Andreas Harner, Leiter der Abteilungen CERT@VDE und DKE Cybersecurity
| VDEDie Kritische Infrastruktur muss angesichts neuer Bedrohungslagen gegenüber Cyberangriffen resilienter werden. Welche Rolle spielt das CERT@VDE dabei?
Der Schwerpunkt beim CERT@VDE liegt auf der Unterstützung der Industriepartner beim sogenannten Advisory Handling, also dem Schwachstellen-Management in den Produkten der Unternehmen. Das Thema ist von zentraler Bedeutung in der Cybersecurity und steht schon lange im Zentrum unserer Aktivitäten, nun wird es mit dem Cyber Resilience Act (CRA) der EU aber noch enorm an Bedeutung gewinnen. Denn diese EU-Regulierung verpflichtet künftig alle Hersteller von Produkten mit digitalen Elementen, über bekannte Schwachstellen ihrer Produkte zu informieren. Das betrifft fast alle Branchen in ganz Europa. Neu ist dabei, dass Cybersicherheitsanforderungen künftig Teil des CE-Kennzeichens werden. Das heißt, wer in Europa Produkte verkaufen oder in den Markt bringen will, muss diese CRA-Anforderungen verbindlich erfüllen. Weiterhin unterstützen wir die Industrie durch die Projektierung sogenannter „Harmonisierter Europäischer Normen“ bei der Konformitätserklärung zum CRA.
Und dieses CE-Kennzeichen spielt auch für Betreiber Kritischer Infrastrukturen eine Rolle?
Absolut. Kritische Infrastrukturen unterliegen der sogenannten NIS-Richtlinie. Diese richtet sich an Betreiber solcher Systeme – also etwa in der Energieversorgung oder im Verkehrssektor – und inzwischen, mit der NIS-2-Richtlinie, auch an viele zusätzliche Unternehmen wie beispielsweise in der industriellen Fertigung. Damit diese Betreiber ihre Pflichten erfüllen können, brauchen sie Produkte, die die Sicherheitsanforderungen der Richtlinie unterstützen. Hier greift das CE-Kennzeichen: Es stellt sicher, dass Produkte bestimmte Anforderungen an die Cybersicherheit erfüllen. Für Betreiber Kritischer Infrastrukturen ist das entscheidend, weil sie sich darauf verlassen müssen, dass ihre Systeme sicher sind. Wenn später eine Schwachstelle bekannt wird, muss der Hersteller informieren – das wird künftig verpflichtend. Damit schafft der CRA eine klare Verbindung zwischen Herstellern und Betreibern und ergänzt die NIS-Richtlinie über die gesamte digitale Lieferkette hinweg auf sinnvolle Weise.
Welche Rolle übernehmen VDE und DKE bei der Umsetzung dieser neuen Vorgaben?
Ein wichtiger Punkt ist, dass der CRA nicht alles gesetzlich bis ins Detail regeln will. Er verweist auf das sogenannte New Legislative Framework, das nur den Rahmen vorgibt. Die konkrete technische Ausgestaltung – also wie genau die Anforderungen umgesetzt werden – wird an die europäischen Normungsorganisationen delegiert. Hier kommt die DKE ins Spiel: Sie trägt die Verantwortung dafür, dass die passenden Normen entstehen, die den Gesetzestext auf europäischer Ebene konkretisieren. Das ist eine enorme Herausforderung – nicht nur für die deutsche und europäische Industrie, sondern weltweit. Denn wer künftig Produkte nach Europa importieren will, muss diese Anforderungen erfüllen. Insofern leisten VDE und DKE einen wesentlichen Beitrag, um die Vorgaben der EU in der Praxis umsetzbar zu machen und gleichzeitig internationale Anschlussfähigkeit sicherzustellen.
Das klingt nach großem Aufwand für die Industrie. Wie reagieren die Unternehmen darauf?
Für die Industrie bedeutet das zunächst natürlich Aufwand. Aber er ist notwendig. Wir stehen international mit unseren Produkten und Unternehmen immer stärker im Visier der Angreifer und müssen uns schützen, und zwar entlang der kompletten Lieferkette. Das ist letzten Endes wie Autofahren: Man hat als Fahrer auch Verantwortung für andere Verkehrsteilnehmer. Genauso muss jeder in der Lieferkette an die anderen in der Lieferkette denken. Durch die Regulierung im CRA wird damit auch Gerechtigkeit geschaffen, da nun jeder diese Anforderungen erfüllen muss und Security damit keine Option mehr ist. Das ist wichtig, denn Cybersicherheit ist eine Grundvoraussetzung, um langfristig global wettbewerbsfähig zu bleiben.
Viele Unternehmen nehmen die Bedrohungslage dennoch nicht wirklich ernst. Warum ist das so?
Weil sie für viele zu abstrakt ist. Wenn man einem Geschäftsführer sagt, dass die Gefahr wächst, antwortet er oft: „Ich merke nichts davon.“ Dabei kann es längst sein, dass im Hintergrund Daten abgeflossen sind – Konstruktionspläne, Patente oder Produktideen. Das fällt oft erst auf, wenn auf der nächsten Messe plötzlich ein fast identisches Produkt eines anderen Herstellers auftaucht. Diese Art von Angriff bleibt meist unsichtbar, weil die Angreifer das gestohlene Wissen stillschweigend nutzen. Das macht das Thema so schwierig. Viele nehmen die Gefahr nicht wahr, weil sie sie nicht direkt spüren. Nur wenige Unternehmen können wirklich fundierte Risikoanalysen durchführen, die klar zeigen, welche Gefahren bestehen und welche Folgen sie haben könnten. Über Bedrohungen alleine zu sprechen, reicht deshalb nicht – entscheidend ist, das Risiko konkret zu bewerten und daraus Maßnahmen abzuleiten.
Wie unterstützt der VDE mit VDE@CERT die Industrie dabei ganz praktisch?
Schwachstellen gibt es in jedem Softwareprodukt – das ist bei der heutigen Komplexität unvermeidlich. Viele Hersteller nutzen Hunderte oder Tausende Softwarekomponenten, von denen sie viele zukaufen. Die Aufgabe ist, möglichst früh zu erkennen, ob irgendwo eine schwachstellenbehaftete Komponente steckt. Genau hier setzt der VDE mit VDE@CERT an. Wir bieten u.a. eine Lösung, die Schwachstellen sammelt und den Industriepartnern zur Verfügung stellt. Wird dabei eine Schwachstelle entdeckt oder auch von Forschern, Betreibern oder anderen Experten gemeldet, startet der sogenannte „Koordinierte Veröffentlichungsprozess“ zwischen CERT@VDE und seinen Partnern. Die sich anschließende Analyse zeigt, welche Versionen betroffen sind, wie kritisch das Problem ist und welche Maßnahmen durchzuführen sind. Das kann ein Software-Update sein, aber auch eine Übergangslösung, etwa das Isolieren des betroffenen Systems, bis ein Patch verfügbar ist. Entscheidend ist, dass die Informationen klar, strukturiert und verständlich weitergegeben werden. VDE@CERT sorgt dafür, dass sogenannte Advisories entstehen, die den Betreibern genau erklären, was sie tun müssen. So können Hersteller ihre Kunden weltweit gezielt informieren und Sicherheitslücken schließen, bevor sie ausgenutzt werden.
Wer sind die Unternehmen, die auf VDE@CERT zurückgreifen?
Aktuell sind rund 60 Unternehmen dabei. Viele davon sind große, international tätige Hersteller mit Milliardenumsätzen. Zusammen kommen sie auf über 80 Milliarden Euro Jahresumsatz. Diese Unternehmen liefern in alle Bereiche, auch in Kritische Infrastrukturen – in die Wasser- und Energieversorgung, in Chemieparks oder auf Ölplattformen. Und auf einer solchen Plattform finden Sie eben zum Beispiel Sensoren von Pepperl+Fuchs, Steuerungen von Phoenix Contact oder Displays von Beckhoff Automation. Diese Vielfalt an Komponenten macht die Cybersicherheit extrem anspruchsvoll. Während in der klassischen IT meist standardisierte Geräte genutzt werden, ist in der sogenannten Operational Technology (OT), also dort, wo physikalische Prozesse gesteuert werden, jedes System individuell aufgebaut.
Und der VDE konzentriert sich auf die Sicherheit in dieser OT?
Genau. Wir beschäftigen uns ausschließlich mit der Sicherheit in den OTs, also überall dort, wo physikalische Prozesse gesteuert oder überwacht werden – ob in Energienetzen, Fertigungsanlagen, Chemieparks oder Wasserwerken. Natürlich existieren dort auch klassische IT-Komponenten, aber entscheidend sind die Systeme, die Maschinen und Anlagen in Echtzeit steuern.
Und diese Schnittstelle zwischen IT und OT ist das, was man heute unter Cybersecurity versteht?
Richtig, und das wird gerne vergessen. Aber der Cyberraum umfasst längst mehr als Rechenzentren oder Bürocomputer. Er schließt vernetzte Krankenhäuser, Produktionsanlagen, Energie- und Wassernetze ein – überall dort, wo IT und OT ineinandergreifen. Genau deshalb spricht man heute von Cybersecurity und nicht mehr nur von IT-Sicherheit.
Wenn Sie einen zentralen Gedanken nennen müssten – was sollte aus Ihrer Sicht in der öffentlichen Debatte stärker verstanden werden?
Dass jeder Teil einer Lieferkette ist – und damit auch Teil der Verantwortung für Cybersicherheit. Lange Zeit haben viele geglaubt, sie könnten die Verantwortung einfach weitergeben, nach dem Motto: „Ich integriere ja nur etwas, der Nächste soll sich kümmern.“ Dieses Denken funktioniert künftig nicht mehr. Die neue Regulierung macht klar: Jeder muss seinen Beitrag leisten. Bisher blieb die Aufgabe oft beim Betreiber hängen, der dann versuchte, eine Vielzahl unsicherer Produkte irgendwie abzusichern. Wenn künftig alle Beteiligten Verantwortung übernehmen, wird vieles einfacher. Es löst nicht alle Probleme, aber es schafft eine gemeinsame Basis – zum Beispiel, dass verschlüsselte Kommunikation heute selbstverständlich sein muss.
Und was bedeutet das konkret für die Unternehmen?
Unternehmen müssen Kompetenz aufbauen. Zu viel Sicherheit kann ein Produkt unnötig teuer machen, zu wenig kann im Ernstfall noch teurer werden. Es geht darum, das Risiko realistisch einzuschätzen: Wie kritisch ist mein Produkt, wo wird es eingesetzt, und wie viel Sicherheit ist wirklich erforderlich? Ein Temperatursensor, der in einem Kernkraftwerk Brennstäbe überwacht, braucht ein anderes Sicherheitsniveau als derselbe Sensor in einer Wetterstation aus dem Elektronikmarkt. Man muss also das richtige Maß finden – auf Basis von Wissen, Risikoabschätzung und technischem Verständnis. Nur so lässt sich Sicherheit effektiv und wirtschaftlich zugleich gestalten.
