Cyber Resilience Act: Vom Muss zur Chance für den Maschinenbau

00:00:04:

00:00:09: Maschinen werden immer digitaler und damit auch anfälliger für Cyberangriffe.

00:00:15: Der neue Cyber Resilience Act, kurz CRA, soll genau das ändern.

00:00:20: Die neue EU-Verordnung soll sicherstellen, dass Produkte mit digitalen Elementen, also auch Maschinen und Steuerungen, von Anfang an cyber-sicher entwickelt und betrieben werden.

00:00:33: Doch was heißt das konkret für den Maschinenbau?

00:00:36: Welche Pflichten kommen auf Hersteller zu und wie lässt sich das alles in der Praxis umsetzen?

00:00:43: Zwischen Lieferkette, Software-Updates und ganz normalen Entwicklungszyklen.

00:00:49: Mein Name ist Stefanie Schubert, Referentin des VDMA Software und Digitalisierung und ich begrüße meine zwei Gäste, die das Thema aus unterschiedlichen Blickwinkeln kennen.

00:00:59: Oliver Winzenried, CEO von Vibu Systems, und Experte für Softwareschutz und Lizenzmanagement.

00:01:07: Hallo.

00:01:08: Hallo, Stephanie.

00:01:09: Und unser zweiter Gast, Stefan Zimmermann, Leiter des Kompetenzzenters Industrial Security beim VDMA und Leiter des Arbeitskreis Informationssicherheit.

00:01:19: Hallo.

00:01:20: Hallo.

00:01:21: Gemeinsam werfen wir einen Blick auf die Umsetzung des Cyber Resilience Acts und darauf, warum er für den Maschinenbau nicht nur Herausforderung, sondern auch eine echte Chance für mehr Vertrauen und Wettbewerbsfähigkeit ist.

00:01:36: Schön, dass Sie dabei sind.

00:01:38: Der Cyber Resilience Act, kurz CRA, sorgt aktuell ja für Vielgesprächsstoff.

00:01:44: Kannst du mir kurz erklären, was das Ziel dieser EU-Verordnung ist und warum sie jetzt kommt?

00:01:50: Ja, also es geht im Kern um die Erhöhung der Widerstandsfähigkeit von vernetzten Produkten in Europa und die Unterstützung einer cyber-sicheren Verwendung.

00:02:02: Was heißt das jetzt?

00:02:04: Also der Cyber Resilience-Eck, der EU verpuckt eigentlich zwei Hauptziele.

00:02:09: Erstens, Hersteller von Produkten mit digitalen Elementen, so ist der Fachbegriff im CAA, sollen Produkte auf den Markt bringen in Europa also, die von Anfang an sicher entwickelt sind, keine kritischen Schwachstellen enthalten und auch vom Kunden dann sicher betrieben werden können.

00:02:28: Also man spricht hier von Security by Design und Security by Default.

00:02:35: Oder in den Worten von der Kommission, die Kommission spricht da vom Käse mit kleineren Löchern.

00:02:42: Also kein Lochfreier Käse, sondern die Löcher im Käse sind kleiner.

00:02:48: Der zweite Punkt ist, dass die europäischen Verwender der Produkte künftig in der Lage sein sollen, cyber-sichere Produkte auszuwählen, also auch schon beim Kauf, zu erkennen, ob ein Produkt entsprechend sicher ist und die aber auch über einen längeren Zeitraum sicher betreiben zu können.

00:03:08: Das ist auch ein Problem, was wir heute sehr häufig haben.

00:03:11: Das adressiert natürlich Unternehmen und Verbraucher damit gleichermaßen.

00:03:15: Darf ich dich noch mal fragen, wann der in Kraft treten soll?

00:03:18: Also der... Cyber Sehnsekt ist bereits in Kraft getreten im Dezember.

00:03:24: Es gibt eine Umsetzungsfrist, also das heißt Unternehmen haben noch Zeit, sich diese Anforderungen anzuschauen und ihre Produkte cyberfit zu machen.

00:03:33: Und der Anwendungsbeginn ist der Elfte Dezember.

00:03:38: In größten Teilen wobei die Anforderungen für die Meldepflichten bereits nächstes Jahr in Kraft treten im September.

00:03:46: Warum ist der Maschinenbau jetzt besonders betroffen?

00:03:49: Ja, der CA ist für uns im Maschinenbau eine besonders wichtige horizontaler Regulierung, weil sein Anwendungsbereich extrem breites, also horizontal heißt, es betrifft mehrere Branchen und Sektoren.

00:04:01: Man spricht ja auch wie gesagt von diesem Produkt mit digitalen Elementen und da gehören eben die meisten Maschinen, Steuerungskomponenten oder Sicherheitsbauteile mittlerweile dazu, weil sie vernetzt sind.

00:04:13: Damit betrifft also der CA auch die Sogenannte Wertschöpfungskette, das heißt vom Software-Modul über Hardware-Komponenten bis hin zur kompletten Maschine.

00:04:23: Und wenn ich den CA richtig umsetzen möchte, muss ich mein Produkt demzufolge auch über den gesamten Lebenszyklus hinweg resilient gegen Cyber-Angriffe machen.

00:04:34: Und was heißt jetzt resilient genau?

00:04:36: Also ich würde sagen, resilient können wir im Maschinenbau so sehen, dass die Maschine robust genug ist, nicht beim ersten DITOS-Angriff, Umzufallen.

00:04:47: Und vielleicht auch, wenn ein Angriff mal erfolgreich ist, wieder in einen sicheren Betriebszustand zurückgeführt werden zu können.

00:04:55: Natürlich sollte ich als Maschinenbauber auch davon ausgehen, dass während des Anlagenbetriebs beim Kunden Schwachstellen entdeckt werden könnten.

00:05:04: Zum Beispiel im Betriebssystem oder in der Fernwartungslösung, die ich eingebaut habe.

00:05:09: Auch wenn ich jetzt nicht der Hersteller des Betriebssystems oder der Fernwartungslösung bin, muss ich diese Schwachstellen dann adressieren, weil Der Hersteller, also ich als Maschinenbauer, bin für mein Produkt vollumfänglich verantwortlich, inklusive der Komponent.

00:05:24: Also ganz kurz runtergebrochen, man kann sagen, bei den Produkten waren vorher Safety-Anforderungen notwendig und nun kommen noch Security-Anforderungen on top dazu.

00:05:33: Das ist richtig.

00:05:35: Oliver, wo siehst du die größten praktischen Unterschiede zwischen den Cyber-Sicherheitsanforderungen, der NIST-II-Richtlinie und denen des CRA?

00:05:46: Dinis II regelt den Betrieb, also die Verantwortlichkeiten des Betreibers für die Infrastruktur, so dass der Betrieb widerstandsfähig bleibt.

00:05:53: Der Cyber Resilience Act ist für den Widerstand gegen Cyberangriffe von Produkten selbst verantwortlich.

00:05:59: Das zeigt aber auch, wie stark sich die klassischen Maschinen und die IT-Systeme verzahnen.

00:06:06: Also der Hauptunterschied zwischen der NIS-II-Richtlinie und dem Cyber Resilience Act ist eigentlich eine Frage der Perspektive und des Zeitpunkts.

00:06:14: NIS-II konzentriert sich auf die Verantwortlichkeit des Betrebers, die Sicherheit von Netzwerken, Diensten, kritischen Infrastrukturen im täglichen Betrieb zu gewährleisten, geht um Kontinuität, Reaktionen auf Vorfälle, organisatorische Widerstandsfähigkeit, sobald die Systeme eingerichtet sind.

00:06:29: Cyber Resilience Act hingegen zielt auf die Produkte und die Hersteller ab.

00:06:34: Er betrachtet die Sicherheit vom Beginn des Lebenszyklus, wie Stefan vorher schon sagte.

00:06:38: Hersteller müssen digitale Produkte entwickeln und herstellen, die standardmäßig cyber-sicher sind, also widerstandsfähig gegen Cyber-Angriffe und diese Sicherheit durch Dokumentation und Tests nachweisen und durch regelmäßige Updates aufrechterhalten.

00:06:53: Wenn man so will, schützt ihn NIST II, den Betrieb und der Cyber Resilience Act, die Produkte.

00:07:01: Zusammen schließen Sie den Kreis zwischen sicherer Herstellung und sicherem Betrieb.

00:07:04: Ein Zeichen dafür, wie sehr das eben alles zusammenwächst.

00:07:09: Technologisch und aus Sicht von Vibusystems ist genau dieser Übergang zwischen der sicheren Herstellung und dem sicheren Betrieb der Bereich,

00:07:16: wo

00:07:17: die Technologie, die wir anbieten, auch zum Einsatz kommt.

00:07:21: CodeMeter ist eine Plattform für Software-Schutz, Lizenzierung und Sicherheitsmanagement, kombiniert Kryptografie.

00:07:28: Zugriffskontrolle, Lizenzdurchsetzung in einem System und die hilft dabei, Herstellern die Prinzipien zu erfüllen, sodass sie ihre Produkte, dass sie einige der Anforderungen der Produkte des Cyber Resilience Act als auch den NIST II erfüllen können.

00:07:44: Wenn also Cyber Resilience Act verlangt, dass Produkte von Grund auf sicher sein müssen und den NIST II verlangt, dass der Betrieb widerstandsfähig bleiben muss, dann kann man hier mit technischen Mitteln Beides ganz gut erreichen.

00:07:59: Und Steffen, welche konkreten Pflichten bringt der CIA für Hersteller von Maschinen und deren Komponenten jetzt wirklich mit sich?

00:08:08: Erstens, ich muss also damit bei der Produktentwicklung bereits eine Risikoanalyse, eine Cyber-Risikoanalyse durchführen und diese natürlich auch dokumentieren.

00:08:18: Eine Risiko-Analyse ist dabei aber nichts Neues für einen Maschinenbauer.

00:08:22: Es gibt es ja auch schon im Safety-Bereich und zum Glück fordert auch der CA selber jetzt keine hundert Prozent Security oder anders gesagt keinen Null-Risiko-Produkte.

00:08:32: Das heißt, Produkte können auch in Zukunft trotz CA noch Schwachstellen enthalten, solange sie akzeptables Risiko bedeuten.

00:08:40: Die Kunst wird sicher sein, das richtige Maß für diese Restrisiken zu finden.

00:08:45: Der zweite Punkt ist, Hersteller müssen auch schon vor dem Verkauf für jedes ihrer CIA relevanten Produkte einen sogenannten Supportzeitraum bestimmen.

00:08:54: Bei Maschinen reden wir hier von mindestens fünf Jahren Supportzeitraum, wahrscheinlich auch viel länger.

00:09:00: Dieser Zeitraum muss an sich schlüssig sein und insbesondere die typische Nutzungsdauer von Produkten, also bei uns von der Maschine, adressieren.

00:09:08: Und jeder weiß, dass wir natürlich Maschinen haben, die deutlich länger als fünf Jahre in Betrieb sind.

00:09:13: Das dritte Punkt, die sogenannte EU-Konformität, also die Konformität mit den Vorgaben, muss technisch nachvollziehbar dokumentiert werden.

00:09:23: Mein Lieblingssatz dazu ist immer, was nicht dokumentiert ist, ist nicht passiert.

00:09:28: Hier müssen wir auch schauen, wie spezifische Anforderungen dann in der Praxis umgesetzt werden können.

00:09:32: Ich denke, da ist auch viel Neuland dabei.

00:09:35: Wie stelle ich zum Beispiel sicher, dass meine Maschine bei der Auslieferung keine ausnutzbaren Schwachstellen enthält?

00:09:41: Das schreibt der CIA nämlich vor.

00:09:43: Und was mache ich, wenn in dem Zeitfenster zwischen FAT, also Factory Acceptance Test und SAT, dem Site Acceptance Test doch eine Schwachstelle auftaucht?

00:09:53: Das wird sicher nicht leicht und bleibt spannend.

00:09:57: Mein letzter Punkt dazu eine weitere wichtige Pflicht ist die Meldepflicht von aktiv ausgenutzten Schwachstellen oder auch schwerwiegenden Sicherheitsvorfällen an die Aufsichtsbehörde.

00:10:07: Das wird in Deutschland das BSI wert.

00:10:10: Sobald ich als Hersteller von einer ausnutzbaren, aktiv ausnutzbaren Schwachstelle Kenntnis habe, bleibt mir zur Meldung an das BSI dann nur noch vierundzwanzig Stunden.

00:10:21: Das ist ähnliche Herausforderung, die auch weiterhin ist, zweit.

00:10:25: Vierundzwanzig Stunden, das ist nicht viel.

00:10:28: Oliver, der CIA gilt also jetzt für Produkte mit digitalen Elementen, die in den Verkehr gebracht werden oder bereitgestellt werden.

00:10:36: Wie bewertest du die Reichweite und was heißt das konkret für die digitalen Produkte?

00:10:42: Ja, der Saibere Sillinsekt hat einen extrem breiten Anwendungsbereich.

00:10:46: Digitale Elemente hört sich so abstrakt an, aber es ist im Prinzip alles.

00:10:49: Das ist die eingebettete Firmware in Steuerungen, in Systemen, in Kontrollern oder auch die reine Software.

00:10:56: Bei der Software haben wir auch noch ein großes Thema Open Source.

00:11:00: Das ist bisher schon ein großes Thema gewesen durch die unterschiedlichsten Lizenzbedingungen, die dann auch mit dem Produkt ausgeliefert werden müssen.

00:11:08: Jetzt ist das weitere Thema auch noch die Vulnerabilities, also die Verwundbarkeiten von Open-Source-Software-Komponenten, die eben mit betrachtet werden müssen.

00:11:17: Also für die Welt des Maschinenbaus ist das eine echte Veränderung.

00:11:22: Maschinen sind nicht mehr nur mechanische Systeme, sie sind digitale Ökosysteme und genau das erkennt der Salber-Resilient-Sekt an.

00:11:30: Es geht nicht nur um den Schutz der Technologie, sondern um die Sicherung der Prozesse während des gesamten Produktlebenszyklus, also von der Entwicklung, dem Lieferkettenmanagement bis hin zu Updates oder sogar Produktrückrufen.

00:11:43: Hersteller müssen in der Lage sein, nachzuweisen, dass ihre Produkte von Grund auf cyber-sicher sind und Schwachstellen aufgespürt und behoben werden können, um die Konformität wiederherzustellen, wenn neue Risiken auftreten.

00:11:56: Das ist eine neue Denkweise für die gesamte Wertschöpfungskette und sie wird sich auf Zulieferer weltweit auch ausbürgen, nicht nur in Europa.

00:12:05: Außerdem gibt es in Zukunft immer wieder neue Risiken.

00:12:07: Aber nichtsdestotrotz, es gibt auch was Positives.

00:12:10: Das Vertrauen in digitale Produkte wird mit Sicherheit größer und durch die Aktualisierbarkeit der Produkte werden die auch besser.

00:12:20: Und hier können wir einen kleinen Beitrag leisten, auch Software-Lizenzierung, wurde in der Vergangenheit verwendet, um Produktpiraterie zu reduzieren.

00:12:30: Dann im nächsten Schritt wurde es verwendet, um neue Geschäftsmodelle der Digitalisierung umzusetzen, mit Industrie, zum Beispiel.

00:12:38: Und heute kann aber über Software-Lizenzierung eben auch definiert werden, welche Versionen, welche Softwarekomponenten genutzt werden können.

00:12:45: Das heißt, es kann auch die Nutzbarkeit für Veraltete oder Fehlerhafte.

00:12:51: Komponenten wiederrufen werden.

00:12:54: Und das ist sehr wichtig, da Sicherheitspatches, die jetzt für Verwundbarkeiten notwendig sind, in der Realität nicht immer rechtzeitig verfügbar sind.

00:13:05: Und Unternehmen müssen irgendwelche Gegenmaßnahmen durchführen, bis sie wieder konform sind.

00:13:10: Und damit können sie eben auch nicht konforme Komponenten deaktivieren.

00:13:14: Ja Oliver, das ist natürlich eine spannende Sichtweise auf das Thema.

00:13:18: Ich frage mich natürlich, ob der Betreibe eine Anlage, sich darüber freut, wenn Funktionen plötzlich nicht mehr verfügbar sind, auch Security gründen.

00:13:28: Also da aus meiner Sicht müsste man da schon mal Abwägungen zwischen Security und tatsächlicher Verfügbarkeit der Funktion machen, weil natürlich am Ende nicht nur aus Security gründen eine Produktionsanlage stehen soll.

00:13:42: Genau das Umgekehrte soll ja der Fall sein.

00:13:44: Ja, die Produktion soll sichergestellt werden.

00:13:46: Und ich weiß, die Verfügbarkeit von Produktionsanlagen ist mit, dass am höchsten eingeschätzte Gut oder die Qualität dieser Verfügbarkeit.

00:13:58: nichtsdestotrotz nützt es einem ja nichts, wenn eine Funktion zwar verfügbar ist, aber angreifbar ist und möglicherweise dann in der Produktion Fehler passieren und Ausschuss produziert wird.

00:14:08: Man kann hier auch mehrstufig fahren bis die Schwachstelle komplett.

00:14:12: behoben ist und eine Aktualisierung zur Verfügung steht, kann vielleicht auch eine Funktion mit leicht eingeschränkter Funktionalität, aber ohne diese Schwachstelle bereitgestellt werden und die verwundbare Funktion trotzdem deaktiviert, um sicherzustellen, dass eben gerade kein Ausschuss produziert wird.

00:14:27: Ja, klingt auf jeden Fall spannend und erfordert einen Zusammenspiel von Hersteller, von Zulieferer und natürlich auch vom Kunden selbst, also Team Sport.

00:14:36: Steffen, wir haben jetzt schon öfter angesprochen, der CIA verlangt eine umfassende Dokumentation der Cyber-Sicherheits-Risiko-Bewertung.

00:14:44: Welche spezifischen Methoden oder Rahmenwerke empfiehlt denn der VDMA, um das Praxis tauglich auch umzusetzen?

00:14:51: Ist da schon was vorhanden?

00:14:52: Ja, wir starten hier nicht auf dem grünen Feld, sondern wir kümmern uns natürlich um das Thema Cyber Security schon sehr lange.

00:15:00: Auch im VDMA und in der Lieferkette gibt es schon entsprechende Methoden, die sich bewährt haben.

00:15:07: Wir haben Normen und Standards, die international anerkannt sind.

00:15:10: Allen voran die IEC-SX-II-IV-IV-III.

00:15:13: Eine Serie mit vielen Teilen mittlerweile, die sowohl die Komponenten als auch die Maschinen- und Systemhersteller integriert.

00:15:21: auch dort genannt, adressiert.

00:15:23: So wie jetzt für das Thema Schwachstellenmanagement, was im CAA auch vorhanden ist, das sind die ISO-Normen, die sind die ISO-Normen, die sind die ISO-Normen, die sind die ISO-Normen, die sind die ISO-Normen, die sind die ISO-Normen, die sind die ISO-Normen, die sind die ISO-Normen, die sind die ISO-Normen, die sind die ISO-Normen, die sind die ISO-Normen, die sind die ISO-Normen, die sind die ISO-Normen, die sind die ISO-Normen, die sind die ISO-Normen, die sind die ISO-Normen, die sind die ISO-Normen, die sind die ISO-Normen, die sind die ISO-Normen, die sind die hatte ich glaube schon erwähnt, auch durchgehend dokumentiert werden.

00:15:54: Und das über den gesamten Lebenszyklus, also bis zum Ende des Supportzeitraums zumindest.

00:15:59: Also schlussendlich, man kann es nicht oft genug sagen, die Dokumentation ist das Rückgrat der ZHR-Obsetzung.

00:16:04: Was nicht dokumentiert ist, ist nicht passiert.

00:16:07: Also ich glaube, die Messe ist jetzt definitiv angekommen, dokumentieren das A und O. Oliver, du arbeitest jetzt natürlich mit vielen Maschinenbaukunden zusammen.

00:16:18: Welche typischen Fragen oder Unsicherheiten begegnen dir aktuell am häufigsten rund um den CRA?

00:16:24: Viele Maschinenbauer versuchen noch zu verstehen, wie tief der CRA in die Entwicklung und die täglichen Abläufe eingreift.

00:16:31: Häufigste Unsicherheit auch, wo soll ich anfangen?

00:16:34: Und die nächste Schwierigkeit, die Grenze zwischen der funktionalen Sicherheit und der Cyber-Sicherheit eben zu definieren.

00:16:42: dann berücksichtigt der Cyber Resilience Act einen vorhersehbaren Missbrauch.

00:16:48: Das ist eine neue Fragestellung, bei der man sich nicht nur fragt, wie das System verwendet werden soll, sondern auch, wie es im realen Betrieb durch einen Cyberangriff missbraucht werden könnte.

00:16:58: Und das ist eigentlich die Stelle, wo es sich in der Praxis empfiehlt anzufangen mit dem Sicherheitskontext.

00:17:04: Was könnte wie missbraucht werden?

00:17:07: Und wenn man das erkannt hat als Hersteller, dann können sinnvolle Gegenmaßnahmen definiert werden, um eine Security-by-default-denkweise in die Design-Entscheidungen von Anfang an einfließen zu lassen.

00:17:22: Viele kleinere Unternehmen gehen auch davon aus, dass sie alles von Grund auf neuer finden müssen.

00:17:26: Das ist aber nicht der Fall.

00:17:28: In Wirklichkeit folgen die meisten bereits den etablierten technischen Rahmenwerken, die auch der Steffen Feuer schon erwähnt hatte, wie die IEC-XIV-XIV-XIII.

00:17:37: Oder sie haben ein Qualitätsmanagement nach ISO-IX-IX.

00:17:41: Und diese Prozesse können um beziehfische Aspekte erweitert werden.

00:17:49: Das heißt, die Kunst besteht darin, diese Punkte zu verbinden, anstatt zusätzliche Bürokratie aufzubauen.

00:17:55: Und dann eben eine Struktur, in dem auch verschiedene Teams im Unternehmen, die IT, die Produktentwicklung, die Compliance Teams zusammengeführt werden.

00:18:05: Also am Ende auch eine unternehmenskulturelle Frage.

00:18:09: Steffen, was würdest du sagen, was sind bei dir Fragen von Mitglied-Unternehmen, die jetzt momentan häufig auftreten?

00:18:16: Also die häufigste Frage, die wir haben, ist neben dem Anwendungsbereich und der Frage, ob die Produkte da reinfallen.

00:18:23: Auch die Frage, ob ich jetzt nur noch CIA-Komponenten zum Beispiel verbauen darf.

00:18:28: Eine Maschine an sich ist ja wie ein Auto, ein Objekt aus vielen verschiedenen Teilen.

00:18:35: Und die Frage lautet natürlich, ob ich jetzt nur noch CAA-Komponenten verbauen darf oder wie es ausschaut und die Antwort lautet hier nein.

00:18:46: Der CAA sieht jetzt nicht vor, dass ich jetzt nur noch Komponenten verbauen darf, die auch den CA erfüllen.

00:18:52: Wir reden hier aber auch Produkte, die weltweit hergestellt werden und dann in Europa verkauft werden.

00:18:57: Das heißt, es könnte auch eine japanische Maschine sein, die dann halt auch japanische Komponenten sei jetzt mal Grund enthält, die nicht unbedingt ja auf dem europäischen Markt gebracht werden und dem zufolge auch nicht den CA erfüllen müssen.

00:19:10: Aber ich muss als Maschinenbauer sorgfältig bewerten, ob die zugekauften Komponenten, wenn sie jetzt zum Beispiel nicht den CA füllen müssen, für meine Maschine relevant sind, für die Konformität meiner Maschine.

00:19:24: Der CA spricht in Bezug auf Komponenten deshalb von due diligence.

00:19:29: Der notwendigen Sorgfaltspflicht bei der Wahl des Zulieferers und der konkreten Komponente, die ich verbauen möchte, beispielsweise, muss ich mir dabei Fragen stellen, wie.

00:19:39: ist mein Lieferant grundsätzlich bereit, Updates zu seinen Produkten zu geben.

00:19:44: Hat ja das vielleicht konkret schon in der Vergangenheit getan.

00:19:46: Bei entsprechenden gleichen Komponenten hat er überhaupt einen Schwachstellenmanagement, also den Prozess unabhängig jetzt vom Produkt selber.

00:19:55: Wie lange bekomme ich Support für diese Komponente?

00:19:57: Also was sagt der Hersteller der Komponente jetzt schon?

00:20:01: Und vielleicht bekomme ich sogar eine S-Bomb, also eine Software Bill of Materials für diese Komponente.

00:20:07: Und je nach Kritikalität meiner Maschine selber, also steht sie vielleicht irgendwo in einem Energieerzeugungsanlage oder allgemeinen Betrieb vom Kunden, was sagt der Kunde, wie kritisch ist sie aus seiner Sicht, da komme ich vielleicht zu einem Ergebnis, was mir gefällt oder auch nicht gefällt, was mir vielleicht Bauchschmerzen macht.

00:20:27: Ja, stimmt völlig zu.

00:20:28: Und es können sogar Komponenten, die vielleicht nicht CAA-konform sind und die über Vulnerabilities verfügen, trotzdem in eine Anlage integriert werden.

00:20:40: Es hängt nämlich davon ab, ob diese Verhundbarkeit überhaupt ausgenutzt werden kann, so wie die Komponente im Gesamtsystem verwendet wird.

00:20:47: Möglicherweise geht das gar nicht und ist dann auch unerheblich.

00:20:50: Also die Bewertung, die Sicherheitsbewertung des Herstellers ist ein sehr wichtiger Punkt.

00:20:55: Das klingt jetzt natürlich schon für viel Koordinationsaufwand, gerade auch für kleinere Unternehmen.

00:21:02: Oliver, wenn jetzt ein Unternehmen kein eigenes Security-Team hat, wie kann es denn trotzdem praktikable Sicherheitsprozesse aufbauen, also etwa beim Schwachstellenmanagement oder bei Software-Updates?

00:21:15: Was empfiehlst du?

00:21:17: Nicht jedes Unternehmen kann sich eine eigene Cyber-Sicherheitsabteilung leisten und das ist auch nicht notwendig und das bedeutet nicht, dass es nicht trotzdem sicher ist.

00:21:25: Produkte anbieten kann.

00:21:27: Der Schlüssel liegt darin, Sicherheit in die bestehenden Engineering- und Wartungsroutinen zu integrieren, anstatt es als separate Disziplin zu behandeln.

00:21:36: Zum Beispiel muss der Schwachstellenmanagement nicht kompliziert sein.

00:21:40: Es fängt damit an, dass Hersteller eine klare Bestandsaufnahme der genutzten digitalen Komponenten haben.

00:21:45: Also diese S-Bombe zum Beispiel, die Stefan vorher schon angesprochen hat.

00:21:49: Das betrifft dann Hardware, Firmware, Bibliotheken, Software-Version und so weiter.

00:21:53: Wenn der Hersteller weiß, was in seinem System ist, kann er viel einfacher nach Updates oder Hinweisen ausschauen.

00:22:00: Viele Anbieter darunter auch wir veröffentlichen regelmäßig Benachrichtigungen und bieten auch sowohl Advisories an als auch Update-Mechanismen, die direkt den Service-Workflows integriert werden können.

00:22:12: Automatisierung ist überhaupt ein ganz wichtiger Punkt.

00:22:15: Also Automatisierung beim Ausrollen von Software-Updates zum einen, aber auch Automatisierung bei der Erkennung von Schwachstellen oder bei der Erkennung, welche Schwachstellen in verwendeten Komponenten enthalten sind.

00:22:35: Und der letzte Punkt ist kultureller Natur.

00:22:37: Sicherheit sollte eine gemeinsame Verantwortung sein, keine Berufsbezeichnung.

00:22:41: Wenn Ingenieure, IT-Admins und sogar der Kundensupport ihre Rolle bei der Gewährleistung der Systemsicherheit verstehen, ist das Ergebnis oft besser als ein eigenständiger.

00:22:50: Abteilung für diesen Zweck.

00:22:52: Es geht darum, Cyber-Sicherheit zu einer alltäglichen Gewohnheit zu machen und nicht zu einer zusätzlichen Bürokratie-Ebene.

00:22:59: Also wir hören es schon raus.

00:23:00: Es kommt ein bisschen was auf die Unternehmen zu.

00:23:03: Aber wie groß ist jetzt konkret der Aufwand, wenn es jetzt darum geht, die Schwachstellen auch zu managen, die Updates bereitzustellen und gleichzeitig natürlich diese langfristige Sicherheit im Feld zu gewährleisten?

00:23:16: Also anhand des Prozesses.

00:23:18: Wie groß würdest du sagen, ist der Aufwand, Oliver?

00:23:21: Ja, das ist sehr schwer zu sagen.

00:23:22: Ich hatte vorher mal diese zwanzig Prozent der Entwicklungsmannschaft geschätzt, aber ganz stark hängt es davon ab, was tatsächlich schon an Prozessen im Unternehmen etabliert ist.

00:23:32: Es ist sicherlich ein lebendiger Prozess, der aufgebaut werden muss, wenn er noch nicht da ist.

00:23:36: Es ist also keine einmalige Produktzartifizierung, sondern ein kontinuierlicher Prozess.

00:23:40: Sprachstellen können auch mit dem besten Prozess nicht hundertprozentig ausgeschlossen werden.

00:23:46: Also entscheidend ist am Ende, wie schnell ist der Hersteller in der Lage, diese zu beheben und auch die Schwachstelle transparent zu machen, also entsprechende Informationen rauszugeben, entsprechende Adversaries rauszugeben, also solche Ratschläge, wie man, obwohl die Schwachstelle noch nicht beseitigt ist, möglicherweise erkennen kann, ob man das überhaupt betrifft.

00:24:07: Dann für den Hersteller natürlich wichtig, dass dieser Zusatzaufwand hat.

00:24:11: den er hat, also über einen relativ langen Zeitraum, fünf Jahre oder noch mehr, ohne zusätzliche Berechnung Seelerbeseitigungen anzubieten.

00:24:19: Das muss ein Hersteller im Produktpreis von Anfang an berücksichtigen.

00:24:24: Und das ist, glaube ich, im Saalber Resilienz-Akt auch spiegelt sich das wieder.

00:24:31: Er erwartet von Herstellern, dass sie über einen koordinierten Prozess zur Offenlegung von Schwachstellen, also Coordinated Valnerability Disclosure, verfügen.

00:24:40: Das bedeutet, dass eben solche Fehlermeldungen, die ja von Dritten auch hereinkommen können, verarbeitet werden und möglichst ohne Unterbrechung, ohne Ausfallzeiten bei den Produkten, bei den Anwendern, bei den Maschinen bearbeitet werden.

00:24:57: Und all das ist natürlich schwierig, weil es auch sehr kurze Meldefristen gibt.

00:25:01: Das mag sehr mutigend klingen, muss es aber nicht sein.

00:25:04: Die meisten Unternehmen verfügen bereits über Kundenservice über Ticket-Systeme, über Qualitätsfeedbackprozesse.

00:25:11: Wenn Sie dieses System um einen klaren Eskalationspfad für Sicherheitsvorfälle erweitern, das heißt wer untersucht, wer ist zuständig, wer entscheidet, wer kommuniziert, dann ist schon sehr viel gemacht.

00:25:25: Allerdings ist es auch so, dass ein großer Teil des Aufwands, ich würde sagen der größte Teil des Aufwands, ist nicht technischer Natur, diese Verwundbarkeit zu beheben.

00:25:34: sondern organisatorisch.

00:25:36: Also wie rolle ich das aus?

00:25:37: Wie kommuniziere ich das?

00:25:38: All diese Themen.

00:25:40: Und um hier einen nachhaltigen Mechanismus, der diese Anforderungen über die gesamte Lebensdauer des Produktaufrechter hält, anzubieten und zu leisten, muss der Hersteller einen Anteil im Produktpreis vorsehen, weil er das später nicht extra berechnen kann.

00:25:57: Zumal die Maschinen ja auch länger, also älter als fünf Jahre werden.

00:26:01: Deutlich, ja natürlich, zehn bis zwanzig Jahre sehr häufig und das muss man schon sich überlegen, wie man das machen kann.

00:26:07: Jetzt soll der CRA ja erst in zwanzig, sieben und zwanzig wirklich in Kraft treten und viele Komponenten sind zugekauft, liegen vielleicht schon im Lager.

00:26:19: Was sagen deine Zulieferer da, Oliver?

00:26:23: Ja, die Komponenten müssen nicht weg.

00:26:24: Also Pragmatismus ist hier angebracht.

00:26:27: Wenn Komponenten im Lager sind, dann muss man eben darin Sicherheit bewerten und bewerten, inwieweit das zu Verwundbarkeiten des Gesamtsystems führen kann.

00:26:38: Und nach wie vor kann man auch nicht CIA-konforme Komponenten in seinem Produkt einsetzen, wenn man eben eine solche Risikoanalyse... durchgeführt hat.

00:26:47: Und das ist auch das Wichtige.

00:26:48: Das ist auch das Wichtige.

00:26:49: Das ist auch das Wichtige.

00:26:50: Das ist auch das Wichtige.

00:26:51: Das ist auch das Wichtige.

00:26:52: Das ist auch das Wichtige.

00:26:52: Das ist auch das Wichtige.

00:26:53: Das ist auch das Wichtige.

00:26:54: Das ist auch das Wichtige.

00:26:55: Das ist auch das Wichtige.

00:26:56: Das ist auch das Wichtige.

00:26:57: Das ist auch das Wichtige.

00:26:57: Das ist

00:26:58: auch das Wichtige.

00:26:58: Das ist auch das Wichtige.

00:26:59: Das ist auch das Wichtige.

00:27:00: Das ist auch das Wichtige.

00:27:01: Das ist auch das Wichtige.

00:27:02: Das ist auch das Wichtige.

00:27:03: Das ist auch das Wichtige.

00:27:04: Das ist auch das Wichtige.

00:27:05: Das ist auch das Wichtige.

00:27:06: Das ist auch das Wichtige.

00:27:08: Das ist auch das Wichtige.

00:27:09: Das ist auch das Wichtige.

00:27:09: Das ist auch das Wichtige.

00:27:10: Das ist auch das Wichtige.

00:27:11: Das ist auch das Wichtige.

00:27:12: Das ist Das heißt, der Komponentenhersteller muss sie tatsächlich auch erst da erfüllen, aber er verkauft ja seine Komponenten dann den Maschinenbauer.

00:27:20: Das heißt, hier haben wir noch große Herausforderungen, die wir sehen werden, dass tatsächlich dann der Maschinenbau in der Lage ist, auch das entsprechend umzusetzen.

00:27:30: Und in der Praxis sehen wir jetzt schon Auswirkungen, dass natürlich auch Komponentenhersteller, die sich frühzeitig damit beschäftigt haben, schon dem Kunden sagen, du in dem Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in den Jahr in

00:28:07: den Jahr in den.

00:28:08: Das ist in der Tat ein Problem und ich vermute auch, dass einige Komponenten einfach vom Markt verschwinden vor dem Stichtag, december zwanzig, sieben und zwanzig.

00:28:17: Ja, was ja auch im Sinne des ganzen CRA-Gedankens ist, dass natürlich unsichere Komponenten nicht mehr verkauft werden.

00:28:24: für einen Maschinenbauer natürlich schwierig, der in seiner Maschine hunderte Komponenten unterschiedlicher Hersteller eingebaut hat, wenn dann plötzlich einige der Komponenten nicht mehr erreichbar sind und er dafür Ersatz suchen muss.

00:28:36: Aus der Praxis heraus haben wir das ja im Automotive-Bereich schon gesehen.

00:28:39: In der Vergangenheit, ich erinnere nur an den VWE ab, oder den Porsche, die nicht mehr verkauft wurden, aus Securitygründen, weil die Plattform die Cyber Security Anforderungen nicht mehr ermöglicht hat.

00:28:53: Das werden wir im Maschinenanlagenbau hoffentlich nicht sehen, sondern wir werden hoffentlich in der Lage sein, auch weiterhin Maschinenanlagen zu verkaufen, dann aber mit Security.

00:29:03: Der VDMA ist da ja zum Glück beratend unterwegs.

00:29:06: Steffen, was sind denn die Angebote, wo sich jetzt Interessierte auch nochmal einlesen können oder Unterstützung bekommen seitens VDMA?

00:29:14: Wir begleiten den Cyber Resilience Act schon sehr lange.

00:29:17: Wir bieten auch weitgehende Unterstützung in unseren Fachcremien an.

00:29:21: Zum Beispiel in der Praxisumsetzung im Arbeitskreis Industrial Security von unserem Kollegen Maximilian Moser.

00:29:27: Hier tauschen sich Mitglieder, auch wie BUSYSTEMS ist dabei, zu Themen wie Schwachstellenmanagement, Supply Chain Security oder auch zur IEC-Supply Chain Security, oder auch zur IEC-Supply Chain Security, oder auch zur IEC-Supply Chain Security, oder auch zur IEC-Supply Chain Security, oder auch zur IEC-Supply Chain Security, oder auch zur IEC-Supply Chain Security, oder auch zur IEC-Supply Chain Security, oder auch zur IEC-Supply Chain Security, oder auch zur IEC-Supply Chain Security, oder auch zur IEC-Supply Chain Security, oder auch zur IEC-Supply Chain Security, oder auch zur IEC-Supply Chain Security, oder auch zur IEC-Supply.

00:29:42: Zudem gibt es ein Fachcremium im VdMA für die Auslegung des CA-Tectas, also was hat jetzt der Gesetzgeber damit vergewollt?

00:29:51: Im Fachbereich Technikpolitik, Ansprechpartner hierfür ist mein Kollege Alexi Markert, der auch die VdMA FAQ zum CA ablegt, also die gibt es auch.

00:30:01: Und in spezifischen Fachbereichen, der VdMA ist ja ein Sammelsurium von verschiedenen Branchen, gibt es auch Arbeitsbereiche zu Product Security.

00:30:12: und dem CAA zum Beispiel bei den Werkzeugmaschinenherstellern im VdW oder bei unseren Kollegen der elektrischen Automation gibt es sogar einen eigenen CAA Arbeitskreis.

00:30:21: Denn Cyber Security, das schafft man am Ende nur gemeinsam.

00:30:26: Also wir haben es jetzt schon gehört, der CAA bringt auch positive Dinge mit sich, enge Zusammenarbeit, aber auch Transparenz.

00:30:34: Oliver, könnte er sogar Innovation und Vertrauen im Maschinenbau fördern, also voranbringen?

00:30:40: Ganz sicher wird er das tun.

00:30:41: Also der Cyber Resilience Act wird ein Katalysator für positive Veränderungen sein.

00:30:46: Er fördert die Innovation, wenn man Produkte so entwickelt, dass sie standardmäßig, also Security by Design, Security by Default, standardmäßig sicher sind und nicht nur irgendwas drumherum, eine Hülle drumherum baut.

00:30:58: und ein ganz wichtiger Punkt, um dauerhaft widerstandsfähige Produkte anbieten zu können, müssen die aktualisierbar sein.

00:31:06: Weil sie können von vornherein nicht so gebaut werden, dass sie allen Bedrohungen der Zukunft standhalten.

00:31:12: Also aktualisierbare Produkte, mit denen man dann rechtzeitig auch solche Dinge verbessern und austauschen kann, sind ganz wichtig.

00:31:18: Und dann schafft der Cyber-Resilient-Sekt eben Vertrauen.

00:31:21: Und ein CAA-konformes Produkt erfüllt dann nicht nur die regulatorischen Bedingungen, sondern ist auch ein Zeichen von Qualität und Zuverlässigkeit.

00:31:31: Und das ist für das Vertrauen im Maschinenbau, glaube ich, wichtig.

00:31:35: Die Zusammenarbeit hatten wir vorher schon angesprochen und es ist eine große Chance für widerstandsfähige Ökosysteme, wenn eben die Produkte konform zu den Regeln sind.

00:31:49: In diesem Sinne fasse ich zusammen, der Cyber Resilience Act wird in den nächsten Jahren vieles verändern, vor allem wie Maschinenhersteller über Industrial Security und Verantwortung denken.

00:32:01: Aber wer sich jetzt damit auseinandersetzt, kann aus dieser Regulierung einen echten Wettbewerbsvorteil machen, durch mehr Sicherheit, Vertrauen und Transparenz.

00:32:12: Vielen Dank an meine Gäste Oliver Winzenried und Steffen Zimmermann für die spannenden Einblicke.

00:32:19: Wenn Sie mehr zu diesem oder auch anderen Digitalisierungsthemen erfahren möchten, der VDMA unterstützt und informiert zum Thema Und mehr Infos bekommen Sie gerne unter vdma.eu.

00:32:31: slash cybersecurity oder slash software-digitalisierung.

00:32:37: Schön, dass Sie dabei waren, abonnieren Sie gerne den Industrie-Podcast des VDMA, hören können Sie uns bei Spotify, Apple-Podcast, Google-Podcast und Podigy.

00:32:49: In diesem Sinne, bleiben Sie resilient, nicht nur technisch, auch persönlich.

00:32:54: der Industrie Podcast des VDMA.