Interview mit Dr. Thomas Nowey, Head of Corporate Cyber Security, Krones

CT: In Ihrem Vortrag auf dem Engineering Summit 2024 fragten Sie, wie viele Personen vor Ort in ihrem jeweiligen Unternehmen für IT-Security verantwortlich sind, und es gingen nur wenige Hände hoch. Haben Sie das Gefühl, dass IT-Security bereits in allen Unternehmensbereichen angekommen ist?
Thomas Nowey: Ich denke, das Bewusstsein wächst, aber es gibt noch viel Potenzial. In vielen Unternehmen ist durch Vorfälle, von denen man gehört hat, das Thema IT-Sicherheit auf der Geschäftsführungsebene angekommen. Dort versteht man zunehmend die Dringlichkeit. Aber auf den darunterliegenden Ebenen – die scheinbar wenig mit dem Thema zu tun haben – wie im Engineering, in der Entwicklung, im Vertrieb oder im Projektmanagement, fehlt oft noch die nötige Sensibilisierung. Diese Bereiche sind jedoch enorm wichtig für die tatsächliche Umsetzung der Sicherheitsstrategien.

CT: Haben Sie Tipps, wie Unternehmen ihre Mitarbeitenden, aber auch ihre Kunden für das Thema IT-Security sensibilisieren können?
Nowey: Ein Schlüssel liegt in der Kommunikation. Die IT-Security-Teams müssen aktiv in den Dialog mit anderen Abteilungen treten und Beratung anzubieten. Es ist wichtig, dass Sicherheit nicht isoliert in einer Abteilung bleibt, sondern in allen Abteilungen integriert wird. Ein Hemmnis kann dabei sein, dass Mitarbeitende ihre Arbeitszeit oft projektbasiert buchen und Security-Diskussionen als nicht abrechenbar betrachten. Unternehmen sollten den Freiraum schaffen, damit sich Teams austauschen und Sicherheitsmaßnahmen besprechen können. Ein „Tone from the top“ – also eine klare Priorisierung durch die Geschäftsführung – ist ebenfalls entscheidend. Unternehmen sollten Sicherheitsthemen aktiv ansprechen und nicht darauf hoffen, dass niemand danach fragt.

CT: Sie haben in Ihrem Vortrag auch über das Konzept von „Security by Design“ gesprochen. Können Sie das genauer erklären und wie es in der Praxis umgesetzt wird?
Nowey: Für Security by Design gibt es keine feststehende Definition, aber die Grundidee ist, Sicherheit von Beginn an zu denken, also sich ein System zu überlegen, das sicher konzipiert ist. Oft ist es so, dass Sicherheit erst nachträglich hinzugefügt wird, wenn ein System bereits läuft. Das führt häufig zu Problemen und Sicherheitslücken. Ein klassisches Beispiel ist, dass Entwickler Systeme erst einmal zum Laufen bringen wollen, ohne sich um Sicherheitsaspekte zu kümmern. Später sollen dann Sicherheitsfeatures nachträglich aktiviert werden, was oft zu Funktionsstörungen führt. Um das zu vermeiden, sollte Sicherheit von Anfang an in die Systemarchitektur integriert werden.

Der Anspruch muss sein, dass ein System von Beginn an mit allen Sicherheitsmechanismen funktionieren muss. Dabei braucht es nicht nur technisches Wissen, sondern auch eine Sensibilisierung der Mitarbeitenden, dass Sicherheitsstandards bei der Inbetriebnahme genauso wichtig sind wie alle anderen Funktionsprüfungen. Außerdem muss es Mechanismen geben, die funktionieren. By Design heißt für mich auch, dass sich jemand konzeptionell überlegt hat, dass das Sicherheitssystem am Ende auch funktionieren kann.

CT: Häufig werden die zwei Argumente vorgebracht, dass IT-Security zu teuer und zu aufwendig sei. Wie begegnen Sie diesem Einwand?
Nowey: Zum einen sind die Kosten eines Sicherheitsvorfalls deutlich höher als die präventiven Maßnahmen. Zum anderen kann eine Cyberattacke nicht nur finanziell, sondern auch reputationsmäßig verheerend sein. Vertrauen spielt hier eine große Rolle. Kunden erwarten, dass Unternehmen nicht nur ihre Produkte und Dienstleistungen zuverlässig liefern, sondern auch, dass ihre IT-Systeme sicher sind. Das Vertrauen in die IT-Sicherheit eines Unternehmens ist daher ebenso wichtig wie die Zuverlässigkeit der Servicetechniker oder die Qualität der Produkte. Und dieses Vertrauen muss ein Unternehmen sich auch erst einmal erwerben.
Es stimmt, dass IT-Security Aufwand erfordert. Es geht nicht darum, den Aufwand zu leugnen, sondern darum, ihn als langfristige Investition zu sehen. Zudem kann Cybersecurity auch eine Chance für neue Geschäftsmodelle sein, etwa durch Sicherheits-Updates und Monitoring, die als kontinuierlicher Service angeboten werden können. So kann rund um die Cybersicherheit ein Geschäft entstehen.

CT: In Ihrem Vortrag erwähnten Sie, dass die langen Projektlaufzeiten im Anlagenbau ein Problem für die Cybersicherheit darstellen. Können Sie genauer erläutern, worin diese Herausforderung besteht?
Nowey: Nehmen wir an, eine Maschine oder Anlage wird entwickelt und in der Fabrik getestet. Zu diesem Zeitpunkt hat die Software einen gewissen Stand. Wenn diese Maschine dann aber erst nach 12 oder mehr Monaten – teilweise reichen auch wenige Wochen – in Betrieb genommen wird, hat sich die Softwarewelt möglicherweise schon verändert. Neue Schwachstellen wurden entdeckt, und die ursprüngliche Softwareversion ist möglicherweise nicht mehr sicher.
Im Consumerbereich sind wir es beispielsweise gewohnt, dass ein Smartphone oder Computer beim Auspacken erst einmal Updates zieht, um auf den neuesten Stand gebracht zu werden. Im Anlagenbau fehlt dieses Konzept oft. Hier müssen wir eine Lösung finden, wie wir Maschinen, die über längere Zeiträume entwickelt und ausgeliefert werden, auf dem aktuellen Sicherheitsstandard halten können. Das betrifft nicht nur Software-Updates, sondern zum Beispiel auch KI-Algorithmen, die Anwender natürlich auch auf dem neuesten Stand haben wollen.

CT: Wie sehen Sie die Umsetzung der NIS2-Richtlinie (Network and Information Security) und des CRA (Cyber Resilience Act)? Ist es realistisch, dass Unternehmen die Vorgaben fristgerecht umsetzen?
Nowey: Die Umsetzung der NIS2-Vorgaben ist gerade für viele kleine und mittlere Unternehmen sicher erstmal Neuland. Für international tätige Unternehmen wie uns, sind die unterschiedlichen Umsetzungsgesetze in den EU-Staaten eine echte Herausforderung. Trotzdem erwarte ich, dass die Mehrzahl in der Lage sein wird die Vorgaben umzusetzen – zumal es für die meisten Unternehmen zunächst keine Prüfungen geben wird. Für eine erfolgreiche Umsetzung in der Wirtschaft wird es wichtig sein, dass Gesetzgeber und Aufsichtsbehörden, den Unternehmen Informationen sowie Interpretationshilfen und Präzisierungen der Regelungen bereitstellen. Als gutes Beispiel sehe ich da beispielsweise das Tool zur „NIS-2-Betroffenheitsprüfung“ des Bundesamts für Sicherheit in der Informationstechnik. Solche Hilfen nehmen Unsicherheit und ermöglichen die Konzentration auf das, worum es eigentlich geht, nämlich die tatsächliche Verbesserung der Sicherheit der Organisationen.

Größere Herausforderungen sehe ich beim CRA. Hier sind die Anforderungen deutlich strenger, und die Frist zur Umsetzung ist mit drei Jahren relativ knapp bemessen. Produkte, die jetzt entwickelt werden und Ende 2027 auf den Markt kommen, müssen dann vollständig konform sein. Wenn ich eine Anlage mit einer bestimmten technischen Ausstattung 2025 oder Anfang 2026 verkaufe und diese dann Ende 2027 liefere, muss sie schon CRA-konform sein. Das stelle ich mir gerade für Maschinen- und Anlagenbauer extrem herausfordernd vor, denn einerseits muss die Produktentwicklung bereits jetzt auf die neuen Anforderungen ausgelegt sein und andererseits müssen auch die von Zulieferern beschafften Komponenten – wie Industrie PC, Betriebssysteme, SPS, Sensoren – entsprechende Sicherheitseigenschaften aufweisen und über den Lebenszyklus sicherstellen.