Cyber Resilience Act (CRA) - keine Zeit zu warten

00:00:00: Hallo liebe Zuhörerinnen und Zuhörer, willkommen zu einer neuen Folge unseres Podcastes Industrie

00:00:09: Neugedacht.

00:00:10: Mein Name ist Robert Weber und mir gegenüber sitzen zwei Experten von Bosch Rexroth.

00:00:14: Einmal der Michael Langfinger.

00:00:16: Hallo Michael, willkommen.

00:00:17: Hi.

00:00:18: Und der Sebastian Krauskopf.

00:00:19: Hallo.

00:00:20: Hey, hallo Robert.

00:00:21: Bevor wir jetzt über das ganze große Thema Cyber Security und Cyber Resilience sprechen,

00:00:24: stellt euch doch erst einmal ganz kurz den Zuhörern und Zuhörerinnen vor.

00:00:28: Wer seid ihr und was macht ihr bei Bosch Rexrot?

00:00:30: Michael, magst du beginnen?

00:00:31: Ja, gerne.

00:00:32: Ich bin der Product Owner fürs Thema Cyber Security und auch der Product Security Officer in

00:00:37: der Geschäftseinheit Automation und Electrification Solutions.

00:00:41: Und das sind zwar sehr sperrige Begriffe von daher vielleicht kurz zur Erläuterung.

00:00:44: Als Product Owner ist mein Team und ich, sind verantwortlich für die Security-Plattform

00:00:48: für Control-XOS.

00:00:49: Das ist so der wesentliche Kernpunkt und auch Security Apps, die wir haben.

00:00:53: Und als Product Security Officer für mehrere Themen, hauptsächlich einerseits Awareness

00:00:58: für das Thema natürlich schaffen, aber darüber hinaus auch sicherstellen, dass eben die

00:01:02: Security-Vorgaben eingehalten werden, so Themen wie Security-Testing und auch Bereitstellung

00:01:08: von Werkzeugen für Kollegen, um solche Tests und so weiter durchzuführen beispielsweise.

00:01:12: Sebastian, stell du dich doch ganz kurz den Zuhörern und Zuhörerinnen vor.

00:01:15: Was machst du bei Bosch Rexroth?

00:01:16: Ja, ich bin der leitende Softwarearchitekt für die Steuerungsplattform im Bereich Control-X

00:01:21: Automation.

00:01:22: Das heißt, ich kümmere mich um die Architekturkonzepte von unserer Steuerungsplattform, Control-X

00:01:26: Core und der zugehörigen Software, Control-XOS.

00:01:29: Und nebenbei kümmere ich mich noch um den Software-Entstehungsprozess, also wie entstehen Software-Designs,

00:01:36: wie werden sie dokumentiert und wie wird Software getestet und so weiter.

00:01:39: Ich möchte von dir noch wissen, was ist noch ein großer Irrtum, wenn es um den Cyber-Resilience-Act geht?

00:01:44: Also am Anfang muss man wirklich sagen, war das tatsächlich so, also viele haben Cyber-Security

00:01:49: einfach nur gleichgesetzt mit verschlüsselten Protokollen.

00:01:52: Machen wir ein verschlüsseltes OPC UA Protokoll, mein IT-Produkt, mein Automationsprodukt und

00:01:57: dann ist das gut, aber das ist natürlich eine Fehlannahme, das reicht nicht aus.

00:02:01: Cyber-Security ist nicht nur das Thema Vertraulichkeit, da geht es auch um Plattformintegrität, da

00:02:07: geht es quasi auch um Verfügbarkeit, also das ist so eine große Fehlannahme.

00:02:10: Warum ist das so?

00:02:11: Kommt das aus der Consumerwelt, dass Sie denken, das ist eins zu eins oder woher kommt

00:02:17: diese Missinterpretation?

00:02:18: Man hat sich einfach lange gar nicht mit dem Thema auseinandergesetzt.

00:02:22: Es war nicht im Bewusstsein der Maschinenbauer, nicht im Bewusstsein der Anwender.

00:02:26: Es ging um Zykluszeiten, es ging um Performance, es ging um schnelle Inbetriebnahmen.

00:02:31: Cyber-Security war einfach nicht in den Köpfen.

00:02:36: Es war kein Problem, dass es zu lösen galt.

00:02:37: Weil man nie attackiert wurde, weil nie drüber gesprochen wurde?

00:02:41: Ja, ich meine in letzter Zeit hat natürlich das Thema Cyber-Security auch mit dem politischen

00:02:47: Hintergründen, auch mit der steigenden Komplexität, mit der zunehmenden Vernetzung.

00:02:51: Im Bereich i4.0 ging es erst lange darum, überhaupt erst mal die Maschine wird vernetzt.

00:02:55: Was machen wir jetzt da draus, dass mit der Vernetzung aber auch eine Bedrohung einhergeht.

00:02:59: Das war neu oder ist neu.

00:03:01: Was sind bei euren Kunden die größten Hürden bei dem Thema?

00:03:05: Also das ist eigentlich das Thema, dass es jetzt ein neues Thema ist, also was über den

00:03:10: ganzen Lebenszyklus geht.

00:03:11: Das ist nicht wie andere Dinge, ein einzelnes Feature, irgendwas, was ich in meine Maschine,

00:03:18: in mein Produkt mit einbaue und dann, ich sag mal, bin ich sorgenfrei, sondern es

00:03:22: ..., ja, Haken dran, sondern es ist wirklich was, was einen über den ganzen Lebenszyklus

00:03:26: beschäftigt, das man auch Jahre später noch fähig ist oder gezwungen ist, wenn so eine

00:03:31: Security-Vulnerability auftritt, dass ich da nochmal ein Patch ausrolle, nochmal Software

00:03:35: nachliefe.

00:03:36: Als Maschinenbauer?

00:03:37: Als Maschinenbauer.

00:03:39: Und nicht nur, wenn das dann eintritt, sondern man muss eigentlich konstant überwachen,

00:03:44: gibt es eine neue Bedrohung, man muss am Ball bleiben und das sind auf alle Fälle große

00:03:48: Herausforderungen, die so halt neu sind.

00:03:51: Und jetzt mal auch für euch gesprochen für Bosch Rexroth oder für eure Maschinenbauer,

00:03:56: haben die denn die Fähigkeiten, Personal, die das dann können?

00:04:01: Mal so, mal so, aber das ist auch die Stelle, wo dann ja wir zur Hilfe kommen, indem wir

00:04:06: mit unseren Produkten, mit dem was wir anbieten, mit unseren vor zertifizierten Produkten dann

00:04:11: eine Basis schaffen, auf die dann der Maschinenbauer aufbauen kann.

00:04:14: Das Dringliche, was jetzt halt für die Maschinenbauer gilt ist, das ist auch unsere Empfehlung ist,

00:04:20: jetzt tickt halt die Uhr, bisher war es, nice to have.

00:04:23: Warum tickt jetzt die Uhr?

00:04:24: Ja, wie du schon eben erwähnt hast, der Cyber Resilience Act steht an, da gibt es ein

00:04:28: konkretes Datum, 2027, bis dahin muss ich meine Maschine, mein Gerät, fertig haben und

00:04:34: ich muss vor allem gucken, das betrifft ja auch meine Zulieferer, bin ich jetzt Maschinenbauer,

00:04:39: verbau da irgendwelche Komponenten, dann müssen auch diese Komponenten diesen Cyber

00:04:42: Resilience Act erfüllen.

00:04:43: Also ich habe da vielleicht auch ein Zulieferproblem, weil mein Zulieferer das nicht mehr erfüllen

00:04:47: kann mit einem Produkt, das ich heute schon eindesigned habe oder auch nicht mehr erfüllen

00:04:51: will, weil es kostenmäßig nicht funktioniert.

00:04:53: Also da gilt es eine Strategie auszuarbeiten.

00:04:56: Jetzt haben wir 2025, 2027 ist ja für viele noch weit weg.

00:05:02: Und oft reagieren ja Unternehmen oder auch Menschen erst dann, wenn der Druck besonders

00:05:07: groß ist.

00:05:08: Warum muss man jetzt schon anfangen?

00:05:11: Naja, wir kennen ja alle die Lebenszyklen, die Entwicklungszeiten, die in so komplexen

00:05:15: Produkten stecken wie in der Maschine, wie in der Automatisierungstechnik und also unserer

00:05:19: Ansicht nach ist da alle höchste Eisenbahn.

00:05:21: Das heißt, wenn man jetzt erst sich Gedanken macht, wird schon knapp?

00:05:25: Je nach Komplexität der Maschine, also ich würde sagen, ist jetzt höchste Eisenbahn.

00:05:30: Jetzt ist das ja nicht vom Himmel gefallen, der Cyber Resilience Act.

00:05:33: Der wurde schon viel diskutiert.

00:05:35: Es gab Anhörungen, die Fachgremien haben darüber diskutiert.

00:05:39: Wie habt ihr euch darauf vorbereitet?

00:05:42: Ja, ehrlicherweise, also war das Thema Cyber Security für uns auch ohne den Cyber Resilience

00:05:47: Act schon ein großes Thema.

00:05:49: Wir haben die Plattform Control X Core, Control XOS neu aufgebaut.

00:05:52: Unser Ziel war es da eine Plattform zu schaffen, die die Eigenschaften eines OT-Gerätes aus

00:05:57: Automatisierungstechnik verbindet mit der Konnektivität und der Flexibilität eines IT-Geräts.

00:06:02: Ziel war es, die nahtlose IT-Integrierbarkeit sicherzustellen und deswegen stand das Thema

00:06:08: Cyber Security eigentlich von Anfang an auf unsere Anforderungsliste.

00:06:11: Security by Design?

00:06:13: Security by Design, man sagt auch oft, ist ein architektureller Treiber.

00:06:16: Was heißt das konkret?

00:06:18: Ja, das heißt letzten Endes, dass das Thema Security, wie schon erwähnt, etwas ist, was

00:06:24: wie so ein Cross-cutting Concern eigentlich durch die ganze Plattform geht.

00:06:27: Das fängt mit Awareness an, das fängt mit einer Prozessmethodik an, dass ich einen

00:06:31: sicheren Entwicklungsprozess habe, mir über die Bedrohungen, über die Risiken Gedanken

00:06:35: mache, entsprechende Abwehrmaßnahmen in das Produkt Design, dass ich auch schon beim

00:06:40: Kodieren den Quellcode so scanne, aufbaue.

00:06:44: Also es geht ganz viel um das Bewusstsein während der Entwicklung der Software, dass

00:06:49: Security eben neben anderen Qualitäten wie Robustheit, wie Performance, wie Usability ein wichtiger

00:06:57: Aspekt ist, der dann beim Design der Software, der Systeme einfach zu berücksichtigend ist.

00:07:02: Michael, lass uns mal ein bisschen über eure Produkte, eure Lösungen sprechen.

00:07:07: Jetzt haben wir schon gehört Security by Design.

00:07:11: Ich verbinde jetzt aber bei Bosch Rexroth nicht damit mehr eine Kompetenz als ein Produkt

00:07:17: oder täusche ich mich da komplett?

00:07:18: Nee, das stimmt schon.

00:07:19: Also der Cyber Resilience Act an sich ist ja kein Produkt, sondern das ist halt eine Kompetenz,

00:07:23: die ich brauche oder Sebastian hat es...

00:07:25: Und hatter ihr die schon immer?

00:07:26: Nee, genau, das ist ein wichtiger Punkt.

00:07:28: Die Kompetenz, die fällt ja.. der Sebastian hat es klassisch angedeutet, nicht vom Himmel,

00:07:31: die muss man aufbauen.

00:07:32: Also die Kompetenz, die mir die ganze Zeit hatten, die muss man entweder erweitern und ich muss

00:07:37: auch neue Kompetenzen zulernen.

00:07:38: Also es fängt an beim Produkt Design, also Security by Design haben wir gehört eben.

00:07:43: Security by default, solche Themen, ich muss was sicher entwickeln können.

00:07:46: Ich muss aber noch darüber hinausdenken.

00:07:48: Ich muss über die gesamte Lebensdauer von einem Produkt...

00:07:50: also wenn ich das jetzt fertig entwickelt habe, kann ich es dann einfach auf den Markt bringen

00:07:55: und dann ist mein Job getan, sondern ich muss eben auch schauen, habe ich

00:07:58: jetzt neue Schwachstellen drin.

00:07:59: Was muss ich beachten?

00:08:01: Ich muss denken wie ein Angreifer, wenn ich mein Produkt designe.

00:08:03: Ganz viele Dinge, die ich heute vielleicht noch gar nicht so auf dem Schirm habe, das

00:08:07: sind ganz neue Kompetenzen und die erfordern es auch, dass ich vielleicht ein bisschen im

00:08:10: Vergleich zu früher mein Wissen auch stetig erweitern muss.

00:08:13: Dass ich eben die Werkzeuge kenne, die Methoden, die auch ein Angreifer potenziell anwendet.

00:08:19: Also wie ein Angreifer denken, ist so ein Aspekt, der ganz wichtig ist.

00:08:22: Von daher ist es eine Kompetenz, die ich brauche für meine gesamte Produktpalette.

00:08:26: Betrifft es auch eure gesamte Produktpalette, der Cyber Resilience Act?

00:08:30: Ja logisch, das betrifft ja im Endeffekt...

00:08:32: Also der Cyber Resilience Act ist ja noch relativ wage gehalten, jetzt rein vom Gesetzestext.

00:08:37: Es ist im Endeffekt eine digitale Komponente und streng genommen, wenn ich einfach nur

00:08:41: den Text lese, fällt da auch ein digitaler Sensor drunter.

00:08:44: Also man muss erstmal alles bewerten, wie dann in der Praxis die Auswirkung ist...

00:08:47: das ist dann eine andere Frage.

00:08:48: Jetzt gibt es ja vielleicht Maschinenbauer, die sagen naja, oder Kunden, die Maschine,

00:08:54: die ich hier habe, die geht ja nie ins Internet.

00:08:57: Kein Problem, brauche ich die Anforderung nicht.

00:08:59: Das kann man schon sagen, aber würden wir nicht weit kommen, behaupte ich mal, weil

00:09:06: ganz konkret gefordert ist, also Internet ist eigentlich, das ist nicht das Merkmal,

00:09:10: auf das es ankommt, sondern die Vernetzung an sich, also nur weil ich ein Produkt jetzt

00:09:13: nicht direkt am Internet vielleicht habe, nur in der Maschine, kann ich mir vielfältig

00:09:17: vorstellen, wie das vernetzt miteinander ist, ob das über Funk ist, drahtlos, egal wie.

00:09:20: Oder USB?

00:09:21: Oder USB, ganz genau, also verschiedenste Schnittstellen, die Daten austauschen, letztlich ist wirklich

00:09:26: der Begriff der digitalen Komponente der entscheidend ist.

00:09:30: Lass uns mal über eure Produkte sprechen.

00:09:34: Control XOS ist das linuxbasierte Betriebssystem.

00:09:39: Control XCore ist eure Steuerungsplattform.

00:09:41: Was ist da der Mehrwert hinsichtlich Security?

00:09:44: Genau, vielleicht am Anfang mal zu differenzieren, so wie du es gesagt hast, der Control XOS

00:09:50: ist erstmal wirklich die Basis des Betriebssystems des Ganzen.

00:09:53: Control XCore ist dann konkretes Produkt.

00:09:55: OS ist linuxbasiert, das ist ja auch ein Security-Thema, oder?

00:09:59: Ja, durchaus.

00:10:00: Das ist ja Open Source Kerngedanke, das heißt die Software, die wir einsetzen, ist entsprechend,

00:10:05: ja bewährt in der Community, also fängt beim Linux Kernel an, bei den Open-Source-Komponenten, auf die wir

00:10:11: eben setzen, ist entsprechend schon von vielen Stellen durchleuchtet worden und entsprechend

00:10:16: eher schon ein gewisses Qualitätsmerkmal würde ich durchaus sagen an der Stelle.

00:10:19: Und Patches werden schnell geliefert, die Community ist schnell dabei?

00:10:23: Ganz genau.

00:10:24: Control XCore Steuerungsplattform?

00:10:27: Genau, Core ist die Steuerungsplattform, Control XOS an sich ist das Herzstück, jetzt aus Software-

00:10:32: sicht gesehen.

00:10:33: Die Core ist eben das, worauf es dann läuft, wo das Ganze zum Leben bringt, als ein Produkt, das ich in die 

00:10:38: Hand nehmen kann und in meiner Maschine verbauen kann, dass diverse Schnittstellen hat, mit

00:10:42: denen es mit anderen Geräten kommuniziert, das Herzstück an sich ist und bleibt, aber

00:10:46: das Control XOS, also das Betriebssystem, das drauf läuft.

00:10:50: Und kannst du mal ein bisschen ins Detail gehen, wie dort jetzt das Thema Security in Anführungsstrichen

00:10:56: gelebt wird auf diesen beiden?

00:10:58: Genau, bei OS, da sind schon ein paar Schlagwörter gefallen, Sebastian hat es schon ein bisschen

00:11:02: angedeutet, war es von Anfang an ein Thema bei der Produktentwicklung, Security by Design,

00:11:06: ist ein ganz wichtiges Merkmal, aber auch das Ganze drum herum, das mit zum Produkt gehört.

00:11:11: Also natürlich ist das Betriebssystem selbst sicher, inherent sicher, von der Plattform

00:11:16: her, das bringt aber auch alles andere mit, was ich auch für einen jetzt ein Cyber Resilience Act

00:11:19: zum Beispiel brauche.

00:11:21: Also Möglichkeit Patches sicher auszurollen, ich kann nur Software dort betreiben, der ich

00:11:25: vertraue.

00:11:26: Ich habe die Möglichkeit ganz schnell zu reagieren im Fall von einem Vorfall, ich habe

00:11:30: einen robustes, modulare System, wenn ich jetzt meine Patches einspiele, gerade in der Maschine

00:11:35: ist das ein großes Thema, muss ich nicht Angst haben, dass was stehen bleibt, solche Dinge.

00:11:39: Patches werden dann digital übermittelt oder muss da noch jemand hin vom USB-Stick?

00:11:44: Wie ist der Idealfall?

00:11:45: Also im Idealfall natürlich haben wir einen Flottenmanagement, als Softwarelösung auch,

00:11:51: in das ich mich andocken kann, das heißt ich kann auch wirklich ein Massenrollout von

00:11:55: meiner Software machen.

00:11:56: Das ist auch gefährlich, wissen wir ja.

00:11:58: Deswegen haben die ja grundlegend die Geräte selbst eine sichere Verbindung dorthin, in

00:12:03: beide Richtungen abgesichert, also Mutual TLS, wenn Technikaffine Zuhörer jetzt aufgepasst

00:12:08: haben, wo ich sicherstelle, dass beide Seiten sich kennen und vertrauen und erst dann kann

00:12:12: ich es übermitteln.

00:12:13: Ich kann natürlich auch nicht einfach so Patches ausrollen, kann ganz fein Granular entscheiden,

00:12:17: ob das jetzt noch einer Interaktion bedarf vor Ort oder eben nicht.

00:12:20: Ich kann das in einem Wattungsfenster machen,

00:12:22: das für mich passt. Also diese ganzen Aspekte sind natürlich berücksichtigt. Das wäre so der,

00:12:25: sag mal, der einfachste oder der simpelste Anwendungsfall, wenn ich mich um nichts selber

00:12:29: kümmern muss. Aber natürlich habe ich nicht immer die Situation, dass ich an das System

00:12:33: angebunden bin. Dann habe ich jederzeit die Möglichkeit, über die offenen Schnittstellen eben,

00:12:38: das in mein eigenes Update Management System anzubinden, mit einer kleinen Logik zu programmieren.

00:12:43: Ich kann es tatsächlich auch ganz klassisch beziehen, wo es mir zur Verfügung gestellt wird,

00:12:48: digital und dann aufbringen. Wenn ich jetzt unbedingt Lust drauf habe,

00:12:51: könnte ich wahrscheinlich sogar den USB-Stick nehmen, wäre jetzt nicht mein Favorit logischerweise.

00:12:54: Aber es ist sehr, sehr vielfältig. Überleg mal, jetzt sprechen wir nur über eure Komponente. Und

00:13:01: in dieser Maschine von den Maschinenbauern sind noch zig andere Komponenten verbaut. Wie kriegt

00:13:06: der das in Zukunft gewuppt? Er kriegt dann ein Update, ein Patch von euch, dann kriegt er ein Patch

00:13:12: vom XY, dann kriegt er ein Patch von AB. Braucht es da nicht ein Layer, der diese Patches managed?

00:13:20: Das stell ich mir total kompliziert vor. Ja gut, letztlich ist es ja auch ein Stück weit

00:13:25: Komplexität, die reinkommt. Das lässt sich gar nicht vermeiden. Das heißt, auch hier wieder,

00:13:29: es wurde angesprochen, es erfordert eben auch den Kompetenzaufbau. Also, ich glaube, Sebastian

00:13:34: hat es erwähnt natürlich, wir können da auch unterstützen, beispielsweise unser Service bietet 

00:13:38: Consulting in genau solche Richtungen an. Aber die Komplexität, ja, die ist da, darf man sich auch

00:13:43: nicht schönreden oder vor verstecken. Das wird definitiv höhere Anforderungen haben in Zukunft.

00:13:48: Und genau deswegen bringen wir die Werkzeuge schon mit. Unser anliegen, ist halt auch die Sachen dann

00:13:53: doch wieder einfach zu machen. Ich meine, es gibt ja andere Felder, wo das schon funktioniert,

00:13:57: bei deinem Handy zum Beispiel. Der Ansatz, den wir mit Control-XOS fahren, App basiert,

00:14:02: ist ja auch ein Ansatz, der das dann widerspiegelt und die Themen vereinfacht. Ein App Update oder

00:14:07: ein Software Update ist bei uns so einfach wie ein App Update auf deinem Handy. Und das soll die

00:14:13: Dinge dann entsprechend auch für die Anwender und für die Kunden dann halt vereinfachen. Lass uns

00:14:17: über Hürden bei euren Kunden sprechen. Was sind die größten Hürden? Wo siehst du die? Ja, was

00:14:22: natürlich neu ist für viele unserer Kunden ist, dass sie jetzt hier ein Thema haben, was sich irgendwie

00:14:27: über den ganzen Lebenszyklus zum Beispiel einer Maschine bezieht. Das ist jetzt nicht nur ein Thema,

00:14:31: was irgendwie während des Designs der Maschine relevant ist, sondern auch wenn die Maschine dann

00:14:36: ausgeliefert ist, im Feld ist, dann steht da im Prinzip immer noch eine Herausforderung an. Da kann

00:14:41: immer noch eine Schwachstelle auftreten, immer noch eine Security-Lücke. Auch Jahre später kann es

00:14:46: notwendig sein, nochmal Software nachzuliefern, ein Patch auszurollen. Konstant muss eigentlich nach

00:14:51: solchen Schwachstellen gesucht werden. Das treibt natürlich Kostenaufwände in die Höhe. Und ich

00:14:57: brauche Personal dafür? Absolut, absolut. Und Kompetenz, brauchst Wissen um das auch zu tun. Verständnis

00:15:04: über Technologie, das ist ein ganz neues Feld für viele. Macht das der Service dann in Zukunft

00:15:08: mit beim Maschinenbauer? Wer macht das bei so einem Maschinenbauer? Das ist auch ein Servicegeschäft.

00:15:14: Ich denke, die Maschinenbauer sind aber auch darauf angewiesen, dass sie die notwendige

00:15:18: Unterstützung von den Zulieferern dazu bekommen. Die entwickeln ja auch nicht alles selber. Die

00:15:22: verbauen ja Komponenten beispielsweise von uns und das ist auch ein Punkt, wo wir helfen. Auch wir

00:15:28: scannen unsere Software über den Lebenszyklus, stellen Patches bereit, informieren unsere Kunden

00:15:36: über Risiken, über Bedrohungen. Helfen ihnen also dabei diese Komplexität zu managen. Ja, wo ich vielleicht

00:15:44: noch... was wichtig ist rauszustellen, wenn wir von Kunden sprechen. Es gibt ja verschiedene

00:15:48: Arten von Kunden. Sebastian hat es... zum Beispiel Maschinenbauer rausgestellt. Es fängt aber

00:15:53: auch schon an bei jemandem, der jetzt zum Beispiel Control XOS Betriebssystem braucht. Also wenn

00:15:57: ich ein Gerätehersteller bin, habe ich ja dieselben Herausforderungen letztlich. Ich muss das

00:16:01: bereitstellen und so weiter. Das heißt, die Herausforderungen sind sehr ähnlich. Die Lösungsansätze

00:16:05: sind dann durchaus unterschiedlich. Jetzt sprechen wir von Cyber Security und Cyber Resilience Act.

00:16:10: Und der Cyber Resilience Act bildet ja sozusagen eine regulatorische Basis für das Ganze. Das ist

00:16:17: sozusagen das, was man erfüllen muss. Kann man auch noch weitergehen? Gehen eure Kunden weiter?

00:16:23: Wollen die noch mehr tun? Oder wie ist da die Stimmung? Natürlich ist es jetzt erst mal das

00:16:29: Mindeste, was man erfüllen muss. Und auch unser Anspruch ist eigentlich über den CRA hinaus Cyber

00:16:34: Security Lösungen anzubieten, Features anzubieten, auch um uns oder um... damit der Kunde sich da drüber

00:16:41: differenzieren kann. Und natürlich bieten wir auch jetzt über die Anforderungen der Cyber Resilience

00:16:46: Act hinaus zusätzliche Features, Apps, Funktionalitäten an, um da eigentlich noch für die notwendige

00:16:53: Sicherheit zu sorgen. Michael, da haben wir eine Reihe von Produkten. Absolut. Also das ist eigentlich

00:16:58: schon ganz gut eingeleitet, sage ich mal. Also Cyber Resilience Act ist eine Notwendigkeit. Das muss

00:17:03: ich tun. Aber der Anspruch muss ein anderer sein letztlich. Und mal das Beispiel rauszugreifen. Wir

00:17:09: haben von Anfang an den Fokus eben drauf gelegt, haben uns an der IEC 62443 orientiert, wo schon sehr

00:17:14: starke Voraussetzungen hat. Haben das entsprechend auch zertifizieren lassen, ControlXOS, um das

00:17:20: eben auch nachzuweisen. Wer macht sowas? TÜV? Ja, ganz klassisch, TÜV. Und genau das heißt, wir machen da bewusst auch

00:17:27: schon mehr. Klar, der CRA hat jetzt gewisse Anforderungen mal rausgelegt, aber das geht weit

00:17:31: drüber hinaus. Also ich brauche, um ein CRA zu füllen, zum Beispiel Werkzeuge wie wir es auch anbieten,

00:17:36: jetzt einfach formell auf dem Papier nicht. Und wenn man jetzt mal ein Beispiel rausgreift, ich möchte

00:17:40: meine Maschine inventarisieren. Ich möchte den Security Status meiner Maschine ermitteln. Da

00:17:45: haben ja ein Security Scanner beispielsweise, der das macht. Das brauche ich jetzt um ein CRA zu

00:17:49: erfüllen nicht. Aber das ist super wichtig für mich als Maschinenbauer, um zum Beispiel aufzudecken,

00:17:54: wo habe ich vielleicht noch Themen in der Maschine, wo habe ich Lücken, wo muss ich was beachten,

00:17:57: solche Punkte eben. Jetzt ist ja CRA die Basis für neue Produkte oder die entstehen oder Produkte,

00:18:05: die verkauft werden wollen. Aber CRA zu können ist ja eine Kompetenz oder irre ich mich. Also CRA

00:18:13: konform zu produzieren und was in den Markt zu bringen, oder? Ja klar, das ist eine Kompetenz. Die

00:18:18: muss ich ganz oft aufbauen an einigen Stellen erstmal, weil so das klassische, die klassische

00:18:24: Produktentwicklung, die war halt anders getrieben, sag ich mal, also wie Produkte entstanden sind.

00:18:29: Ich habe eine Funktion entwickelt und habe mich darauf fokussiert. Aber heute muss ich eigentlich

00:18:34: als Entwickler, klar ich muss Secure Coding beachten, solche Dinge. Aber ich muss eigentlich,

00:18:39: einerseits wie ein Angreifer auch denken können, also ich muss auch überlegen, wie könnte man das

00:18:43: jetzt falsch, bewusst falsch anwenden, muss berücksichtigen im Produktdesign, Secure by Design.

00:18:48: Ich muss die Werkzeuge vielleicht kennen, die ein Angreifer benutzt. Ich muss mich konstant,

00:18:52: konsequent weiterbilden, noch viel stärker als zuvor schon. Also ich muss ganz viel aufbauen,

00:18:57: drumherum neben der eigentlichen Produktentwicklung in meinem Unternehmen. Und ihr bedient ja am Ende,

00:19:03: was du auch schon mal angesprochen hast. Zwei Welten, einmal die App Entwickler und einmal die

00:19:06: Maschinenbauer. Und die App Entwickler können darauf bauen, dass sie in einer sicheren Umgebung

00:19:12: entwickeln. Und die Maschinenbauer können darauf vertrauen, dass die Apps dann aus einer sicheren

00:19:16: Quelle kommen. Oder täusche ich mich? Ja, du kannst es eigentlich sogar erweitern, also wie

00:19:21: in drei Welten letztlich. Also wir bedienen den Gerätehersteller, der zum Beispiel eine

00:19:26: Industriesteuerung rausbringen möchte, der basiert dann oder baut auf ControlXOS eben als sichere Basis.

00:19:31: Maschinenbauer, der es verbaut und auch App Entwickler ist ein wichtiger Punkt. App Entwickler

00:19:36: hat auch, also ein Stück Software ist auch eine digitale Komponente nach dem Wortlaut des

00:19:40: Cyber Resilience Act und muss gewisse Kriterien erfüllen. Und jetzt stehe ich natürlich vor der

00:19:45: Wahl, wenn ich jetzt für eine Plattform was entwicke, also wie bei einem Smartphone, dann nimmt mir die

00:19:49: Plattform ja auch einige Dinge schon ab. Also ich muss mich da nicht um eine Transportverschlüssung

00:19:53: kümmern vielleicht, um Nutzermanagement oder ähnliches und genauso verhält sich es beim ControlXOS 

00:19:58: auch. Entweder mache ich das selber, kann ich mit beliebig großem Aufwand tun oder ich gehe

00:20:03: halt auf eine Plattform, die mir schon viel Integrationspunkte bereitstellt und muss da wenig

00:20:07: Aufwand reinstecken. Also das wird einfacher für mich, Software da rauszubringen und vor allen Dingen

00:20:12: auch dann konform zu sein nach dem Cyber Resilience Act. Und ich würde sogar noch eine vierte Person hinzufügen,

00:20:17: das ist der Betreiber. Auf den kommt ja auch die NIS 2 Richtlinie beispielsweise zu. NIS 2 gib

00:20:23: mir ganz kurz zwei, drei Sätze. Das ist eine Verordnung, die ebenfalls von der EU kommt, die für den

00:20:28: Betreiber einer Maschine im Prinzip gilt. Also für den Endkunden, der die Maschine dann einsetzt,

00:20:32: der da sein Fertigungsumfeld sicher machen muss. Hat auch noch Zeit, nicht wirklich, oder?

00:20:36: 2027 meines Wissens. Ja, ähnliche Dimensionen, also ja. Das ist im Endeffekt der CRA, das hängt alles

00:20:44: mit zusammen. Also NIS 2 adressiert jetzt ein bisschen den Betreiber, der will CRA-sichere Komponenten,

00:20:48: oder ähnliches, aber das ist genau der Punkt. Also er braucht es auch, was der CRA letztlich fordert,

00:20:52: braucht auch ein Betreiber dann für den NIS 2 eben. Und welche Rolle spielt dann die Maschinenrichtlinie?

00:20:57: Weil da steht es ja auch nochmal explizit jetzt drin, das ganze Thema Cyber-Security. Da gibt es

00:21:02: eine Überlappung, die Maschinenrichtlinie geht natürlich über das Thema Cyber-Security hinaus,

00:21:06: aber wird dann auf den anderen Themen sicherlich mit aufbauen, gerade im Bereich Cyber-Security dann.

00:21:12: Okay, magst du mir am Ende, Michael, nochmal, du hast ja schon mal den Scanner angesprochen,

00:21:17: gibt es noch zwei, drei Apps, wo du sagst, die gehen über Cyber Resilience Act hinaus und die

00:21:22: sind wirklich smart, die sollte man sich auf jeden Fall anschauen. Gut generell haben wir natürlich

00:21:27: so den klassischen Werkzeugkasten nenn ich es mal, also eine Firewall, aber mit einer sehr

00:21:32: umfangreichen Funktionalität, wo ich eben beliebige Use Cases realisieren kann. Also natürlich kann ich

00:21:37: die Maschine absichern, das ist der klassische Use Case, Datenströme lenken, solche Dinge. Also das

00:21:42: kann mich dabei unterstützen, die Maschine eben abzusichern, eine sichere Fernwartung,

00:21:46: über den VPN-Client. Und was es aber eigentlich spannend macht, finde ich, sind so, klar, das sind

00:21:51: so Grundlagen-Apps, die ich brauche, aber der Gedanke von der Control-X-World in dem Fall ist

00:21:56: ja eben, dass wir auch Partner mit ins Boot holen und da gibt es ganz interessante Apps,

00:21:59: sei es in Richtung Intrusion Detection oder auch sicheres Datastreaming. Also da habe ich

00:22:04: eine große Vielfalt, aus der ich dann nachher wählen kann. Lass uns nochmal losgelöst jetzt vom

00:22:09: CRA über Cyber Security für Bestandssysteme sprechen, weil da ist ja auch noch einiges zu tun

00:22:14: im Bestandssystem. Gibt es auch Lösungen für Maschinenbauer Bestandssysteme jetzt sozusagen

00:22:20: sicher zu machen? Ja, definitiv. Also so wie du sagst, bei Bestandssystemen habe ich ja ganz

00:22:26: oft Legacy-Komponenten oder ähnliches drin. Und ich muss mir halt die Frage stellen, wie sichere ich

00:22:31: das jetzt nach außen ab. Also was in meiner Maschine passiert, ist eine Sache, aber ich möchte

00:22:35: ja die Maschine eben nach außen sicher abschotten. Und da bietet es sich eben an, eine Control-X-Core

00:22:41: beispielsweise zu nehmen, mit der passenden Software drauf, sei es Firewall, sei es ein VPN

00:22:45: als sicherer Zugangspunkt für eine Fernwartung oder ähnliches, ein Security-Scanner, um dann mein

00:22:50: Netzwerk zu überwachen, zu inventarisieren, das eben zu nehmen und intelligent dort zu integrieren,

00:22:56: um eben die Maschine als Ganzes nach außen abzusichern. Jeder von euch darf jetzt nochmal zwei große

00:23:03: Irrtümer und Denkfehler mir mitgeben, wenn es um ein Cyber Resilience-Act geht. Wir haben..

00:23:07: eins klammer ich schon mal aus, wir haben noch genug Zeit, ist wahrscheinlich der größte

00:23:11: Denkfehler bei vielen. Ihr habt noch zwei, jeder darf noch einen Denkfehler den Leuten mitgeben

00:23:16: zum Cyber Resilience-Act. Also den einen hast du von meiner Bingo-Karte ja schon mal abgedeckt,

00:23:20: dass wir noch genug Zeit haben. Auch so beliebte Fehleinschätzung ist zu denken,

00:23:25: dass mich der Cyber Resilience-Act nicht betrifft, weil ich habe jetzt nur einen kleinen Sensor

00:23:28: irgendwo in der Maschine. Das ist so auch nicht korrekt. Auch hier nochmal der Wortlaut eben,

00:23:33: digitale Komponente. Natürlich in der Auswirkung nachher ist es schon ein Stück weit anders,

00:23:38: was ich tun muss. Aber zu sagen, das betrifft mich nicht, ich schiebe das weg, das ist definitiv

00:23:42: ein Irrglaube und ich glaube, den haben aber noch viele tatsächlich an der Stelle. Sebastian?

00:23:46: Security muss ganzheitlich bedacht werden. Security ist nicht irgendwie eine Stelle, eine Komponente,

00:23:53: die ich mache, dann ist mein System sicher, so wie irgendwie ein dickes Schloss an der Haustür,

00:23:57: sichert mein Haus ab, sondern Security ist etwas, was ganzheitlich über den Lebenszyklus in allen

00:24:02: Produkten einfach Einzug finden muss. Und schaffen das eure Kunden? Wie ist da deine

00:24:08: Erfahrung? Machen die sich jetzt auf den Weg? Die machen sich auf den Weg, die beschäftigen sich

00:24:12: jetzt damit nicht nur, weil der Cyber Resilience-Act vor der Tür steht, sondern auch, weil das

00:24:17: Bewusstsein da ist und weil es letzten Endes dann auch in der Verfügbarkeit, in der Kommunikation

00:24:22: ja auch dann Mehrwerte bietet. Kann auch ein Wettbewerbsvorteil sein? Auf alle Fälle.

00:24:26: Sehr schön. Vielen herzlichen Dank für einen Einblick zum Thema Cyber Security. Sehr gerne.

00:24:32: [Musik]

00:24:41: [Musik]