein entsprechendes Schwachstellenmanagement und Meldepflichten stehen im Raum – und auch das Thema lebenslange Security-Updates. Die Vorgaben müssten so ab 2026 spätestens gelten. Wenn man dann ein Produkt am Markt hat, dass diese nicht erfüllt und es treten Schwachstellen auf – dann kann es zu hohen Strafzahlungen oder Haftungspflichten kommen und das Produkt muss schlimmstenfalls vom Markt genommen werden.

3.      Ist der Industrie die Bedeutung des Themas bewusst?

Matthias Meyer: Am Fraunhofer IEM haben wir eine Umfrage mit 20 Unternehmen hauptsächlich aus dem Maschinenbau gemacht und das Ergebnis ist alarmierend: Zwei Drittel der Befragten dort betrachten Security noch nicht oder nicht ausreichend.

Christian Henke: Das bestätigt meinen Eindruck. Die Maschinen- und Anlagenbauer spielen auf Zeit. Sie warten ab, wie sich der Markt entwickelt. Sie wissen zwar, dass in den nächsten Jahren neue Vorgaben auf sie zukommen, dass sie parallel zur Safety auch die Security ihrer Produkte nachweisen müssen, um sie auf den Markt zu bringen. Aber aktiv werden sie noch nicht. Meiner Einschätzung nach, gibt es auch sehr wenige Personen, die sich wirklich auf dem Gebiet auskennen. Dem Maschinenbau fehlt noch die Security-Kompetenz in der Belegschaft.

4.      Für alle Unternehmen, die nun hellhörig werden: Gibt es eine Art Sofortmaßnahmenplan, um sich dem Thema initial zu nähern?

Christian Henke: Der erste Schritt sollte sein, zu wissen, was auf einen zukommt. Unternehmen sollten die Situation verstehen und die eigene Betroffenheit klären: Von welchen dieser Regularien bin ich mit meinen Produkten betroffen? Kann es sein, dass ich bald extern prüfen lassen muss, ob meine Produkte „cyberresilient“ sind?

Matthias Meyer: Für Maschinen- und Anlagenbauer ist der VDMA natürlich eine gute Anlaufstelle. Hier gibt es den Arbeitskreis Industrial Security, in dem wir als Fraunhofer IEM beteiligt sind. Die neuen Gesetzgebungen werden hier sehr genau beobachtet – und in Veranstaltungen dazu informiert. Und wir raten Unternehmen, sich unbedingt ein Bild davon zu machen, wie stark ihre Produkte und Geschäft von den neuen Regularien betroffen sein werden. Mit der integrierten Bedrohungs- und Gefahrenanalyse, die wir am Fraunhofer IEM anbieten, können sie sich für ein Produkt einen guten Überblick verschaffen. Das ist ein wichtiger Schritt zu mehr Transparenz. 

5.      Wie sieht ein Workshop zur Bedrohungs- und Gefahren-Analyse am Fraunhofer IEM aus?

Matthias Meyer: Unsere Erfahrung zeigt, dass Unternehmen mit 2-3 Workshoptagen bereits große Erfolge erzielen. Je nachdem, ob eine Gefahrenanalyse bereits vorliegt, steigen wir direkt in die Bedrohungsmodellierung ein. Gemeinsam machen wir uns ein Bild vom System: Welche Datenflüsse gibt es? Wo sind kritische Komponenten? Wo sind Vertrauensgrenzen? Wo kommuniziere ich nach außen zum Beispiel über eine Internetverbindung und erhalte Eingaben von außen? An welchen Stellen können Gefahren und Bedrohungen auftreten? Wenn wir darüber Klarheit haben, können wir das jeweilige Risiko einschätzen und alle nötigen Maßnahmen strukturiert planen. Zuletzt haben wir z.B. gemeinsam mit Kraft Maschinenbau eine systematische, tool-unterstützte Bedrohungsanalyse und Risikobewertung für ein System durchgeführt und die Entwickler:innen mit dem Vorgehen vertraut gemacht. Das Unternehmen nutzt die gewonnenen Erkenntnisse, um weitere Anlagen im Betrieb auf den Prüfstand zu stellen.