In der heutigen Podcastfolge tauchen Sebastian Fischer, Head of Engineering and Manufacturing, und Sven-Christian Dethlefsen, Rechtsanwalt, tief in die neuesten Entwicklungen des EU Data Acts, der NIS2 Verordnung und des Cyber Resilience Acts ein. Wie werden diese neuen Bestimmungen die Industrie 4.0 revolutionieren und was bedeutet das für den Maschinenbau in Europa?
Zusammenfassung der Podcastfolge
In einer spannenden Diskussion beleuchten Sebastian Fischer und Sven-Christian Dethlefsen von colenio, die weitreichenden Auswirkungen des EU Data Acts auf den Maschinenbau, einschließlich der Folge der Datenbereitstellung an Dritte. Sven-Christian, mit seinem juristischen Hintergrund, bringt Licht ins Dunkel über die Ambitionen der EU, einen Binnenmarkt für Daten zu schaffen und wie dies Betriebs- oder Geschäftsgeheimnisse beeinflussen könnte. Sebastian erläutert, warum Daten heute als wertvolles Geschäftsvermögen betrachtet werden und welche Auswirkungen dies auf die Monetarisierung und den Schutz dieser Daten hat. Ein weiterer Schwerpunkt der Folge liegt auf den Herausforderungen im Bereich Cyber Security und Compliance, die durch die Einführung der „NIS2“ Verordnung und des Cyber Resilience Acts entstehen. Diese Episode bietet einen fundierten Überblick über die neuen Richtlinien und wie Unternehmen sich an diese neuen Realitäten anpassen können.
Podcast Interview
Hallo Sebastian, hallo Sven. Herzlich willkommen zum IoT Use Case Podcast. Ich freue mich sehr, dass ihr heute mit dabei seid und euch die Zeit genommen habt. Sebastian, wie geht es dir gerade und wo erreiche ich dich?
Sebastian
Hallo, Madeleine. Schön, dass ich dabei sein darf. Du erreichst mich tatsächlich zu Hause. Mir geht es sehr, sehr gut. Ich konnte das Wochenende sehr schön genießen bei dem tollen Wetter. Nichtsdestotrotz treiben uns ja auch gerade spannende Themen um, mit denen wir uns beschäftigen. Insofern alles bestens.
Ich freue mich, dass du wieder dabei bist. Ich bin total gespannt, was sich seitdem alles getan hat. Heute nehmen wir uns ein sehr wichtiges und sehr spezielles Thema heraus, was auch sehr viele meiner Zuhörerinnen und Zuhörer interessiert. Deswegen freue ich mich sehr auf die Folge. Sven, auch ein herzliches Hallo an dich. Schön, dass du heute mit dabei bist und dir die Zeit nimmst. Wie geht es dir heute? Bist du auch im Homeoffice oder bist du bei euch im Büro? Wo bist du unterwegs?
Sven-Christian
Vielen Dank, Madeleine, dass ich das erste Mal dabei sein darf. Ich bin tatsächlich im Homeoffice. Von daher ganz entspannt. Tür ist zu, niemand stört, sodass wir dann unsere Informationen entsprechend weitergeben können.
Sehr gut, 100 Prozent Fokus auf unser Thema. Lasst uns doch mal direkt starten, um euer Unternehmen dahinter kurz vorzustellen, für die, die euch noch nicht kennen. colenio ist im Bereich IT, Services und Software ganz generell unterwegs. Ihr liefert vor allem für die Herausforderung mittelständischer Maschinen- und Anlagenbauer Lösungen mit einer, ich sage mal, Kombination aus technischer Umsetzungskompetenz, aber auch eben Daten und System-Sicherheit, und regulatorischen Absicherung. Das ist heute unser Fokus, was vor allem für die Unternehmensführung der Betriebe relevant ist. Vielleicht starten wir mal mit euch persönlich. Sebastian, du bist ja Head of Engineering und Manufacturing bei colenio. Kannst du ein bisschen erzählen, mit welchen Kunden ihr arbeitet, damit wir ein Gefühl dafür bekommen, in welchen Branchen und Bereichen ihr da unterwegs seid?
Sebastian
Ja, sehr gerne. Das ist typischer Mittelstand im Maschinen- und Anlagenbau und auch produzierendes Gewerbe mit den Kunden, mit denen wir uns beschäftigen. Kunden, die sich mit dem Thema Digitalisierung auseinandersetzen, seien es IoT-Themen, aber auch Analytik-Themen und auch Kunden, die sich natürlich mit dem Thema IT-Security beschäftigen. Wie sichere ich meine Produktionsanlagen ab, wie sichere ich meine IoT-Umgebung ab, wie schreibe ich sichere Software, aber auch aus der regulatorischen Perspektive heraus betrachtet, auch jetzt im Podcast Richtung EU Data Act und Cyber Resilience Act. Das sind Themen, die uns beschäftigen. Der typische Mittelstand im Bereich 200 bis 2000 Mitarbeiter ist der Fokus der Kunden.
Sehr schön. Danke, Sebastian, für die Überleitung. Gerade jetzt auch im regulatorischen Umfeld beschäftigen wir uns jetzt genau mit den Dingen heute im Podcast. Sven, du bist der Rechtsanwalt bei colenio. Wie kommt das Ganze zusammen? Wann bist du dazu gekommen und warum ist das für eure Kunden wichtig?
Sven-Christian
Ich bin jetzt seit gut einem Jahr bei colenio dabei und einer der Aufhänger war tatsächlich das allumfassende Thema Compliance. Das kann man natürlich zum Teil auch runterbrechen auf das, was uns umtreibt, weshalb wir heute auch hier sind. Wir sind ein Beratungsunternehmen und versuchen umfassend zu betreuen bzw. zu beraten, also nicht nur irgendwo eine Seite zu betrachten. Die Kunden treibt generell das Thema, wie sie mit ihren Daten umgehen, wie sie diese sicher machen können. Da kommen natürlich jetzt so einige Themen auch aus der sogenannten EU-Datenstrategie mit rein, die dann schwerpunktmäßig von der regulatorischen Seite von mir betreut werden.
Um so ein bisschen überhaupt erstmal in das Thema einzusteigen, können wir ja so ein Stück weit die EU-Datenstrategie thematisch einordnen. Könnt ihr ein bisschen beschreiben, was gerade am Markt passiert? EU-Datenstrategie ist ja ein großes Thema, vielleicht können wir es heute entsprechend aus der Praxis beleuchten. Was passiert da gerade am Markt, warum ist das Thema wichtig?
Sebastian
Das ist insofern wichtig, als die EU beschlossen hat, dass Daten einen höheren Geschäftswert in Zukunft haben werden und haben sollen. Und aus diesem Vorhaben, dass Daten unwahrscheinlich wichtig sein sollen, Richtung datengetriebene Gesellschaft, hat man verschiedene Programme bei der EU gestartet, die regulatorisch das Thema auf eine andere Ebene heben. Da gehört dann zum einen das Thema Datenstrategie dazu, das heißt wie gehe ich in Zukunft mit Daten um? Da gehört dann auch der EU Data Act dazu, das heißt wie muss ich Daten zur Verfügung stellen. Da gehört aber auch der AI Act dazu, wie geht man mit künstlicher Intelligenz um? Da gehört aber auch die Cyberstrategie dazu, die sich sehr stark mit dem Thema Security beschäftigt. Da gehört dann unter anderem auch die IT-Sig 2.0 als Regularie dazu, in Deutschland bekannt als IT-Sicherheitsgesetz, aber auch zukünftig der sogenannte Cyber Resilience Act, der sich mit der Produkt-Cyber-Security von tatsächlich herzustellenden Produkten beschäftigt. Das ist eigentlich sehr spannend. Sven, du kannst sicherlich noch etwas ergänzen.
Sven-Christian
Eigentlich muss ich gar nicht groß was ergänzen, du hast das schon sehr gut umrissen. Im Endeffekt geht es bei der EU-Datenstrategie auch so ein bisschen darum, einen Binnenmarkt für Daten zu schaffen. Bisher ist es meistens so, dass wir meistens mit ausländischen Akteuren zu tun haben, viele in Amerika, vielleicht auch China. Die EU hat da festgestellt, dass wir da ein Defizit haben und versucht mit dieser EU-Datenstrategie dagegen anzugehen bzw. den europäischen Ansatz, auch was Datenschutz, vielleicht auch die Beachtung europäischer Werte angeht, höher zu halten bzw. das entsprechend voranzubringen.
Was diese Datenstrategie in der Praxis bedeutet, das wollen wir gleich durchleuchten. Sebastian, kannst du dieses Thema EU Data Act und Cyber Resilience Act einfach mal inhaltlich so ein bisschen einordnen. Was bedeutet das dann in dem Zusammenhang dieser gesamtheitlichen Datenstrategie an der Stelle?
Sebastian
Der EU Data Act gehört im Prinzip zur Datenstrategie der EU. Es ist ein wesentlicher Bestandteil, der erst mal definiert und festlegt, dass zukünftig Daten grundsätzlich zur Verfügung gestellt werden müssen. Das heißt, in Produkten, in Maschinen und Anlagen, die Daten natürlich in irgendeiner Form erheben, weil sie Sensoren haben, Aktuatoren haben, ist der Maschinenbauer angehalten, zukünftig diese Daten frei den Nutzern zur Verfügung zu stellen. Wie das geschieht, über USB-Schnittstelle oder IoT-Lösung, können wir gleich noch besprechen. Auch die Weitergabe der Daten an Dritte wird da ganz genau geregelt. Das heißt, es wird im Prinzip überhaupt erst mal die Möglichkeit geschaffen, mit Daten irgendetwas zu machen, weil jeder angehalten ist, Daten zur Verfügung zu stellen.
Richtung Datenstrategie, also Cyberstrategie, Cybersecurity schauen. Da gibt es dann die NIS 2 als Nachfolge der NIS, also Netzwerk- und Informationssicherheit Richtlinie. Heute bekannt als IT-Sicherheitsgesetz 2.0. Das ist verabschiedet. Es wird in Zukunft das IT-Sicherheitsgesetz 3.0 dann in der Nachfolge geben. Das beschäftigt sich im Wesentlichen damit, wie cyber-sicher mein Unternehmen ist oder wie muss ich mich aufstellen, um mein Unternehmen cyber-sicher zu machen? Also dieser typische Hacker-Angriff, um mich da resilient aufzustellen. Das Besondere hierbei ist, dass es jetzt auch die Breite der Maschinenanlagenbauer betrifft, weil es Unternehmen von besonderem Interesse sind. Das betrifft ungefähr 5000 Unternehmen in Deutschland, die das Thema NIS 2 in Zukunft umsetzen müssen aus den Maschinenanlagenbau.
Ich glaube, das ist auch ein ganz wichtiger Punkt, den du sagst: müssen. Das Bereitstellen der Daten ist ja die Forderung, die dahintersteckt. Bei den anderen zwei Themen geht es so ein Stück weit um das Wie. Wie gebe ich die Daten an Dritte weiter? Wie baue ich auch meine Cybersicherheitsstrategie auf? Sebastian, du hast gerade schon gesagt, es geht um Maschinenbauer, es geht auch um die Produkte dahinter. Angenommen, ich bin Hersteller von einer Verpackungsmaschine, die zum Beispiel im Shopfloor steht. Was bedeutet das denn? Was kommen da jetzt für Anforderungen auf, die für mein Produkt, die Maschine gelten? Wenn ich in Zukunft einen datengetriebenen Service für meine Anlage anbiete, was bedeutet das für dieses Produkt in der Praxis? Könnt ihr das mal so ein bisschen erklären?
Sebastian
Ja, das können wir sehr gerne machen. Nicht nur, wenn ich einen datengetriebenen Service anbieten will, sondern grundsätzlich, wenn ich die Maschine in den Shopfloor stelle, muss ich dem Nutzer die Möglichkeit geben, also demjenigen, der die Maschine gekauft hat, die Daten in irgendeiner Form zu nutzen. Das heißt, ich muss dafür sorgen, dass ich einen Datenzugang zur Verfügung stelle. Dieser Datenzugang muss auch entsprechend modelliert und dokumentiert werden. Der Nutzer muss genau sehen, welche Datenpunkte mit welcher Frequenz, mit welcher Einheit abzugreifen sind. Ich muss einfach dafür sorgen, dass dieser Datenzugriff entsprechend sicher gestaltet wird. Das heißt, dass nur definierte Nutzer, die Zugang zu den Daten haben dürfen, auch Zugang zu den Daten haben. Ich muss mir schon bei Konstruktion und Entwicklung überlegen, wie dieses Datenmodell aussehen kann. Auch die Datenhoheit wird geklärt. Wem gehören die Daten? Wer hat Zugriff auf die Daten? Wie gebe ich Daten an Dritte weiter? Der Nutzer darf zukünftig die Daten an Dritte weitergeben. Wenn wir mal uns die Verpackungsanlage anschauen, das letzte Glied in einer Anlage wahrscheinlich. Wenn wir jetzt bei Lindt sind, da wird Schokolade produziert. Was passiert? Die kochen Schokoladenteig, jetzt mal so gesagt, Schokoladenmasse. Die wird in Form gegossen, in Form einer Schokoladentafel und am Ende verpackt. Für Lindt ist natürlich unwahrscheinlich gut zu wissen, wie die Gesamtanlage funktioniert. Wenn die Schokoladengießmaschine steht, soll die Verpackungsmaschine nicht weiter verpacken. Das heißt, die Weitergabe von Daten unterhalb der Anlagen wird somit viel, viel transparenter möglich.
Was sind denn die Auswirkungen, wenn ich das nicht berücksichtigt habe? Was sind so Auswirkungen, was passiert, wenn ich das nicht tue oder noch nicht berücksichtigt habe, Stand heute?
Sebastian
Die Frage stellt sich im Grunde gar nicht. Ich werde in Zukunft verpflichtet sein es tun zu müssen. Das heißt, wenn der Nutzer Daten haben möchte, muss ich sie ihm zur Verfügung stellen. Idealerweise biete ich als Maschinenbauer natürlich einen digitalen Service an, den ich auch monetär ein Stück weit nutzen kann. Sonst geht mir das Servicegeschäft als Maschinenbauer durch die Hände, weil der Nutzer die Daten grundsätzlich haben darf.
Sven-Christian
Von meiner Seite noch ein kurzer Einwurf. Ich glaube, das ist das Thema. Es gibt schon Vorgaben, im EU Data Act gibt es auch Bußgeldmöglichkeiten, wenn sich Hersteller oder Produzenten nicht an die Regularien halten. Aber ich glaube, das ist gar nicht so wichtig, wichtiger ist das Thema Kunde. Der Kunde hat ein Recht auf die Daten. Und ich gehe davon aus, die Kunden werden dieses Recht auch einfordern. Da macht es Sinn, nicht nur über die reine Produktion der Maschine nachzudenken, sondern auch über Services nachzudenken und sich neue Geschäftsmodelle zu überlegen, die dann aber natürlich datengetrieben sind.
Da habt ihr ein wichtiges Thema aufgemacht, was ich auch im Detail mal durchleuchten möchte. Wie sieht denn dann das Servicegeschäft der Zukunft aus, dass ich diese Daten monetär selbst noch nutzen kann? Da gibt es unterschiedliche Use Cases und auch Business Cases, die sich auftun. Habt ihr ein paar Beispiele aus der Praxis, welche Daten man da wie nutzen kann? Sebastian, du hast gerade von Frequenzen und verschiedenen Merkmaleinheiten gesprochen, die so eine Maschine liefert. Habt ihr Beispiele, wie man diese Daten nutzen kann?
Sebastian
Ja, in verschiedenen Ebenen. Also wenn ich mal an den klassischen Maschinen-Service denke, in Richtung Predictive/Preventive Maintenance, die Daten auch zu nutzen. Der Maschinenhersteller, der die Maschine produziert hat, bietet dem Nutzer einen Service an und sagt, vorbeugende Wartung, in drei Wochen fällt eine Maschine aus, weil… und wir machen proaktiven Service. Sicherlich ein Thema, aber eine andere Richtung wäre auch dem Nutzer der Maschine eine intelligente Versicherung anzubieten, die die Maschine anhand ihrer Nutzung versichert. Wie oft wird die Maschine genutzt und wie sieht das Nutzungsverhalten aus und darüber intelligente Services abzubilden. Oder das anlagenübergreifende Nutzen von Daten, um den Gesamtprozess zu optimieren, zu sichten, um die Effektivität selbst zu optimieren, zu sagen, ich schaffe nicht mehr 1000 Schokoladen die Stunde, sondern vielleicht mit Optimierung an allen Anlagenparametern 1200 Tafeln die Stunde.
Es hängt auch sehr stark davon ab, was der Endkunde für Möglichkeiten bietet. Ganz viele produzierende Betriebe gehen mittlerweile den Weg, dass sie die Daten der Maschinen selbst einbinden, gerade die Großen. Da muss man sich als Maschinenbauer fragen, was denn eigentlich meine Assets sind. Ich habe jetzt zum Beispiel von Use Cases gehört, wo es zum Beispiel um CO2-Daten geht, die man in einem produzierenden Betrieb bereitstellt. Früher waren das Excel-Listen. Jetzt könnte man einem produzierenden Betrieb eine Schnittstelle, worüber du die CO2-Daten abrufen kannst, zur Verfügung stellen. Das wäre so ein Case, wo man sagt, das ist schon alles digital verfügbar oder vielleicht auch andere Cases, die da möglich wären. Sven, hast du da noch Beispiele, wie man diese Daten da nutzen kann?
Sven-Christian
Das wäre jetzt fast mein Beispiel gewesen, mit dem CO2-Verbrauch, denn was das Thema Umwelt angeht oder Umweltzertifikate oder CO2-Zertifikate, dass man da entsprechende Daten zur Verfügung stellt. Auch die Themen Schnelligkeit, Echtzeit, direkter Zugriff über entsprechende Portale, vielleicht auch Versicherung und auch das Thema Optimierung, dass man im Endeffekt in der Lage ist, wirklich eigentlich den gesamten Produktionsprozess abzudecken, kann aber auch natürlich in eine qualitative Verbesserung gehen für das Unternehmen, auch das Thema interne Schulung, um die Produktionsprozesse auch zu verbessern. Daraus ergeben sich an der einen oder anderen Stelle auch Geschäftsmodelle, dass man vielleicht auch von Herstellerseite Optimierungsmöglichkeiten anbietet, weil man auch irgendwo feststellen kann, was ist der Input und was ist der Output und irgendwie passt da an der einen oder anderen Stelle was nicht zusammen.
Ja, sehr schön. An der Stelle auch ein kurzer Hinweis. Also wenn ihr jetzt diese Use Cases oder auch andere spannend findet, sowohl Sebastian als auch Sven, sind bei uns im Netzwerk vertreten. Wenn da Rückfragen sind oder ihr einfach mal mögliche Use Cases diskutieren wollt, kommt gerne auf Sebastian oder Sven zu. Ich verlinke die LinkedIn-Profile in den Shownotes oder wendet euch direkt an mich. Ich glaube, da gibt es ganz viele Cases, die heute auch schon teilweise in der Praxis funktionieren, wo man einfach Infos und auch Mehrwerte teilen kann. Ihr habt gerade drei verschiedene Themen aufgemacht. Die Daten müssen bereitgestellt werden. Es geht um Weitergabe an Dritte und es geht um die Cyberstrategie. Lasst uns da vielleicht mal so ein bisschen in die Tiefe gehen. Was bedeutet das denn jetzt in der Praxis? Könnt ihr da mal so ein paar Insights teilen, was das bedeutet?
Sebastian
Ja, sehr gerne. Also beim Thema Weitergabe von Daten im Rahmen des EU Data Act geht es erstmal um die Rechtssicherheit. Die Frage, wer hat Zugriff auf die Daten, wie kontrolliere ich das? Da geht es darum den Rechtsrahmen zu regeln, in Form von Nutzungsbedingungen, Zugriffsrechten, Nutzerverwaltung. Da geht es am Ende auch um viel technische Security, wie setzt sich das Ganze dann sicher um, dass es nur gewisse Zugriffsrechte gibt. Aber ich glaube, ein wesentlicher Aspekt ist einfach auch den Rechtsrahmen. da gucke ich dann schon wieder Richtung Sven, zu definieren und festzulegen.
Ja. Wie sieht denn so ein Rechtsrahmen aus, Sven, und was für Fragen muss ich mir da stellen an der Stelle?
Sven-Christian
Sebastian hat gerade eben schon so ein paar Schlagworte auch gebracht. Im Endeffekt muss ich natürlich gucken, dass ich vielleicht wirklich eine entsprechende Nutzungsbedingung mit meinem Käufer der Maschine irgendwo vereinbare. Das Thema Benutzerverwaltung ist wichtig. Wie stelle ich die Daten zur Verfügung? Wer hat Zugriff auf die Daten? Der EU Data Act sagt erst mal, dass alle Daten zur Verfügung zu stellen sind. Das heißt alle Daten, die die Maschine irgendwo generiert, produziert, sammelt sind dem Nutzer zur Verfügung zu stellen und wenn der es will, sind diese Daten dann auch an Dritte weiterzugeben. Da kann man dann auch Preisschilder dranhängen. Auch ein wichtiger Aspekt dem Nutzer der Maschine, dem Kunden sind die Daten kostenfrei zur Verfügung zu stellen. Man überlegt sich dann auch, wie man das den Kunden dann am gewinnbringendsten irgendwo anbieten kann. Wenn man alle Daten zur Verfügung stellen muss, was unter Umständen natürlich auch Betriebs- oder Geschäftsgeheimnisse sein können oder andersrum aus den Daten, kann man vielleicht dann auch an der einen oder anderen Stelle auf solche Betriebs- oder Geschäftsgeheimnisse entsprechend gehen bzw. die herausfinden. Das sind z. B. wichtige Aspekte, dass man das auch regulatorisch zwischen Hersteller und Kunde entsprechend festlegt, also einen Rahmen bietet über Nutzungsbedingungen, über entsprechende User Accounts und so weiter und so fort.
Kann man das eigentlich vergleichen mit dem, was wir auch aus den Fahrzeugen heute kennen? Also wenn ich mich in ein modernes Fahrzeug setze, dann begrüßt mich das Fahrzeug ja fast schon mit Namen. Ich melde mich da an, habe meine Apps geladen. Das sind vielleicht auch personenbezogene Daten. Das heißt aber, ich als Maschinenbauer muss einen entsprechenden Vertrag machen, wie das ein Hersteller heute auch macht. Häkchen setzt und der Datennutzung zustimmen. Ist das vergleichbar?
Sebastian
Technisch gesehen sicherlich. Ich muss auch zukünftig an der Maschine dafür Sorge tragen, dass gewisse Daten nur gewissen Personengruppen zugeführt werden. Das ist sicherlich technisch zu bewerten, vertraglich zu bewerten, ähnlich. Auch da muss geregelt werden, wer welche Daten wie nutzen darf. Der Nutzer ist auch in der Lage, Daten an Dritte weiterzugeben. Das heißt, ich möchte jetzt nicht das die Firma der Verpackungsmaschine mir einen digitalen Service, sondern ich möchte den digitalen Service von Amazon, Apple oder von sonst wem beziehen und die möchten gern die Daten der Maschine nutzen, dann darf ich das auch ungeachtet der Betriebsgeheimnisse. Das ist so ein Thema, was die Maschinenbauer auch umtreibt. Man glaubt ja, dass in den Daten die Betriebsgeheimnisse, das Know-How des Unternehmens liegt. Das gilt es am Ende auch zu schützen. Das heißt, ich muss mir als Maschinenbauer schon sehr, sehr genaue Gedanken darüber machen, welche Datenpunkte Betriebsgeheimnisse mit sich bringen könnten. Ich darf diese jetzt aber nicht einfach ausschließen und sagen, ich habe mir jetzt zehn Datenpunkte ausgesucht, die sende ich halt nicht mit oder gebe die nicht aus. Sondern das muss tatsächlich von einem Schiedsgericht entschieden werden, ob es wirklich Betriebsgeheimnisse sind. Die Hürde ist deutlich höher. Ich kann nicht einfach sagen, ich schicke zehn von 100 Datenpunkten nicht raus.
Sven, um die Frage nochmal an dich weiterzugegeben. Gibt es da Lösungsansätze? Wie stelle ich sicher, dass diese Daten, die ich teile, keine Betriebsgeheimnisse beinhalten? Sebastian, du hast ja auch gesagt, der erste Schritt ist, sich überhaupt damit zu beschäftigen. Was könnten das für Daten sein? Gibt es da Lösungsansätze?
Sven-Christian
Festlegen, was keine Betriebsgeheimnisse sind und gleichzeitig alle Daten zur Verfügung zu stellen, das ist das Problem. Deswegen sollte man sich als Hersteller ganz stark Gedanken machen, was für mich ein so wichtiges Datum ist, das generiert wird oder irgendwie zur Verfügung gestellt werden kann. Aus dem heraus man vielleicht auch auf mein Know-how, auf Betriebs- oder Geschäftsgeheimnisse schließen kann. Es gibt Vorgaben, dass alle Daten zur Verfügung zu stellen sind. Man kann aber bei Betriebs- oder Geschäftsgeheimnissen, das ist zurzeit der Diskussionsstand, also der EU Data Act ist gerade in der Mache, dass man einen gewissen höheren Schutz bei Betriebs- und Geschäftsgeheimnissen ansetzt oder versucht anzusetzen. Aber wie Sebastian schon sagte, über die Schiedsgerichtsbarkeit kann dann im Nachhinein doch nochmal versucht werden, auch an diese Daten zu kommen. Einen wirklichen Schutz gibt es so an sich nicht. Wenn jetzt der Nutzer, der Kunde der Maschine, sagt, ich möchte die Daten an einen Dritten weitergeben, also nicht an den Hersteller, dann sind die Daten auch zur Verfügung zu stellen. Da könnte man dann vielleicht höchstens über entsprechende Vertragsgestaltung sprechen und Preisschilder dranhängen, dass man dann auch sagt, ok, wenn du die Daten bekommst, dann kostet das Preis X. Wenn du mehr Daten haben willst, also die tatsächlich in Richtung Know-how Betriebsgeschäftsgeheimnisse gehen, erhöhen wir dann den Preis. Vielleicht auch über eine vernünftige Benutzerverwaltung. Also dass man da auch eine erste Steuerung bzw. auch Kontrolle irgendwo hat, dass nicht jeder X-Beliebige irgendwo auf die Daten zugreifen kann. So nach dem Motto Maschine geht an und stellt fest, Sven hat sich jetzt angemeldet. Hallo Sven, wie geht es dir heute? Lass uns mal anfangen zu produzieren. Also so wird es nicht unbedingt laufen kann. Das ist so eine Frage, wobei man da auch wieder das Thema Datenschutz personenbezogener Daten mit im Hinterkopf behalten sollte.
Okay, das heißt aber, ein Lösungsansatz oder vielleicht auch ein Vorgehen wäre, dass ich überhaupt erst mal definiere, welche Daten ich schützen will. Welche Daten könnten Rückschlüsse auf ein Betriebsgeheimnis geben oder ich gucke mir diese verschiedenen Cluster an Daten an, um die überhaupt im ersten Schritt mal zu definieren. Dann muss man die einzelnen Pakete wahrscheinlich danach schnüren, wo ich dann die Maßnahmen dranhänge. Wäre das so ein Weg?
Sven-Christian
Also in die Richtung würde ich jetzt tatsächlich zurzeit tendieren, dass man wirklich sagt, okay, also der Nutzer, dem muss man alle Daten zur Verfügung stellen, aber wenn es um die Weitergabe geht, tatsächlich, wie du es sagtest, clustered. Das sind Daten, die nicht ganz so dramatisch sind, die können wir gegen einen Preisschild X an Dritte weitergeben. Aber je tiefer es dann natürlich wirklich in die Preisgabe von Know-how oder Betriebs- oder Geschäftsgeheimnissen geht, dass man da dann vielleicht wirklich sagt, ich erhöhe einfach das Preisschild, um ein gewisses Risiko zu unterbinden, dass die Daten anderweitig genutzt werden. Es gibt Schutzmechanismen. Der EU Data Act verbietet auch, durch die Nutzung der Daten dann zum Beispiel eine vergleichbare Maschine herzustellen. Da gibt es schon Möglichkeiten, aber das ist natürlich auch wieder was Juristisches. Da kann man sich dann tatsächlich nur juristisch wehren über entsprechende Vertragsklauseln bzw. Nutzungsbedingungen oder Klauseln im Kaufvertrag für die Maschine.
Ja, sehr gut. Wenn ich die Basis dann habe, da muss ich natürlich sicherstellen, dass die Softwarelösung, die ich einsetze, diese Rollen- und Rechteverteilung ermöglicht auf bestimmte Datenarten und -typen. Da kann ich dann genau sagen, wer in welcher Rolle welchen Zugriff hat und das lässt sich dann über die Softwarelösung steuern, die dahinter steckt, oder?
Sebastian
Das muss auf jeden Fall so passieren und das ganze Thema Cyber Security bekommt ja noch mal deutlich mehr Rückenwind durch den Cyber Resilience Act, der auch Teil der Cyber Strategie der EU ist. Also man versucht mit dem Cyber Resilience Act im Prinzip das Thema Cyber Security in Produkten noch mal auf ein anderes Level zu heben und verpflichtend für alle Hersteller umzusetzen. Im Moment ist das Thema Cyber Security eine reine Selbstverpflichtung. Ich kann, muss aber nicht. Hiermit versucht man letzten Endes das Thema nochmal auf ein anderes Level zu heben, indem man die Maschinenbauer verpflichtet, das Thema Cyber Security in ihren Produkten umzusetzen und auch zu beachten. Also das ist sicherlich auch nochmal ein spannendes Thema.
Stichwort Cyber Resilience Act. Es geht auch immer um die Risikobeurteilung rund um diese Produkte, sei es eine Maschine oder auch die dahinterliegenden Produkte. Wie sieht diese denn dann genau aus? Womit muss ich mich quasi beschäftigen? Sebastian, hast du da mal so ein paar Punkte, womit ich mich als Maschinenbauer an der Stelle beschäftigen muss, wenn es in diese Richtung geht?
Sebastian
Ja, auf jeden Fall. Der Maschinenbauer kennt sicherlich eine Risikobeurteilung im Sinne der Maschinenrichtlinie. Das ist sicherlich hinreichend bekannt, wo ich mich mit der funktionalen Sicherheit einer Maschine beschäftigen muss. Aber in Zukunft muss ich mich auch mit der Cyber-Sicherheit einer Maschine beschäftigen und muss solche Cyber-Risiken auch abschätzen und überblicken können. Das heißt, so typische Klassiker wie ich habe eine USB-Schnittstelle an einem Gerät an der Maschine. Kann da Schadsoftware installiert werden? Wenn die Maschine über IoT angebunden ist, gibt es da vielleicht Einfallstore, wo ein Hacker angreifen und die Maschine übernehmen kann. Das sind typische Themen, mit denen man sich beschäftigen muss. Das heißt, ich muss in Zukunft schon während der Design-Entwicklungsphase eine Risikobeurteilung durchführen und diese muss auch kontinuierlich über den ganzen Produktlebenszyklus weitergeführt werden. Jetzt kommt das ganz besondere hierbei, dass auch die Risikobeurteilung in Zukunft Teil der CE-Konformitätserklärung werden muss. Die Konformitätserklärung bescheinigt ja, dass ich als Maschinenhersteller alle Regeln und Normen, die aktuell gültig sind, bei der Entwicklung oder beim Betrieb der Maschine einhalte. In Zukunft muss ich auch dafür geradestehen, den sogenannten Cyber Resilience Act einzuhalten. Das heißt, ich stehe als Hersteller dafür gerade, dass ich mich mit dem Thema Cybersicherheit meiner Produkte beschäftigt habe in Form einer Risikobeurteilung. Ich kann dann sagen kann, ok, USB-Schnittstelle Risiko 2 von 10, weil ich nur signierte USB-Sticks vom Hersteller da reinstecken kann und nicht jeden x-beliebigen, privaten. Das sind dann so Themen, mit denen man sich beschäftigen muss.
Man kennt ja die bisherige Maschinenrichtlinie, das heißt aber auch, ich muss Kompetenzen aufbauen und Kooperationen aufbauen, um dieses Thema überhaupt zu durchdringen. Ich als Maschinenbauer, habe ja erstmal auch kein Personal, was sich damit auskenne. Das ist wahrscheinlich dann auch dieser Ansatz, wo man eine Kooperation mit Firmen wie euch eingeht, die da unterwegs sind, um diese Kompetenz erstmal überhaupt aufzubauen, das zu verstehen und sich dann mit diesen Risikobeurteilungen zu beschäftigen, das ist ja ein komplett neues Feld, was da aufgemacht wird, oder?
Sebastian
Auf jeden Fall. Ich glaube, es geht noch viel weiter. Es geht nicht nur rein um das Thema Security und rein um das Thema Daten. Ich glaube auch die Wechselwirkung zur Maschine hin. Ich habe ein IoT-Device, was mit einer Steuerung der Maschine gekoppelt ist. Ich habe die funktionale Problematik, wenn ich auf das IoT-Device zugreife, kann ich vielleicht die Steuerung manipulieren, kann Bewegungen ausführen, die zu Gefahr für Leib und Leben werden. Ich glaube, man braucht auch einiges an Maschinenbauer-Branchen-Know-How, um das Thema richtig anzugehen. Ich glaube, das ist ein Stück weit, was uns als Unternehmen vielleicht auch auszeichnet, weil wir nicht nur rein aus der IT-Brille drauf schauen, sondern eigentlich aus der Maschinenbauer-Brille drauf gucken.
Ja, sehr schön. Ich glaube, es ist genau der richtige Weg, eben solche strategischen Partnerschaften einzugehen mit Firmen wie euch. Wenn ihr da das Gespräch suchen wollt, hier eine herzliche Einladung. Ihr beide seid auch im Netzwerk vertreten. Da kann man auf jeden Fall mal sprechen. Ihr habt eben schon die Lösungsvorschläge und auch die Expertise in diese Richtung, wo man auf eine gute Kooperation auch aufbauen kann, angesprochen. Wir hatten über den Verpackungsmaschinenbauer gesprochen. Wie sehen denn jetzt diese konkreten Maßnahmen für unseren Verpackungsmaschinenbauer aus? Ich habe jetzt gelernt, dass alle Daten irgendwo bereitgestellt werden müssen. Das fordert der Gesetzgeber. Es ist zu regeln, wie die Weitergabe an Dritte und die Cyberstrategie funktioniert, mit der ich mich beschäftigen muss. Wie sehen denn jetzt die Maßnahmen für unseren Verpackungsmaschinenbauer für den Cyber Resilience Act aus. Was sind da die Maßnahmen? Sebastian, hast du da so ein paar Beispiele?
Sebastian
Im Wesentlichen muss man sich mit dem Thema Risikobewertung beschäftigen. Das heißt, ich muss einen Prozess im Unternehmen etablieren, wie ich Cyber-Risiken in meinen Produkten bewerten kann. Ich muss dafür Sorge tragen, dass ich updatefähig bin. In Zukunft muss ich in der Lage sein, Sicherheitsupdates auf die Maschine zu bringen. Die Verpackungsmaschine wird sich irgendwie vernetzen müssen. Das muss sie sowieso, weil sie Daten weitergeben muss. Das sind schon die wesentlichen Bestandteile. Sich mit dem Thema zu beschäftigen, die Möglichkeit zu haben, Updates rauszubringen und auch permanent die Maschine zu beobachten im Sinne von Cyber Security. Die Dinge ändern sich über die Zeit. Das kennt man von Windows, man muss ständig Updates machen. Das muss ich letzten Endes als Maschinenbauer auch im Griff haben. Ich glaube, das ist eine wesentliche Fähigkeit, die ich erwerben muss.
Ja, vollkommen. Wenn mein Kunde es dann auch zulässt, das ist ja noch das Thema, was wir am Anfang hatten. Wie kann man denn solche Services monetarisieren und auch eine Partnerschaft mit dem Kunden eingehen, um dann eine Win-win-Situation zu ermöglichen? Die Daten müssen bereitgestellt werden. Wie mache ich das für mein zukünftiges Geschäft auch nutzbar? Das ist so die Richtung, in die da gedacht werden muss. Was ist jetzt der Business Case für unseren Maschinenbauer, wenn wir jetzt das Thema EU Data Act, Cyber Resilience Act oder auch NIS2 betrachten. Was ist der Business Case für Kunden hier?
Sebastian
Das ist relativ einfach zu beantworten aus meiner Sicht. Wenn wir in Richtung EU Data Act schauen, ist der Appell ganz klar, beschäftigt euch mit digitalen Geschäftsmodellen und versucht die Daten als Service anzubieten, damit der Kunde nicht einfach selbst auf die Idee kommt, etwas mit den Daten zu machen. Also in Form von aufbereiteten Dashboards und Performance Analysen, wo auch einfach das Know-how des Maschinenbauers drinsteckt. Wer da noch Hilfe braucht, ich bin Mitglied im Expertenkreis Plattformökonomie vom VDMA. Wir werden in den nächsten Wochen White Paper zum Thema Monetarisierung in digitalen Geschäftsmodellen herausbringen. Da kann man rein stöbern und schauen, wie sowas denn geht. Das gibt es für verschiedene Methoden. Ansonsten gibt es, wenn man Richtung Cyber Resilience Act guckt, schon drastische Strafen. Ich denke, da kann Sven sicherlich mehr dazu sagen aus der Compliance-Brille.
Sven-Christian
Als Business Case würde ich das jetzt nicht unbedingt bezeichnen. Bei den möglichen Strafmaßnahmen sprechen wir nicht über Peanuts, nicht über fünfstellige Beträge, sondern da gehen wir auch in Regionen von zwei bis zweieinhalb Prozent des Umsatzes. Unter Umständen entsprechend hohe Beträge, wenn zum Beispiel das Thema Cyber Resilience Act oder auch NIS2 teilweise nicht umgesetzt werden. Denn das ist ja ein Ausfluss eigentlich dessen, wenn Daten produziert oder hergestellt werden, dass die auch sicher zur Verfügung gestellt werden sollen, beziehungsweise die Maschine muss abgesichert werden. Also dementsprechend sollte man sich da in dem Zusammenhang mit neuen Geschäftsmodellen gleichzeitig mit dem Thema Sicherheit bzw. Resilienz der Daten auseinandersetzen.
Sehr schön. Dann ist das doch auch ein schönes Schlusswort fürs Ende. Ich glaube, das ist auch der Aufruf an alle, die sich heute noch nicht damit beschäftigt haben. Ich weiß, ganz viele gehen auch schon den Weg, aber das ist eben gut, die Experten so wie euch zu haben, die Kontakte zu haben und einfach auch mal dieses Gespräch zu suchen. Wie gehe ich den Weg? Alle Daten müssen bereitgestellt werden. Die Cloud und auch die Softwarelösungen dahinter ermöglichen eben eine gute Nutzerverwaltung auch, um diese Datencluster, wie wir es jetzt vorhin genannt hatten, eben auch zu managen und zu verwalten in Zukunft. Von mir aus erstmal herzlichen Dank, dass ihr heute mit dabei wart. Vielen Dank für eure Zeit und damit würde ich das letzte Wort an euch übergeben. Es hat mich sehr gefreut, dass ihr heute mit dabei wart.
Sebastian
Vielen Dank, dass wir heute dabei sein durften. Ein spannendes Thema, was man in keinster Weise als Bedrohung sehen sollte, sondern eher als Chance betrachten. Mit dem Thema EU Data ACT bekommt das Thema digitale Services noch mal ein bisschen Aufwind. Ich glaube, das ist eine Chance für den Maschinenbau. Das gleiche gilt auch für das Thema Cyber Security. Das muss man als Chance sehen, um seine Produkte richtig abzusichern, um Reputationsschäden zu vermeiden. Also wir betrachten es eher als Chance anstatt als Problem.
Sven-Christian
Das ist eigentlich das, was ich tatsächlich auch noch mal in den Vordergrund stellen wollen würde. Ich würde es als Chance sehen, nicht unbedingt als Hindernis oder unter Kostengesichtspunkten sicherlich natürlich auch nicht einfach für den einen oder anderen Maschinenbauer, aber ich glaube, dass das wirkliche Chancen sind. Wir entwickeln uns immer mehr in Richtung einer datengetriebenen Gesellschaft und da sollten dann natürlich auch die Produzenten oder Hersteller von Maschinen entsprechend mit auf der Welle surfen. Deswegen also vielen Dank auch von meiner Seite. Ich sehe eigentlich auch eher die Chance als das Risiko.
Sehr schöne Schlusswort, dann wünsche ich euch eine schöne Woche und wir hören uns vielleicht nochmal für ein Follow-Up. Macht’s gut!
