Wichtig ist, dass sich Unternehmen jetzt um das notwendige Security-Know-how bemühen

Interview mit Steffen Zimmermann, Leiter VDMA Competence Center Industrial Security

Herr Zimmermann, was sind die Ziele und Aufgaben des VDMA Competence Center Industrial Security?

Das VDMA Competence Center Industrial Security (CCIS) bündelt die Verbandsaktivitäten des VDMA zur Informationssicherheit, zu Security in der Produktion („OT-Security“) und zur Security in den Maschinenbauprodukten („Product Security“). Das Competence Center ist erster Ansprechpartner für Mitglieder, Behörden und Politik. Es leistet zudem die fachliche Beratung und Unterstützung der VDMA Fachverbände.

Der VDMA hat erst kürzlich die Studie „Produktpiraterie 2020“ vorgestellt und einen Schaden in Höhe von 7,5 Mrd. Euro jährlich festgestellt. Wer sind die Verursacher und was kann die Industrie dagegen tun?

Wichtig ist, neben den Verursachern insbesondere die Auftraggeber zu identifizieren. Hier überrascht, dass bei 42% der befragten Unternehmen die eigentlichen Geschäftspartner, wie Kunden, Zulieferer oder Distributoren, zu Plagiatoren werden. Neben zivilrechtlichen Maßnahmen sollte man durchaus proaktiv versuchen, das eigene Produkt fälschungsresistenter zu machen. Denn zivilrechtliche Maßnahmen verhindern keine Produktfälschungen. Wir raten Mitgliedsunternehmen zu einem nachhaltigen Umgang mit Produktpiraterie im Rahmen einer individuellen Abwehrstrategie. Dabei sollten technische und organisatorische Maßnahmen zu einem individuellen Schutzkonzept nach ISO 22384 kombiniert werden. Doch grundsätzlich gilt auch, dass ohne Schutzrechtsanmeldung eine Rechtsdurchsetzung nahezu unmöglich ist.

Welche Hilfestellungen bietet der VDMA im Kampf gegen Fälschungen?

Wir unterstützen Mitgliedsunternehmen tatkräftig in den verschiedenen Bereichen. Die Abteilung Recht berät und informiert bei juristischen Fragestellungen, der VDMA Arbeitskreis „Gewerblicher Rechtsschutz“ vernetzt betroffene Mitgliedsunternehmen zu organisatorischen und rechtlichen Maßnahmen. Der VDMA Leitfaden „Produkt- und Know-how-Schutz“ bietet zudem Hilfe zur Selbsthilfe. Auf internationaler Ebene leitet der VDMA die Gremienarbeit zur ISO 22384 „Guidelines to establish and monitor a protection plan and its implementation“, die Grundlage für eine abgestimmte Vorgehensweise.

Zur industriellen Sicherheit zählt auch die Cyber Security. Was sind hier die größten Bedrohungen?

Die aktuell größten Bedrohungen im Maschinen- und Anlagenbau sind bösartige Schadsoftware (Ransomware), CEO-Fraud und Manipulation von PDF-Rechnungen. Im Bereich der Ransomware verzeichnet nahezu jeder Fachverband ein oder mehrere Mitglieder, die durch die Verschlüsselung der Daten einen hohen Schaden erlitten haben. Ausfallkosten von über einer Million Euro pro Tag sind keine Seltenheit. Nicht selten dauert es 6 Wochen, bis die wichtigsten Systeme wieder laufen. Auch bei der Manipulation von PDF-Rechnungen sind uns Schäden von mehreren hunderttausend Euro pro betroffener Rechnung gemeldet worden.

Wie kann der VDMA auch hier helfen?

Speziell für Ransomware haben wir Anfang 2020 eine Hilfestellung veröffentlicht, die Antworten auf alle dringenden Fragen im Notfall bietet. Wann ist es ein Notfall, was ist im Notfall zu tun. Wen kann ich um Unterstützung bitten, was sollte ich vermeiden. Und zuletzt auch Antworten auf die Frage, was Unternehmen tun sollten, damit es nicht (nochmal) passiert. Das Maschinenbau-Institut (MBI) des VDMA bietet in Kooperation mit dem Fraunhofer IOSB (Karlsruhe) und Fraunhofer IEM (Lemgo) ein dreitägiges Seminar für Produktentwickler und Konstrukteure von vernetzten Maschinen und Anlagen an. In den VDMA Arbeitskreisen „Industrial Security“ und „Informationssicherheit“ können sich Mitgliedsunternehmen zum Erkenntnisgewinn und Erfahrungsaustausch im Feld der digitalen Angriffe und Schutzmaßnahmen vernetzen.

Aktuell arbeiten wir in diesen Arbeitskreisen an einem Leitfaden für die cyber-sichere Konstruktion von Maschinen nach IEC 62443, an einem Leitfaden für die Sensibilisierung der Mitarbeiter und an einem Security-Katalog für den Einkauf cyber-sicherer Maschinen. Das Startup U4I bietet ein gemeinsam mit dem VDMA erstelltes digitales Lernmodul zu Industrial Security an, kostenfrei für VDMA-Mitglieder. Und schlussendlich bietet der Versicherungsmakler für den Maschinen- und Anlagenbau (VSMA) mit der „VDMA Cyber Police“ ein auf die Bedürfnisse von Maschinen- und Anlagenbauern zugeschnittenes Versicherungsangebot.

Mit der zunehmenden Vernetzung von Maschinen und Anlagen steigt auch die Abhängigkeit von sog. „Embedded Software“. Wie sicher ist „Industrie 4.0“?

Mittlerweile steckt 30% der Wertschöpfung in der Software, viele Innovationen sind digitaler Art. Das Ziel einer sicheren Industrie 4.0 besteht in der Zuverlässigkeit digitaler Angebote über viele Jahre. Der Schutz vor Manipulation von Daten, die Verfügbarkeit digitaler Plattformen oder auch der Schutz des Quellcodes der Software. Ob Produkte, die das Label „Industrie 4.0“ tragen sicher sind, kann man grundsätzlich nicht sagen. Industrie 4.0 Produkte können cybersicher sein. Die dafür notwendigen Maßnahmen erstrecken sich über den gesamten Produktlebenszyklus und in der gesamten Supply Chain. Will heißen, dass Produkte nach dem Prinzip „Security by Design“ bereits mit Securityfähigkeiten entwickelt werden und diese während des Betriebs von Maschinen ajour gehalten werden. Soviel die Theorie. Das Patchmanagement für Maschinen und Anlagen zu betreiben ist jedoch alles andere als trivial. Die Auswahl von Komponenten mit umfassenden Securityfähigkeiten steht ebenfalls selten im Vordergrund. Fast alle Maschinenbauer stehen hier noch am Anfang. Wichtig ist, dass sich Unternehmen jetzt um das notwendige Security-Know-how bemühen und im Erfahrungsaustausch mit ihren Kunden und Zulieferern den richtigen Weg für sich finden. Der VDMA bietet allen Maschinen- und Anlagenbauern diese Austauschplattform, den Weg zur sicheren Industrie 4.0 beschreiten müssen Mitglieder nicht allein.

Zur Person

Steffen Zimmermann studierte Wirtschaftsinformatik und begann seine Karriere im VDMA in 2000, aktuell ist er Leiter des Competence Centers Industrial Security. Er ist Gründer und Leiter verschiedener industrieller Expertenkomitees zur Informationssicherheit und Industrial Security. Als Gründungsmitglied der „Plattform Industrie 4.0” vertritt Steffen Zimmermann den VDMA und den Maschinenbau in der Arbeitsgruppe „Sicherheit vernetzter Systeme“ und ist aktives Mitglied im Normungskomitee ISO/TC 292 „Security and resilience“.

 

Über VDMA Industrial Security

Im VDMA Competence Center Industrial Security (CCIS) sind die Verbandsaktivitäten zur Informationssicherheit, zu Security in der Produktion und zur Security in den Maschinenbauprodukten zusammengefasst. Das Competence Center ist erster Ansprechpartner für Mitglieder, Behörden und Politik. Es leistet zudem die fachliche Beratung und Unterstützung der VDMA Fachverbände.

.