NIS-Richtlinie : Cybersicherheit wird von der Kür zur Pflicht
Die NIS-Direktive ist eine EU-Richtlinie, die seit dem Jahr 2016 gilt. NIS steht dabei für „Netz- und Informationssicherheit“ und betrifft derzeit die Anbieter digitaler Dienste wie etwa Online-Marktplätze, Suchmaschinen oder Cloud-Lösungen sowie kritische Infrastrukturen und die öffentliche Verwaltung. Damit blieb sie im Industriesektor bisher weitestgehend unterhalb des Radars. Doch das ändert sich nun: In den kommenden Monaten wird das EU-Parlament NIS-2 beschließen – und diese hat enorme Auswirkungen auf die produzierende Industrie, die Maschinenbauer und die Automatisierer. Denn sie verpflichtet diese Sektoren in Zukunft, konkrete Maßnahmen zur Cybersicherheit zu treffen.
Schäden in Milliardenhöhe
„Cybersicherheit wird leider noch nicht so ernst genommen, wie man es nach den vielen Cyberattacken und Schadensfällen der letzten Jahre eigentlich erwarten könnte“, fasst Laurin Dörr die Motivation dahinter zusammen. Der gelernte Elektrotechniker befasst sich seit 8 Jahren mit dem Thema Cybersicherheit in der Industrie. Wie hoch die Kosten sind, die sowohl betroffenen Unternehmen als auch der Volkswirtschaft durch Angriffe auf vernetzte Systeme entstehen, lässt sich kaum hoch genug ansetzen. Im Jahr 2021 bezifferte eine Studie des Digitalverbands Bitkom den Schaden mit mindestens 223 Milliarden Euro pro Jahr – und das alleine in Deutschland. Gleichzeitig verzeichnen alle relevanten Stellen eine stark steigende Zahl an Cyberangriffen. Doch die Industrie geht dem Thema nicht so stark nach, wie es nötig wäre. Also kommen nun Vorgaben von Seiten des Gesetzgebers, um den Erfolg der Digitalisierung nicht zu gefährden.
Die bisherige NIS-Richtlinie hat sich vor allem auf IT-Systeme konzentriert. Das ändert sich nun, angesichts der Realität von immer mehr vernetzten und miteinander kommunizierenden Geräten. Jedes Ethernet-Kabel, jede Wlan-Schnittstelle und jede Steuerungskomponenten mit Cloud-Anbindung ist ein potenzielles Einfallstor für Eindringlinge von außen. Mit den gängigen Abwehrmechanismen aus dem IT-Umfeld kommt die Industrie jedoch nicht weit, sagt Dörr: „OT-Netze haben aber ganz andere Anforderungen.“ Im Kern geht es darum, dass eine Maschine nicht einfach abgeschaltet werden kann, nur weil ein verdächtiger Vorgang entdeckt wurde. NIS-2 verpflichtet daher dazu, passende Branchen-Standards für die Zertifizierung auszuwählen. Konkret vorgegeben sind in dieser Richtlinie keine. Doch es zeichnet sich immer mehr ab, so Dörr, dass sich die IEC 62443 durchsetzen wird. An dieser Normenreihe für die Sicherheit industrieller Kommunikationsnetze sollten man sich also orientieren – etwas, dass Entwickler von Komponenten und Integratoren schon längt tun. In Kürze wird es auch für die Betreiber von Industrieanlagen eine eigene Erweiterung der IEC 62443 geben, die die entsprechenden Prozesse beschreibt.
Wo sollen die Experten herkommen?
„Drei Bereiche müssen in Zukunft beachtet werden“, erklärt Dörr – und das verpflichtend: Prevention, Detection und Response sind die umzusetzenden Maßnahmen. Erstens geht es darum, nachzuweisen dass Vorsichtsmaßnahmen wie Risikoanalysen und Absicherungsschritte gesetzt werden. Zweitens muss ein System implementiert werden, dass Angriffe erkennen kann. Und drittens müssen Reaktionsmaßnahmen definiert werden, falls es zu einem Angriff kommt: Das reicht vom Aufbau eines Notfall-Teams bis zum Festlegen einer Rettungskette. Das ist als Paket zu sehen, ist der Cybersicherheits-Experte überzeugt: „Keine der drei Maßnahmen ist ohne die anderen beiden sinnvoll umzusetzen!“ Dazu muss die Implementierung dieses Pakets auch an die Behörden gemeldet werden. Dafür braucht es also viel Expertise, und zwar bald: Ab 2024 wird all das verpflichtend von der Industrie umzusetzen sein. Doch genau hier sieht Dörr auch ein Problem: „Ich sehe nicht, wo dann plötzlich die vielen Cybersicherheits-Experten herkommen sollen.“ Daher rät er jedem Unternehmen, sich ab sofort intensiv damit zu beschäftigen.
Eigenes Know-how nötig
Laurin Dörr war von 2013 bis 2020 Projektleiter für OT-Cyber-Security bei ProtectEM, einer Ausgründung der Technischen Hochschule Deggendorf. Dabei rückte insbesondere bei Projekten mit Maschinenbauern immer mehr das Thema Digitalisierung in den Mittelpunkt: „Dabei hat uns die Expertise zum Teil gefehlt“, so Dörr. So kam es Ende 2020 zur Neugründung gemeinsam mit Taschek & Gruber, dem österreichischen Automatisierungsspezialisten mit dem besonderen Fokus auf Digitalisierung. In die neue TG alpha brachten beide Seiten ihre Spezialgebiete ein: Hier die Cybersicherheit, dort Automatisierung und Digitalisierung. Das junge Unternehmen beschäftigt derzeit 6 Mitarbeiter, ist aber stark im Wachsen. Den Schwerpunkt sieht Dörr in der Beratung: „Wir unterstützen bestehende Kunden dabei, die Kompetenz im eigenen Unternehmen aufzubauen und das Thema selbst weiterführen zu können.“ Das sei auch der einzige Weg, den zukünftigen gesetzlichen Anforderungen entsprechen zu können. Doch der Weg sei noch weit, sagt der Experte: „Wir erleben, dass die meisten unserer Kunden von NIS-2 und den auf sie zukommenden Verpflichtungen überhaupt noch nichts weiß!“
Für den Export relevant
Wer also auch zukünftig in Europa produzieren will, müsse sich ab sofort intensiv damit auseinandersetzen und entsprechendes Know-how aufbauen. Dass die Konzentration auf Cybersicherheit ein spezifisch europäisches Thema sei, diese „Ängstlichkeit“ den Erfolg der Digitalisierung bremsen und den alten Kontinent im globalen Standortwettbewerb ins Hintertreffen bringen könne könne, diesem oft gehörten Gedanken widerspricht Laurin Dörr vehement: „Das ist ein internationales Thema! Selbst China arbeitet massiv an Sicherheitsvorgaben, auch in den USA oder Japan wird Cybersecurity zunehmend groß geschrieben!“ Wer also auch in Zukunft exportieren wolle, tue gut daran sich genau mit dem Thema und den Anforderungen zu beschäftigen.