Interview: Thomas Berndorfer : Wie TTTech Industrial zum Cybersecurity Vorreiter wurde
Sie bedienen mit Ihrer Plattform Nerve unter anderem den österreichischen Maschinenbau. Dort setzen die Unternehmen verstärkt auf IIoT und Cloud-Dienste. Dennoch wird dem Produktionsstandort Österreich eine gewisse digitale Skepsis nachgesagt. Was sind Ihre Erfahrungen?
Thomas Berndorfer: Der österreichische Maschinenbau hat mittlerweile die Dringlichkeit dieser Entwicklungen erkannt. Meiner Ansicht nach gibt es dafür triftige Gründe. Häufig lernen wir aus der Not am meisten, und bedauerlicherweise mussten viele mittelständische Unternehmen dies auf bittere Weise erfahren, insbesondere durch wiederholte Ransomware-Angriffe. Diese Vorfälle haben bei vielen Firmen tiefgreifende Lehren hinterlassen. Die Sensibilität für die Sicherheit ist mittlerweile definitiv gestiegen. Dennoch gibt es immer noch erhebliche Unterschiede in Bezug auf die Umsetzung von Sicherheitsmaßnahmen. Auf einer Skala von 0 bis 10 gibt es hier praktisch alles.
Branchenvertreter wie der VDMA kritisieren, dass NIS2 besonders den Mittelstand hart trifft und viele Unternehmen die Kosten für die hohen Sicherheitsanforderungen nicht tragen können. Sehen Sie das auch so?
Thomas Berndorfer: Als Mitglied des österreichischen Vorstands des VDMA nehme ich natürlich aktiv an dieser Diskussion teil und verstehe die Bedenken. Wenn Unternehmen nur NIS2 oder den Cyber Resilience Act auf ihrer Agenda hätten, wäre dies durchaus machbar. Allerdings haben sie auch andere Themen wie Transparenz in der Wertschöpfungskette, Lieferkettenmanagement sowie Umwelt- und Nachhaltigkeitsaspekte etc. zu bewältigen. Die Unternehmen sind bereits durch viele Regulierungen stark belastet, und plötzlich kommt diese EU-Richtlinie mit der Fristsetzung: "Übrigens, Sie haben bis Ende des nächsten Jahres Zeit." Dies stellt zweifellos eine zusätzliche Belastung dar. Ein weiteres Problem ist die Verfügbarkeit von qualifiziertem Personal. Solche Sicherheitsfragen erfordern hochspezialisierte Fachleute, die nur begrenzt zur Verfügung stehen. Insofern wäre es wünschenswert, wenn es eine angemessene Umsetzungszeit gäbe. Man kann solche komplexen Angelegenheiten nicht über Nacht regeln. Besonders herausfordernd ist die Tatsache, dass die Geschäftsführung jetzt persönlich haftbar gemacht werden kann. Wenn sie nicht nachweisen können, dass sie angemessene technische und organisatorische Maßnahmen ergriffen haben, die dem aktuellen Stand der Technik entsprechen, stehen sie vor einem Problem. Die Umsetzung in dieser begrenzten Zeit und mit den vorhandenen Ressourcen in der aktuellen wirtschaftlichen Lage ist zweifellos eine erhebliche Herausforderung.
Auf nationaler Ebene muss die Richtlinie bis zum 17. Oktober 2024 umgesetzt werden. Ist es für Unternehmen, die sich noch gar nicht mit dem Thema beschäftigt haben, möglich, bis zu diesem Stichtag fit zu sein?
Thomas Berndorfer: Wenn Unternehmen erst jetzt mit der Umsetzung beginnen, ist es meiner Meinung nach bereits zu spät, da es immer eine Vorlaufzeit von mindestens einem halben Jahr gibt, bis die Maßnahmen getestet und technisch einsatzbereit sind. Viele Unternehmen haben diese Richtlinie nur teilweise auf dem Radar, da sie sich nur auf kritische Infrastrukturen und Unternehmen mit einem gewissen Jahresumsatz oder Mitarbeiteranzahl konzentriert. Der VDMA schätzt, dass in Deutschland etwa 9.000 Unternehmen von dieser Richtlinie betroffen sein werden. Alle, die derzeit nicht betroffen sind, könnten also denken, sie können noch abwarten. Dennoch werden die Sicherheitsanforderungen an alle kontinuierlich erhöht. Bei TTTech Industrial haben wir beschlossen, NIS2 bereits zu erfüllen, bevor es uns direkt betrifft. Dies liegt daran, dass wir Unternehmen beliefern wollen, die diese Anforderungen stellen, oder weil unsere Kunden wiederum Unternehmen beliefern, die noch größere Anforderungen haben. Das bedeutet, dass viele Unternehmen nicht direkt, sondern indirekt betroffen sind. Sie können ihr Produkt oft nicht verkaufen, wenn die Lieferkette dies erfordert. Daher haben wir bereits vor anderthalb Jahren begonnen, uns auf den Weg zu machen, weil wir erkannt haben, dass dies kommt und dass es irgendwann in den Einkaufsbedingungen unserer Kunden eine Anforderung sein wird, die erfüllt werden muss.
Cybersecurity ist ein schwieriges Thema und eine der größten Herausforderungen war nicht technischer Natur, sondern wir mussten diese umfassende Denkweise in die Köpfe der Mitarbeiter bringen.
TTTech Industrial wurde kürzlich vom TÜV Austria nach IEC 62443-4-1 zertifiziert. Diese Subnorm gibt es seit 2018 und Sie sind erst das zweite österreichische Unternehmen, das diese Zertifizierung erfolgreich absolviert hat. Wie erklären Sie sich das?
Thomas Berndorfer: Ich habe mir die Statistik angeschaut und in der Datenbank sind gerade mal 40 Unternehmen weltweit eingetragen. Jetzt kann man sagen, ja, das ist vielleicht nicht ganz vollständig, nicht ganz aktuell, aber wenn man das verdoppelt, verdreifacht, wenn man das verzehnfacht, dann sind das immer noch nur 400, und ich bin sicher, es gibt tausende Softwareunternehmen, die relevant sind. Das liegt wahrscheinlich daran, dass die Vorarbeit sehr aufwändig ist, weil Sie die ganzen Prozesse anpassen müssen. Sie müssen Schulungen machen, Sie brauchen auch eine gewisse Erfahrung mit dem Prozess, einen Reifegrad. Am Anfang steht eine GAP-Analyse mit dem TÜV, dann wird alles punktuell abgearbeitet, überprüft und ständig korrigiert. Erst wenn man diese ganze Entwicklungs- und Product Life Cycle-Kette im Griff hat, bekommt man das Prüfsiegel und kann mit gutem Gewissen sagen, das ist Stand der Technik, wir haben alles Erforderliche gemacht, um sichere Produkte im Sinne der Norm für den Kunden zu entwickeln.
Das übergeordnete Konzept dieser Subnorm betrifft den gesamten Lebenszyklus. Was ist damit alles gemeint?
Thomas Berndorfer: Das Herzstück eines Security-Prozesses ist die Risikoanalyse, mit der man sich bewusst wird, wo die Gefahren lauern und wo die möglichen Einfallstore für Cyberangriffe liegen. Daraus werden die Sicherheitsanforderungen spezifiziert und über den gesamten Lebenszyklus, d.h. Entwicklung, Test und operativer Einsatz nachverfolgt. Das macht man nicht von heute auf morgen, aber wir sind ein sehr prozessaffines Unternehmen, weil wir Safety als gemeinsamen Nenner im Unternehmen TTTech haben. Wir konnten viele dieser Erfahrungen auf den Security-Bereich applizieren. Cybersecurity ist ein schwieriges Thema und eine der größten Herausforderungen war nicht technischer Natur, sondern wir mussten diese umfassende Denkweise in die Köpfe der Mitarbeiter bringen.
Sie streben an, Nerve noch 2024 nach Subnorm 4.2 zu zertifizieren. Im Mittelpunkt stehen dabei die Komponenten. Welche Anforderungen müssen hier erfüllt werden?
Thomas Berndorfer: Nerve besteht aus vielen Software-Komponenten. Unser Ziel ist es, diese Komponenten auf eine solide Grundlage zu stellen. Ein gutes Beispiel dafür ist der " Secure Boot ". Dies bedeutet, dass wir sicherstellen müssen, dass der Computer von Anfang an vertrauenswürdige Aktionen ausführt. Ein weiterer wichtiger Aspekt ist der " Root of Trust „, bei dem sichergestellt wird, dass nur zertifizierte Software ausgeführt wird. Die gesamte Vertrauenskette muss sicher gestaltet werden, damit Produkte, die bereits sicher entwickelt wurden, auf einem sicheren Fundament stehen und nicht leicht verändert werden können. Dies erfordert Anpassungen in der Basis, im Betriebssystem und in der Art und Weise, wie Software ausgerollt wird. Wir haben uns vorgenommen, diese wichtigen Grundlagen bis Ende nächsten Jahres zu schaffen, um Security Level 2 gemäß der Norm sicher zu erreichen. Dieser Schritt erfordert nicht nur die Einhaltung von Sicherheitsstandards. Vielmehr muss das Gerät zuverlässig und ohne Unterbrechung funktionieren, bei einem gleichzeitig hohen Maß an Benutzerfreundlichkeit. Der Schritt von Sicherheitslevel 2 auf 3 wird in Bezug auf die Benutzerfreundlichkeit noch anspruchsvoller sein.
Wir können sinnbildlich gesagt ein sicheres Auto liefern, aber wenn der Fahrer die Sicherheitsregeln nicht einhält und unverantwortlich handelt, kann es immer noch zu Problemen kommen.
Was die Kunden wahrscheinlich am meisten interessiert: Mit Nerve bin ich NIS2-konform, richtig?
Thomas Berndorfer: Genau, das ist unser Ziel. Wir möchten den Kunden versichern, dass sie mit Nerve den Anforderungen von NIS2 entsprechen können. Es ist jedoch wichtig zu beachten, dass wir ein System bereitstellen, und der Kunde muss ebenfalls seinen Teil dazu beitragen. Wir können sinnbildlich gesagt ein sicheres Auto liefern, aber wenn der Fahrer die Sicherheitsregeln nicht einhält und unverantwortlich handelt, kann es immer noch zu Problemen kommen. Der Kunde muss sich auch an die Richtlinien halten, um sicherzustellen, dass das Gesamtpaket aus Nerve und der kundenseitigen Anwendung sicher ist.
Laut einer aktuellen Studie von KPMG hat sich die Zahl der Cyberattacken in Österreich innerhalb eines Jahres verdreifacht. Die Industrie wird für Angreifer ein immer attraktiveres Ziel. Was erwarten Sie hier in den kommenden Jahren?
Thomas Berndorfer: Die Bedrohungslandschaft verändert sich ständig. Die Aktivitäten von Angreifern verschieben sich, und wir beobachten dies aufmerksam. Wir haben einen Chief Information Security Officer, der für die gesamte TTTech-Gruppe im Bereich der IT-Sicherheit tätig ist, und einen weiteren CISO, der sich ausschließlich auf die Industrie konzentriert. Mit sicheren Lösungen verschieben sich normalerweise auch die Angriffsvektoren. Gegenwärtig setzen Angreifer vermehrt auf Social Engineering, bei dem sie sich als Mitarbeiter ausgeben, um an sensible Informationen zu gelangen. Die Methoden der Angreifer ändern sich alle paar Quartale, wobei Phishing-E-Mails immer noch weit verbreitet sind, CEO-Fraud und Social Engineering sind derzeit die Grundlage für neue Angriffe. Die Sicherheitslandschaft wird sich weiterentwickeln, und Unternehmen werden weiterhin im Fokus von Angreifern stehen. Europäische Produkte können sich durch ein hohes Maß an Security differenzieren, das ist eine große Chance. Daher ist es von entscheidender Bedeutung, Ressourcen zu bündeln und auf qualifizierte Partner zu setzen. Absolute Sicherheit wird es jedoch nie geben.