Wolfgang Niedziella rückt Cybersecurity in den Fokus

Fragen: Michael Corban, Chefredakteur elektro AUTOMATION

elektro AUTOMATION: Herr Niedziella, seit Anfang August zeichnen Sie verantwortlich für das neu geschaffene Kompetenzcenter ‚Digitale Sicherheit‘ im VDE. Welche Zielsetzung verfolgt das Kompetenzcenter?

Wolfgang Niedziella (VDE-Gruppe): Das neu gegründete Kompetenzcenter wird die in der VDE-Gruppe vorhandenen Kompetenzen bündeln und durch weiteren Aufbau sein bestehendes Dienstleistungsportfolio ausbauen. Damit wollen wir unsere Kunden – im wesentlichen Unternehmen – dabei unterstützen, ihr Unternehmen und seine Systeme und Produkte sicherer zu machen, damit Cyberangreifer nicht an sensible Informationen gelangen können.

elektro AUTOMATION: Wo sehen Sie die größten Gefahrenquellen, die Cyber-Kriminalität begünstigen?

Niedziella: Das Thema Digitale Sicherheit betrifft jeden, ob Regierungen, Unternehmen, Behörden oder Privatpersonen. Wenn Sie sich einmal ansehen, wie viele Informationen wir mit unseren vernetzten Geräten – etwa Computer, Tablet, Smartphone und vieles mehr – generieren und wie viele Accounts wir für die verschiedensten Anwendungen in Netzwerken und Internet nutzen, die durchaus sensible Informationen wie vertrauliche Unternehmensinformationen oder Bankingdaten enthalten, dann können Sie sich vorstellen, dass diese Informationen für Cyberangreifer durchaus interessant sein können. Wir müssen uns schlichtweg bewusst sein, dass mit zunehmender Digitalisierung und Vernetzung von Systemen mehr Informationen erzeugt und damit auch weitere Angriffspunkte auf die Datensicherheit geschaffen werden. Und mit zunehmender Anzahl von Angriffspunkten steigt die Gefahr. Somit müssen die Unternehmen ihre Sicherheitsmaßnahmen ständig weiter entwickeln und ausbauen. Darüber hinaus darf der ‚Faktor Mensch‘ nicht unterschätzt werden. Es gibt immer noch viele Menschen, die mit Informationen leichtsinnig umgehen. So werden Passwörter weitergegeben, nicht häufig genug geändert oder leichtfertig E-Mail-Anhänge mit Schadsoftware geöffnet.

elektro AUTOMATION: Wie nähert man sich als produzierendes Unternehmen, das in immer größerem Maße softwaregestützt arbeitet, dem Thema Security. Gibt es eine Art 3- oder Mehr-Punkte-Plan, den man dazu abarbeiten kann?

Niedziella: Die Unternehmen können sich dem Thema in drei Schritten nähern, allerdings sind es große Schritte:

• Als ersten Schritt muss man das Unternehmen ganzheitlich betrachten. Nur einzelne Bereiche zu schützen, ist nicht zielführend, da die Unternehmen dazu zu sehr vernetzt sind und ‚Angreifer‘ jede Lücke ausnutzen können. Das heißt eine vollständige IST-Analyse des Unternehmens ist erforderlich.
• Danach können die Unternehmen ihr bestehendes Sicherheitsniveau bestimmen und beispielsweise eine GAP-Analyse auf Grundlage des BSI Basis Cyber Security Check und ISO/IEC 27001 Security Check durchführen.
• Um das Sicherheitsniveau der Organisation entsprechend anzupassen, muss das Unternehmen im dritten Schritt im Einklang mit national und international anerkannten Rahmenwerken und Standards die notwendigen, angemessenen technischen und organisatorischen Maßnahmen, die sich aus der GAP-Analyse ergeben haben, festlegen. Und bei diesen festzulegenden Maßnahmen ist ein Unternehmen dann sehr schnell bei deutlich mehr als drei Maßnahmen, die entsprechende Kosten mit sich bringen.

elektro AUTOMATION: Die Bedeutung der Software steigt ja nicht nur in den Unternehmensprozessen, sondern insbesondere auch in den Produkten, die erzeugt werden. Wie lässt sich Security hier von Beginn an berücksichtigen?

Niedziella: Das Stichwort hier lautet ‚Security by Design‘. Es wird immer wichtiger, schon beim Design von Produkten die Security-Aspekte zu berücksichtigen. Beginnend bei den Chips – beispielsweise in Embedded Systems – über den Aufbau von Platinen bis hin zur Versiegelung auf der Hardwareseite. Bei der Software ist neben der strikten Beachtung von Sicherheitsmaßnahmen bei der Programmierung auch die spätere Überprüfung der funktionalen Sicherheit im Zusammenspiel mit dem Produkt essentiell. Denn gerade hier werden häufig Sicherheitslücken aufgedeckt. Auf alle Fälle lohnt es sich, bereits in der Entwicklung die Sicherheitsaspekte zu berücksichtigen, denn je weiter das Produkt fortgeschritten ist, desto teurer wird es, Sicherheitslücken zu schließen.

elektro AUTOMATION: Wird das aus Ihrer Sicht insbesondere auch bei Lieferanten für IT- und Automatisierungstechnik bereits berücksichtigt?

Niedziella: Es gibt genügend Ansätze, durch Security by Design Gefahren von Beginn an auszuschließen oder zumindest zu reduzieren. Dabei müssen wir zu Kenntnis nehmen, dass das Sicherheitsniveau, das heute geschaffen wird, nur auf die angenommenen Angriffe von morgen abzielt. Über den gesamten Lebenszyklus einer Maschine kann und wird sich die Situation ändern, da die Angriffsmethoden beständig weiterentwickelt werden. Will heißen: Security by Design ist ein sehr wichtiger Ansatz, aber keine Garantie.

elektro AUTOMATION: Widersprechen sich die Ziele, die wir unter den Stichwörtern Industrie 4.0 und Digitalisierung diskutieren auf der einen und Cybersecurity auf der anderen Seite?

Niedziella: Ich denke nicht. Auch in der Vergangenheit haben die Unternehmen versucht, ihre Unternehmensinformationen zu schützen. Im Zeitalter von Papier diente dazu oft auch ein Tresor. Mit Industrie 4.0 und Digitalisierung entstehen jedoch deutlich mehr Informationen und die müssen wir jetzt ebenfalls entsprechend schützen, mit anderen Mitteln, mit anderen Methoden – eben der Digitalen Sicherheit. Das eine zieht das andere nach sich.

elektro AUTOMATION: Gilt nach wie vor der Satz: Security ist unbequem, wenn sie erreicht werden soll?

Niedziella: Das ist eine Frage des Blickwinkels. Für jemanden, der sich mit Security beschäftigt, ist diese bestimmt nicht unbequem, aber für jemanden, der für Security viel Geld in die Hand nehmen muss, vielleicht schon. Ich denke die Situation ist vergleichbar mit der Einführung von Qualitätsstandards der ISO-9000-Reihe in den 1980er Jahren. Damals hat jeder gestöhnt. Aber 15 Jahre später hatte so gut wie jedes Unternehmen eine entsprechende Zertifizierung, denn der Markt hat dies verlangt. Heute ist es die Cybersecurity. Entsprechende Maßnahmen zu ergreifen, gehört zur guten Governance eines jeden Unternehmens, wenn nicht sogar zum Überleben.

elektro AUTOMATION: Erlauben Sie abschließend noch eine persönliche Frage: Inwieweit können Sie in Ihrer neuen Funktion auf Ihre bisherigen beruflichen Erfahrungen zurückgreifen?

Niedziella: Der Schutz von Unternehmensinformationen begleitet mich, seitdem ich in Führungsverantwortung bin. Im VDE-Institut habe ich für die Unternehmens-IT verantwortlich gezeichnet sowie die Dienstleistungen rund um die Interoperabilität und Informationssicherheit für Smarte Produkte und Systeme aufgebaut und erfolgreich im Markt eingeführt. Dabei habe ich sehr früh erkannt, dass es internationaler Lösungen bedarf, denn schließlich sind die Produkte und Services international vernetzt und das Internet kennt keine Grenzen. Daher setze ich mich seit einigen Jahren für internationale Normen bei der IEC ein und als Chairman des ‚IEC System of Conformity Assessment Schemes for Electrotechnical Equipment and Components (IECEE)‘ forciere ich den Aufbau eines internationalen Konformitätsbewertungsverfahrens für Cybersecurity, denn kein Unternehmen möchte seine Produkte nach verschiedenen Anforderungen in mehreren Ländern prüfen lassen, um es in Verkehr bringen zu können.

Weitere Details zum Thema Cybersecurity beim VDE:

hier.pro/npjqH

Kontakt:
VDE Verband der Elektrotechnik Elektronik Informationstechnik e.V.
Stresemannallee 15
60596 Frankfurt am Main
Tel. +49 69 6308-0
service@vde.com
www.vde.com

Wolfgang Niedziella, Geschäftsführer in der VDE-Gruppe und Leiter des Kompetenzcenters ‚Digitale Sicherheit‘
Bild: VDE / Uwe Nölke

„Wir müssen uns schlichtweg bewusst sein, dass mit zunehmender Digitalisierung und Vernetzung von Systemen mehr Informationen erzeugt und damit auch weitere Angriffspunkte auf die Datensicherheit geschaffen werden – damit steigt die Gefahr.“