SEW-EURODRIVE ist Marktführer der Antriebs- und Automatisierungstechnik. Wir stellen im Podcast die Frage: Wie schützen sie ihre Produkte bspw. „Elektrohängebahnen“ vor Manipulation von außen? Was sind mögliche Gefahren und Schäden für derartige Geräte und Anlagen? Und wie kann man auf Basis von Daten gute Risikoanalysen für Produkte durchführen – und für welche Use Cases? Das erfahrt ihr in Podcastfolge Nummer 123 mit ITK Engineering und SEW-EURODRIVE.
Folge 123 auf einen Blick (und Klick):
- [07:57] Herausforderungen, Potenziale und Status quo – So sieht der Use Case in der Praxis aus
- [17:02] Lösungen, Angebote und Services – Ein Blick auf die eingesetzten Technologien
Zusammenfassung der Podcastfolge
Die zunehmende Digitalisierung und Vernetzung in der Industrie stellt neue Herausforderungen für die Cyber Security dar, insbesondere durch Ransomware und Wirtschaftsspionage. ITK Engineering und SEW-EURODRIVE sprechen in dieser Podcastfolge über ihr gemeinsames Projekt im Bereich Cyber Security und ihre Rollen darin. Das Projekt umfasst die gesamte Bandbreite des Security-Engineering-Prozesses – von der Risikoanalyse bis zum Penetration Testing.
Zu Gast sind beiden Experten Alexander Görbing (Cyber Security Engineer, Tech Lead, ITK Engineering) und Stefan Schmitt (Chief Product Owner, SEW-EURODRIVE).
Gemeinsam diskutieren sie, wie sie im Rahmen des MAXOLUTION® Software-Frameworks zusammenarbeiten, um Herausforderungen der Digitalisierung zu bewältigen und industrielle Prozesse gegen Wirtschaftsspionage und Manipulation zu schützen. Sie betonen die Wichtigkeit der Risikoanalyse, Compliance mit aktuellen Normen und die Vorteile einer verbesserten Diagnostizierbarkeit, um Kunden einen echten Mehrwert zu bieten.
In dieser Folge geht es um:
- die Bedeutung von Präventionsmaßnahmen gegen Wirtschaftsspionage und Sabotage
- die Diagnostizierbarkeit von Anlagen und die Vorteile einer übergreifenden Datenanalyse für die Kunden werden hervorgehoben
- die Analyse und Schutzmaßnahmen verschiedener Datentypen und die Klassifizierung schützenswerter Güter
- die Anwendung von Angriffsbäumen und spezialisierten Tools wie CycurRISK für eine strukturierte Risikoanalyse
- die Wichtigkeit von Normen und Verordnungen, einschließlich des Cyber Resilience Act der EU, für die Produkt- und Prozesssicherheit
- die kontinuierliche Überprüfung und Anpassung der Cyber Security-Strategie angesichts neuer Anforderungen und Entwicklungen
Podcast Interview
Hallo, Alexander, hallo Stefan. Schön, dass ihr heute mit dabei seid. Herzlich willkommen im IoT Use Case Podcast. Alexander, wie geht’s dir? Wo bist du gerade unterwegs?
Alexander
Erst einmal danke für die Einladung und für die Möglichkeit, über unser Projekt hier zu sprechen. Mir geht es gut so weit. Ich bin heute in unserem Berliner Büro und habe mich jetzt gerade in eine kleine Besprechungsbox zurückgezogen, damit wir ungestört hier miteinander sprechen können.
Passend zum Podcast, sehr gut. Stefan, hast du auch eine Besprechungsbox oder wo bist du gerade?
Stefan
Hey Madeleine, auch von mir erstmal danke für die Einladung. Eine Besprechungsbox habe ich nicht. Ich habe mich heute dafür entschieden im mobilen Arbeiten zu bleiben, dass wir hier ganz ungestört unseren Podcast aufnehmen können und bin da halt zu Hause in der Nähe von Bruchsal, wo unser Hauptstandort ist.
SEW, ihr seid in Bruchsal. Sind da nicht auch John Deere und Sulzer? Da kommen noch so einige Unternehmen aus der Region her, oder?
Stefan
Ganz genau, Sulzer ist direkt bei uns in der Hauptverwaltung auf der gegenüberliegenden Straßenseite.
Sulzer war auch schonmal zu Gast im Podcast, schöne Grüße an der Stelle. Freut mich natürlich besonders, dass du stellvertretend für SEW-EURODRIVE heute dabei bist. Ich glaube, Folge 22 war mal ein Kollege von dir mit dabei und das ist ja schon fast eine historische, erste Folge. Schön, dass du heute mit dabei bist.
Zu euch, ITK Engineering: Ihr seid im Sektor IT-Dienstleistungen und Beratung tätig, beschäftigt rund 1300 Mitarbeiter und bietet branchenübergreifende und kundenspezifische Lösungen an, insbesondere im Bereich System- und Softwareentwicklung, und seid in verschiedenen Bereichen aktiv. Ihr verfügt auch über ein eigenes Produkt – ich möchte hier auf Folge 111 verweisen, in der es um das Transparency Toolkit von euch geht. Heute konzentrieren wir uns auf euer gemeinsames Projekt und vor allem auf die Services im Bereich Cyber Security. Habe ich das richtig gesagt? Könntest du näher beschreiben, mit welchen Kunden ihr zusammenarbeitet?
Alexander
Genau, ich habe eigentlich nicht mehr viel beizutragen, denn das war bereits sehr zutreffend. Wir sind ein Ingenieursdienstleister und bieten Dienstleistungen an, die wir in Zusammenarbeit mit dem Kunden individuell erarbeiten, woraus maßgeschneiderte Lösungen resultieren. Die Branchen, in denen wir vorrangig, aber nicht ausschließlich tätig sind, umfassen Mobility – also Automotive, Agriculture, Railway – sowie Industry und Healthcare. Besonders wichtig ist uns der Ansatz der White-Box-Entwicklung. Alles, was wir entwickeln, ist ein Produkt für unseren Kunden. Der Kunde erhält alle Entwicklungs-Artefakte und diese bilden sein geistiges Eigentum. Für all diese Branchen bieten wir auch Security-Services an und verfügen über ein Security-Team von etwa 50 Personen.
Wie kam das eigentlich zustande? Wie habt ihr beide euch kennengelernt und auch die Firmen? Da gibt es wahrscheinlich schon eine Historie dahinter, oder? Wie ist das zustande gekommen?
Alexander
Genau, es gab bereits Projekte zwischen ITK und SEW, aber Stefan und ich haben uns persönlich im Rahmen eines Projekts kennengelernt. Soweit ich das beurteilen kann, lief alles ziemlich typisch ab. Ein Beratungsprojekt, bei dem das System geprüft wurde, ging voraus. Als Ergebnis dieses Reviews stellte sich heraus, dass es auch security-relevant ist. Daraufhin führten wir zunächst eine leichtgewichtige Gap-Analyse durch, um den Bedarf zu ermitteln, und passten dann ein Projekt an die Bedürfnisse von SEW an. Jetzt begleiten wir den Security-Prozess entsprechend.
Du hast das System bereits erwähnt, und wir möchten heute mehr darüber erfahren, um was für ein System es sich handelt und wie ihr als Security-Experten die Analyse durchführt. Um das Projekt einzuordnen: Im Podcast sprechen wir über verschiedene Use Cases aus der Praxis. Nun verstehe ich, es geht um das Thema Security. Könntest du uns kurz einführen, worum es in eurem Projekt geht?
Alexander
Wir unterstützen unsere Kunden im gesamten Security-Engineering-Prozess. Das umfasst die Risikoanalyse, die Entwicklung von Security-Konzepten, Unterstützung bei der Implementierung und auch das Testing, bis hin zum Penetration Testing. Zudem beraten wir zu neuen Normen oder Verordnungen. In diesem Fall ging es um Industrienormen, die eingehalten werden müssen, sowie um Verordnungen wie den Cyber Resilience Act, der zunehmend an Bedeutung gewinnt. Wir bewerten auch, was dies für die Produkte und Prozesse unserer Kunden bedeutet.
Vielleicht sollten wir zunächst SEW-EURODRIVE vorstellen. Bei SEW-EURODRIVE denkt man primär an Elektromotoren, aber Stefan, ihr bietet weitaus mehr. Ihr habt auch diverse Softwarelösungen, etwa im Bereich IoT mit DriveRadar®, sowie verschiedene Services. Könntest du uns ein wenig darüber erzählen, was heute alles zu eurem Portfolio gehört?
Stefan
Schön, dass du es erwähnst. Tatsächlich liegt unser Kerngeschäft bei Antrieben und Automatisierungstechnik. Hier sind wir als einer der weltweiten Marktführer bekannt und in fast allen Branchen zu Hause. Aktuell bin ich Teil der Marke MAXOLUTION – system solutions. In diesem Bereich konzentrieren wir uns primär auf Applikationen in der Automobilindustrie und Logistik und nutzen dabei natürlich auch Module aus unserem Baukastensystem des Kerngeschäfts, um unseren Kunden innovative Komplettlösungen für die Fabrikautomation anzubieten.
Ich habe mich vorab online etwas informiert und aktuelle Kennzahlen von euch zusammengestellt. Ihr seid ein enorm großer Betrieb mit 21.000 Mitarbeitern, über 17 Fertigungswerken und diversen, ich glaube, ihr nennt sie Drive Technology Centern, von denen ihr rund 80 bis 90 in 54 Ländern mit entsprechendem Wachstum habt. Es handelt sich also um eine sehr große Organisation. MAXOLUTION® ist jetzt so ein Systembereich. Könntest du vielleicht noch einen Schritt zurückgehen und etwas zu eurer Vision bezüglich IoT und datengetriebener Analyse für eure Kunden erklären? Was passiert da bei euch im Markt?
Stefan
Ich beschreibe MAXOLUTION® eigentlich immer mit ein paar Themen, die für mich persönlich von besonderer Relevanz sind. Zum einen bieten wir Komplettlösungen im Bereich mobiler Systeme an, darunter mobile Transport- und Assistenzsysteme sowie Elektrohängebahn- und Schubskid-Anlagen. Wir sind Partner von 60 Automobilisten in 160 Werken. Wenn man so will, ist MAXOLUTION® dann nicht nur ein innovativer Teil der SEW-EURODRIVE, sondern wir sind auch einer der Kunden, weil wir dieses ganze Systemgeschäft natürlich mit unserem Standardportfolio abdecken und damit auch immer wieder auf unsere jahrzehntelange Expertise im Service Elektronik zurückgreifen können.
Mobile Transportsysteme sind vielen wahrscheinlich bekannt. Man denkt dabei an Elektrohängebahnen, an denen meist Karosserieteile hängen – um beim Beispiel der Automobilbranche zu bleiben. Diese Systeme bestehen wahrscheinlich aus Frequenzumrichtern und, wie soll ich sagen, Aluminiumträgern? Wie würdest du eine Elektrohängebahn beschreiben?
Stefan
Ja, ich würde sie allumfassend als schienengeführte Systeme bezeichnen. Wir haben diese Hängebänder, die einer Schiene folgen, meist über die Positionierung mittels QR-Code oder eines QR-Bandes. Je nach Anwendungsbereich integrieren wir sogar Hubwerke. Und natürlich verfügt jedes System über ein eigenes Konzept zur Functional Safety.
[07:57] Herausforderungen, Potenziale und Status quo – So sieht der Use Case in der Praxis aus
Viele Unternehmen setzen vielleicht eure Hardware oder Systeme ein, nun aber auch die entsprechende Software. Können wir vielleicht über den Business Case eurer Kunden oder auch über euren eigenen sprechen? Worum geht es genau? Ihr stellt ja diese hochwertigen Anlagen her. Was verliert der Kunde – hart gefragt – an Zeit und Geld ohne euch?
Stefan
Wir haben jedoch bei unseren Kunden festgestellt, dass im Automotive-Bereich durch die Vielzahl an Zulieferern und verschiedenen Dienstleistern viele unterschiedliche Lösungsansätze für lokal begrenzte Anlagen innerhalb einer Produktionslinie oder Endmontage existieren, was zu vielen verschiedenen Standards und Schnittstellen führt. Oft sind es klassische SPS, die an die Feldbusse angebunden sind und teilweise auch steuernd in den Produktionsprozess eingreifen. Das führt dazu, dass die Logik einer Komplettanlage meist sehr dezentral ist und im Fehlerfall fällt es sehr schwer, das zu diagnostizieren. Unser Ziel ist es, mit unserem System hier anzusetzen und die Diagnostizierbarkeit zu verbessern, Daten aus der Fertigung zu sammeln, zu übertragen, zu korrelieren und eine übergreifende Fabrikübersicht sowie eine Historie über den Zustand der Fabrik zu erstellen.
Am Ende möchten wir die gesammelten Daten analysieren. Heute geht es ja vor allem auch um das Thema Security und, wie Alexander es nannte, um die Risiko-Analyse. Warum ist das wichtig? Es geht ja um verschiedene Gefahrenszenarien. Alexander, könntest du dazu etwas sagen? Welche Gefahrenszenarien gibt es?
Alexander
Genau, grundsätzlich ist zu sagen, dass, wie Stefan bereits erwähnte, die zunehmende Digitalisierung und Vernetzung in der Industrie neue Herausforderungen für die Cyber Security mit sich bringt. Wir sehen weiterhin eine hohe Verbreitung von Ransomware, die hauptsächlich für Erpressungen genutzt wird. Aber auch nicht nur. Die eine Motivation ist Gelderpressung, die andere ist, dass Angriffe über Fabriknetzwerke erfolgen können, um Manipulationen durchzuführen zu Sabotagezwecken. Im Endeffekt möchte man Denial-of-Service-Attacken ausführen, die dazu führen, dass die Produktion stillgelegt wird oder aber auch, dass die Produktion einfach nur ineffizient läuft. Ein weiterer wichtiger Aspekt ist die Wirtschaftsspionage, bei der es um das Entwenden von Daten oder geistigem Eigentum geht. Im Projekt mit SEW haben wir festgestellt, dass auch die IP von SEW selbst Gefahren ausgesetzt ist.
Stefan, wie sieht das für euch in der Praxis aus? Könntest du diesen Punkt vielleicht noch etwas erläutern? Ich habe jetzt verstanden, es geht um Präventionsmaßnahmen gegen Wirtschaftsspionage und Sabotage unter anderem. Gibt es aus deiner Sicht noch Ergänzungen?
Stefan
Ja klar, Alexander hat es schon schön erklärt. Das sind so diese überlagerten Dinge, Use Cases oder auch Fragen, die man sich stellen muss. Ab dem Punkt, an dem wir entscheiden, den Shopfloor-Bereich mit seinen abgeschlossenen und in sich konsistenten Systemen zu verlassen, die oft durch spezielle Schlüssel für Schaltschränke gesichert sind, betreten wir eine neue Ebene. Wir möchten Daten in die IT überführen. Das bedeutet, wir haben viele Softwareprodukte und kommunizieren in verschiedenen Netzwerken mit unterschiedlichen Protokollen. Das Risiko und die Angriffsfläche, wo Daten Unsicherheiten ausgesetzt sind, wird enorm größer. Ein mögliches Szenario ist, dass ein Angriff auf Systeme zur Anlagenanzeige, Diagnose oder zum Monitoring der Anlage zu einem Anlagenstillstand führen könnte. Gerade im Automobilbereich können so innerhalb kürzester Zeit hohe Verluste entstehen.
Gibt es auch Anwendungsfälle für eure Kunden, wenn es um Themen wie Diagnostizierbarkeit geht, zum Beispiel bei Schadensentstehung oder Nachweisführung? Ich meine, diese Daten zu haben, bietet ja auch einen enormen Vorteil für eure Kunden in verschiedensten Bereichen, oder? Siehst du noch weitere Anwendungsmöglichkeiten?
Stefan
Wenn ein Anlagenstillstand eintritt, ist der Anlagenbetreiber natürlich darauf bedacht, die Ursache und den Verantwortlichen zu ermitteln. Für uns ist es zudem eine Sicherheit gegenüber Wettbewerbern oder anderen Zulieferern und Dienstleistern, die in der Anlage vertreten sind. Und für unsere OEMs gilt das Gleiche. Die Leute, die unser System kaufen und beim Kunden installieren, meistens sind es unsere eigenen EURODRIVEs weltweit, haben damit auch ein Maß an Sicherheit.
Direkt noch eine Frage zu den Daten: Ihr hattet die SPS erwähnt, also es werden sowohl auf der Feldebene als auch in verschiedenen IT-Systemen Daten aufgenommen. Könntest du ein paar Beispiele für die Art der Daten oder Datentypen nennen? Vielleicht auch ein Beispiel von der Hängebahnanlage, damit man es sich besser vorstellen kann.
Stefan
Konkret bei der Hängebahn sammeln wir Daten über Geschwindigkeit, Positionierung oder auch Notausbetätigungen – wie oft und an welcher Stelle sie gedrückt wurden. Dann gibt es auch Daten von peripheren Geräten, und damit meine ich alle Geräte, die nicht direkt aus unserer Hand kommen. In einer Endmontage-Linie wären das beispielsweise Drehmomentschrauber oder Reißleinen. All diese Daten werden mit Edge Devices, Stichwort Edge Computing, gesammelt. In anderen Fällen müssen wir uns an eine Anlagen-SPS dranhängen.
Alexander, ihr analysiert ja insbesondere die Daten. Könntest du genauer erläutern, wie ihr euch diese Daten anschaut, insbesondere die Beispiele, die Stefan genannt hat? Kannst du das nochmal so ein bisschen ausführen?
Alexander
Ja, natürlich sehr gerne. Wir betrachten, um welche Art von Daten es sich handelt und welche Datentypen vorliegen. Da muss man unterscheiden. Wir gucken uns auch den Datenfluss an, also die Kommunikationswege, auf denen diese Daten verteilt werden und wo Daten persistiert werden, also wo sie abgelegt und gespeichert sind. Da müssen wir auch gucken, wir müssen unterscheiden, wir bestimmen diese Daten als sogenannte schützenswerte Güter. Dabei differenzieren wir zwischen unsensiblen oder weniger sensiblen Daten, die lediglich vor Manipulation geschützt werden müssen, und sensiblen Daten, die vor unbefugtem Zugriff Dritter geschützt werden müssen.
Das heißt, ihr clustert diese Daten in verschiedene Typen und vielleicht auch noch Use Cases?
Alexander
Ja, durchaus. Wir machen auch diese Unterscheidung nicht nur bei den Daten. Wir definieren auch andere schützenswerte Güter wie Hardware, Software, Source Code oder Konfigurationen. Dabei konzentrieren wir uns darauf, was wirklich schützenswert ist. Muss die Integrität geschützt werden? Muss die Verfügbarkeit gewährleistet sein, damit Systeme oder Hardware funktionieren? Oder geht es um die Vertraulichkeit, also müssen Daten verschlüsselt gespeichert werden, um Einsicht Dritter zu verhindern?
Angenommen, es fände eine externe Manipulation statt, wie würde man das bemerken? Stefan, könntest du darauf noch einmal eingehen? Du hast von peripheren Geräten gesprochen, etwa von einem Drehschrauber. Wie würde man eine solche Manipulation in den Daten erkennen?
Stefan
In der Regel würde wohl zunächst ein Qualitätsalarm ausgelöst. Nehmen wir an, jemand hätte das vorgegebene Drehmoment für einen Schrauber geändert, wäre dies zunächst nicht bemerkbar, da der damit verbundene Alarm nicht aktiviert würde. Unser System würde jedoch verfolgen, welche Drehmomente tatsächlich angewendet wurden und ob es zu einem Fehler kam. Das könnten wir nachträglich mit unserem System feststellen, da wir auch eine Datenaufzeichnung durchführen. Die aufgezeichneten Daten gehen nicht verloren. Wir sind in der Lage, mit unserem System ein Replay der erfassten Daten aus der Vergangenheit anzugucken. Dies geschieht mit unserem digitalen Zwilling, einer detailliert gestalteten 3D-Fabrik, in der wir die aufgezeichneten Daten im Replay analysieren und nachvollziehen können, wie sich die Anlage verhalten hat.
Wir hatten über Ursachenanalysen gesprochen, also darüber, Resilienz zu beweisen und Schadensfälle zu untersuchen. Diese Analysen lassen sich natürlich ausgezeichnet auf Basis der Daten im Data Recording durchführen.
[17:02] Lösungen, Angebote und Services – Ein Blick auf die eingesetzten Technologien
Viele unserer Hörerinnen und Hörer kennen solche Szenarien in ähnlicher Form. Vielleicht ist es nicht ein Drehmomentschrauber, sondern ein anderes Gerät. Alexander, könntest du erklären, was eure Lösung genau kann?
Alexander
Grundsätzlich arbeiten wir Tool- und Methodik-unabhängig. Wir können also auch die vom Kunden vorgegebenen Methodiken und Tools für die Risikoanalyse nutzen. In diesem Projekt war das nicht der Fall, deshalb konnten wir unsere eigene Methodik anwenden. In der Methodik verwenden wir Angriffsbäume, die den Pfad des Angreifers im System nachbildet. Wir nutzen da gerne das Tool CycurRISK von ETAS, unter anderem auch, weil wir das mitentwickelt haben. Wir haben da sehr viele Features einfließen lassen, die genau unsere Methodik nachbilden. Dieses Tool ermöglicht uns ein einfaches, methodisches und systematisches Vorgehen und schafft eine Struktur. Das Ergebnis ist ein Leitfaden, der nicht nur für uns, sondern auch für den Kunden nachvollziehbar macht, wie wir die Analyse durchgeführt haben.
Du hast vom Angriffsbaum gesprochen, das heißt, im besprochenen Fall würden wir uns das Data-Recording oder die persistenten Daten ansehen und genau erkennen, ob zum Beispiel ein Qualitäts-Use-Case aufgetreten ist, wie Stefan erläuterte, wo etwa die Soll- und Ist-Werte eines bestimmten Schraubers abweichen. Ihr könntet das dann anhand der Daten nachvollziehen und könntet das als Use Case aufmachen und auch analysieren an der Stelle?
Alexander
Genau, zuerst müssten wir feststellen, was das schützenswerte Gut ist. In diesem Fall wären es die persistenten Daten, denn diese werden genutzt, um beispielsweise den Schrauber einzustellen. Dann identifizieren wir eine potenzielle Gefahr – zum Beispiel die Manipulation des Drehmoments. Wir untersuchen, wo diese Daten liegen und wie ein Angreifer diese Gefahr auslösen könnte. Das könnte remote über das Internet geschehen, wenn die Anlage ans Netz angeschlossen ist, oder über das Fabriknetzwerk, also WLAN, oder durch einen Angreifer vor Ort. Wir betrachten diese verschiedenen Pfade, identifizieren Schwachstellen, die ein Angreifer ausnutzen könnte, und bewerten sie, um das Risiko abzubilden. Anhand dieses Baumes, der verschiedene Pfade aufzeigt, können wir dann nachvollziehen, welchen Weg ein Angreifer wahrscheinlich wählen würde, da wir davon ausgehen, dass ein Angreifer stets den Weg des geringsten Widerstands wählt. Dabei lassen wir keinen Pfad außer Acht und stellen alle Möglichkeiten umfassend dar.
Ihr schaut euch wirklich die einzelnen schützenswerten Güter an. Kannst du ein bisschen ausführen, wie jetzt genau diese Datenverarbeitung geht, vor allem auch die Analyse der Daten und auch ein Stück weit die Priorisierung?
Alexander
Ja, sehr gerne. Ich habe schon darüber gesprochen, dass wir die schützenswerten Güter identifizieren. Sowas machen wir zusammen mit dem Kunden. Der Kunde weiß natürlich am besten über sein System Bescheid. Wenn wir diese schützenswerten Güter haben, auch Assets genannt, dann identifizieren wir Damage Scenarios. Das sind konkrete Schadensszenarien, die eintreten können für sein System. Was wir auch noch immer mit dem Kunden zusammen machen, ist dann eine individuelle Abschätzung über die Art und auch die Höhe des Schadens. Wir unterscheiden dabei zwischen operativem Schaden, wenn beispielsweise die Produktion ausfällt oder Geräte kaputtgehen. Wir gucken uns aber auch finanziellen Schaden an. Der Kunde muss uns dann sagen, was für ihn ein geringer finanzieller Schaden ist und was ein hoher finanzieller Schaden ist. Personenschaden fließt auch mit in die Analyse ein.
Solche Szenarien, wie mit dem Drehmoment, schaut ihr euch an und schreibt dann am Ende auch dieses Gefahrszenario speziell für solche Cases zum Beispiel auf?
Alexander
Ganz genau. Parallel dazu erarbeiten wir in einer Expertenabschätzung diese Angriffe, wie schon erwähnt, auch über die Angriffsbäume und bewerten auch eben diese Eintrittswahrscheinlichkeit. Das Ergebnis ist ein resultierendes Risiko für jede Gefahr. Das ergibt sich aus der Kombination von Eintrittswahrscheinlichkeit und der Schadenshöhe beim Kunden. Einfach ausgedrückt bedeutet das: Wenn ein Angriff sehr leicht durchführbar ist und die Wahrscheinlichkeit sehr hoch ist, aber der potenzielle Schaden sehr gering bleibt, kann dies dennoch ein geringes Risiko darstellen, da die Schadenshöhe nicht sehr hoch ist. Bei einer mittleren Eintrittswahrscheinlichkeit und bei einem hohen Schaden würde das aber auch bedeuten, dass das Risiko dann hoch ist. Solche Möglichkeiten oder so eine Visualisierung ermöglicht es dem Kunden durchaus Angriffspotenziale zu erschließen, die vielleicht vorher unvorhergesehen waren.
Vollumfängliche Schadensszenarien-Analysen führt ihr je nach Case gemeinsam mit euren Kunden und Partnern entsprechend durch. Stefan, ihr nutzt also die Bewertungen von Alexander und seinem Team als Ergebnis, um diese weiter zu verarbeiten.
Stefan
Genau, wir erhalten von ITK, insbesondere von Alexander und seinem Team, einen Report über die kompletten Attack Trees und die Assets, die wir haben, sowie über die schützenswerten Güter. Mit diesen Informationen können wir nachvollziehen, welche Teile unseres Produkts besonders risikobehaftet sind, wo Schnittstellen eventuell noch besser geschützt werden müssen, und wo wir die Authentifizierung verstärken sollten. Solche Berichte machen Lücken für uns sichtbar und sind das Ergebnis des ersten Schritts unserer Zusammenarbeit.
Warum ist es für euch so wichtig, diese schützenswerten Güter zu kennen, insbesondere in Bezug auf ihre Klassifizierung als sensibel oder nicht sensibel?
Stefan
Natürlich in erster Instanz geht es darum, Schaden zu minimieren. Wir sind da, wie gesagt, in laufenden Produktionsanlagen unterwegs. Was wir ebenfalls mit unserem System tun, ist die Visualisierung der Anlagen direkt auf Anzeigetafeln in der Produktion zu ermöglichen. Das bedeutet, dass, wenn wir beispielsweise Mängel in Bezug auf Qualität und dergleichen nicht anzeigen würden, weil jemand im System entsprechende Anpassungen vorgenommen hat und das Fehler-Reporting ausbleibt, die Werke gar nicht erst erkennen würden, dass ein Qualitätsproblem vorliegt. Die Produktion würde unvermindert weiterlaufen, und wir würden den Fehler über viele produzierte Fahrzeuge hinweg durchziehen, was natürlich zu einem massiven Schaden führen würde. Andererseits sind wir natürlich auch verpflichtet, bei der Veröffentlichung eines Softwareprodukts entsprechende Security-Normen zu erfüllen.
Genau, jetzt seid ihr ja dazu verpflichtet, regelmäßig für eure Produkte bestimmte Normen einzuhalten, beispielsweise durch die TISAX®-Verordnung. Diese umfasst eine Überprüfung der Informations- und Cybersicherheit, die, glaube ich, vom Verband der Automobilindustrie (VDA) vorgegeben wird. Gleichzeitig ist ein Treiber auch der Cyber Resilience Act der EU, der insbesondere vorsieht, Produkte, die digitale Elemente enthalten, zu stärken. Dieser Rahmen soll ja wirklich Unternehmen dazu anhalten, angemessene Sicherheitsfunktionen in ihre Produkte zu integrieren und zu gewährleisten, dass diese sicher sind…
Alexander
Genau – zum Cyber Resilience Act kann ich hinzufügen, dass dieser in Zukunft besonders relevant für alle Hersteller sein wird, die Produkte auf dem europäischen Markt anbieten. Es wird sehr verbindliche Cyber-Security-Vorschriften geben, deren Umsetzung bald erfolgen muss, da nicht mehr viel Zeit bleibt. Es ist wichtig, sich frühzeitig damit auseinanderzusetzen und wenn nötig, rechtzeitig Schutzmaßnahmen zu ergreifen.
Ja, das ist ja auch ein Treiber, der vom Gesetz vorgegeben ist. Daher ist es sinnvoll, frühzeitig Experten wie euch einzubeziehen, um Risiken rechtzeitig zu erkennen und Schäden präventiv zu vermeiden. Gibt es für euch auch die Anforderungen dieses System dann in der Zukunft weiter selber zu nutzen und auszubauen? Ich denke, ihr habt ja dann auch ein großes Interesse daran, verschiedenste Dinge noch weiter zu nutzen und das auch selbst in euren Teams auszubreiten. Wie sieht das dort mit den Anforderungen aus, auch in Richtung Zukunft?
Stefan
Ja klar, nachdem wir die Software im ersten Release geprüft und alle Lücken sowie relevante Attack Trees identifiziert und adressiert haben, werden wir sicherlich weiter an dem Produkt arbeiten und dessen Funktionsumfang erweitern. Zukünftige architektonische oder hardwareseitige Änderungen in unserem Gesamtsystem erfordern eine erneute Überprüfung der Cyber Security. Das heißt, es ist ein kontinuierlicher Prozess, bei dem jede Änderung erneut auf Sicherheitsrisiken hin überprüft werden muss. Wir müssen also auch in Zukunft diese Überprüfungen durchführen lassen oder sogar das Tooling selbst nutzen.
Ja, und Alexander, genau hier schließt sich der Kreis, wie du am Anfang erwähnt hast. Viele Partner und Kunden arbeiten mit dem System, nutzen es intern und bauen es dann mit eurer Hilfe aus. Sie beginnen mit eurer Unterstützung und entwickeln es dann mit ihren eigenen Fähigkeiten, Prozessen und Experten weiter.
Alexander
Genau, also das Tool ist unter Lizenz verfügbar, es kann erworben und für eigene Zwecke genutzt werden. Die Ergebnisse, die aus der Risikoanalyse hervorgehen, können die Kunden direkt selbst bearbeiten. Wir erstellen nicht nur einen Report, wie Stefan schon sagte, sondern stellen auch die Daten zur Verfügung, die der Kunde dann mit dem Tool weiterbearbeiten kann. Außerdem unterstützen wir unsere Kunden dabei, das nötige Wissen für die Anwendung des Tools zu erwerben. Wir bieten Trainings an und helfen gerne weiter.
In Anbetracht der Zeit und der vielen weiteren Fragen, die sich nun ergeben, möchte ich darauf hinweisen, dass Interessierte, die ähnliche Themen auf dem Tisch haben und sich austauschen möchten, die Möglichkeit haben, euch zu kontaktieren. Ich würde einfach mal eure LinkedIn-Kontakte in den Shownotes verlinken. Dort kann man sich auch gerne direkt mit euch vernetzen. Wohin entwickeln sich eure Visionen und was können wir in Zukunft erwarten? Alexander, kannst du etwas zu den Funktionen, Features und Services sagen, die ihr anbietet?
Alexander
Am Anfang habe ich erwähnt, dass wir den Security Engineering Process unterstützen. Das bedeutet, dass nach einer erfolgten Risikoanalyse der Prozess noch nicht abgeschlossen ist; wir haben noch kein sicheres System. Dies wird aktuell in einem Folgeprojekt mit SEW angegangen, in dem wir das Security-Konzept entwickeln. Daraus werden dann konkrete Maßnahmen definiert, aus denen Anforderungen für das System entstehen, die implementiert werden müssen. Zudem ist nach der Definition von Maßnahmen zur Absicherung des Systems eine sogenannte Restrisikoanalyse erforderlich. Diese lässt sich mit dem Attack-Tree-Ansatz unserer Methodik leicht durchführen. Wir integrieren diese Maßnahmen in die vorhandenen Angriffsbäume, was eine Neubewertung aller Risiken mit aktiven Maßnahmen zur Folge hat. Das Ergebnis zeigt die Auswirkungen der Maßnahmen und ob sie das Risiko ausreichend senken. Die Restrisikoanalyse dient dann als gute Grundlage für unsere Kunden, um bei Systemänderungen die Analyse zu wiederholen. Bei der Hinzufügung neuer Elemente oder Funktionen kann sofort erkannt werden, welche Auswirkungen dies auf das Risiko des Systems hat.
Stefan, wie ist das bei euch? Wie wollt ihr das System nutzen? Was kommt da vielleicht bei euch noch in Zukunft dazu?
Stefan
Alexander hat bereits erwähnt, dass wir, konkret ich zusammen mit unserem Lead-Architekten und Security-Champion, aktiv mit ITK an einem Sicherheitskonzept arbeiten, um bereits identifizierte Gaps zu schließen. Dieses Vorgehen werden wir auch in der Zukunft so weiterleben. Das wird speziell dann wichtig, wenn wir mit unserem Produkt tatsächlich diese Begleitung der digitalen Transformation in den Fabriken noch weiter ausbauen. Das heißt unter anderem auch Retrofits für unsere Kunden anbieten und damit unser Portfolio in Richtung Edge Devices/Edge Computing noch weiter ausbauen müssen und im Rahmen vieler Projekte auch unsere Architektur immer wieder neu in Frage stellen und gegebenenfalls erweitern müssen. Daher ist es für uns wichtig, die Ergebnisse, die wir dank ITK bereits erzielt haben, zu nutzen und darauf aufbauend neue Analysen zu starten, um mit der Weiterentwicklung unseres Produkts alle Anforderungen der Cyber Security zu erfüllen.
Sehr schön, vielleicht lohnt sich ja sogar ein Update in einem Jahr, um die Entwicklungen zu sehen und wie ihr die Analysen vorantreibt und erweitert, um für eure Kunden und Partner die Sicherheitsrisiken abzudecken. Herzlichen Dank für diese Folge. Es war sehr verständlich, nicht nur technologisch, wie es funktioniert, insbesondere mit den Reports und dem Data Recording. Wir haben über verschiedene Schwachstellen gesprochen und über euer gemeinsames Projekt sowie die Vorteile einer Risikoanalyse und Prävention. Diagnostizierbarkeit bietet große Vorteile, um Themen wie Wirtschaftsspionage, Sabotage und Schadensnachweise zu adressieren. Herzlichen Dank, dass ihr dabei wart. Das letzte Wort gebührt euch. Vielen Dank und eine schöne Restwoche.
Alexander
Vielen Dank für diese Chance hier in dem Podcast. Ich will mich auch nochmal bei unserem Kunden, bei Stefan, bedanken. Es hat uns sehr viel Spaß gemacht, in dem Projekt zusammenzuarbeiten. Auch bezüglich des Produktes eine sehr schöne Abwechslung. Vielen Dank nochmal für die partnerschaftliche, professionelle Zusammenarbeit.
Stefan
Ja, da schließe ich mich euch mal an. Vielen Dank, Madeleine, dass wir hier auch mitwirken durften. Ein besonderes Dankeschön an Alexander, der uns als Partner eingeladen hat. Die Zusammenarbeit mit ITK war nicht nur sehr partnerschaftlich und konstruktiv, sondern hat uns auch neue Blickwinkel eröffnet. Wir als Traditions-Unternehmen, das sehr viel in der Anlagenautomatisierung und geprägt vom Maschinenbau unterwegs ist und weniger Erfahrung mit reinen Softwareprodukten hat, lernen stetig dazu. Diese Partnerschaft ist extrem wertvoll und ich hoffe, dass sie in Zukunft so weitergeht.
Das war doch ein schönes Schlusswort für heute. Damit vielen Dank und noch eine schöne Woche für euch. Macht’s gut.