Das Interview führt Philipp Pelkmann, CTO von CyberCompare mit Arne Smolarz, Head of Manufacturing IT bei Bosch Powertools. Wir befragen ihn zur internen Cyber-Absicherung bei Bosch.
Lieber Arne, was ist denn Deine Rolle in der Digitalisierung der Fertigung bei Power Tools?
Ich bin verantwortlich für die Fertigungs-IT an unseren Produktionsstandorten. Das umfasst neben Innovationsthemen wie I4.0 und IoT auch die klassische Infrastruktur und damit vor allem die IT-Sicherheit.
Was sind für Dich die aktuellen Herausforderungen bei der Umsetzung der Digitalisierungsstrategie?
Erstens: Awareness & Committment. Wie schaffe ich es – vom Top-Management bis runter zum Bandmitarbeiter – die Leute für die Chancen der Digitalisierung zu begeistern und für die Risiken zu sensibilisieren. IT wird immer noch zu oft als reiner Kostenfaktor oder Zusatzaufwand gesehen.
Zweitens: Enablement. Wenn das Interesse geweckt ist, müssen die Leute die Tools, die wir ihnen geben, beherrschen und in der Lage sein, mit ihnen Mehrwert zu erschaffen. Viel zu oft werden Dinge implementiert, aber dann nicht das volle Potenzial ausgeschöpft. Ein Rollout hört nach der Implementierung nicht auf, sondern fängt erst an!
Drittens: Prozess. Der klassische Fehler ist, Tools einzuführen, bevor man sich klar ist, welche Geschäftsprozesse dahinter liegen. Wenn ich das nicht im Vorfeld klar habe, dann werde ich nie über Piloten hinauskommen. Im Fertigungsumfeld gibt es leider nur wenige Standards, so dass wir im Rahmen von IT-Projekten ganz oft erst einmal Prozesse etablieren müssen, bevor wir überhaupt über Digitalisierung reden.
Wie baut Ihr den Aspekt der Cybersecurity in Eure Strategie mit ein?
Die 3 Pfeiler unserer Digitalisierungsstrategie sind „Connected Manufacturing“, „Connected Tools“ und „IT Infrastructure & Security“. Damit ist es ein klares Kernelement unserer Strategie.
Dieses bezieht sich auch nicht mehr rein auf das Fertigungsumfeld (den Shopfloor) sondern wird von uns erweitert auf den gesamten Techniksektor in unseren Werken. Daher vollziehen wir gerade bewusst den Wandel von einer „Manufacturing IT“-Sicht hin zur „Industrial IT“, die im gesamten Werk die gleichen, hohen Standards gewährleistet.
Im Rahmen der Aktivitäten ist der Bereich Cybersecurity auch der, in dem wir gerade die meisten Ressourcen aufbauen.
Auf welche Bereiche der Cybersecurity setzt Ihr gezielt Fokus? Auf welche Angriffsarten im industriellen Umfeld bereitet Ihr Euch besonders vor?
Es gibt eine Vielzahl von Themen, die wir auf dem Schirm haben. Neben dem „Aufrüsten“ der Infrastruktur durch IDS Systeme, Firewalls etc., versuchen wir vor allem die Bereiche, die in der Vergangenheit eher vernachlässigt wurden, mit einem „Grundschutz“ zu versehen. Im Sinne des „schwächsten Gliedes“ in der Kette muss es uns gelingen, das „1 Mal 1“ der IT-Sicherheit in 100% der Infrastruktur zu verankern. Was nützt mir das Sicherheitsschloss in der Sicherheitstür, wenn das Fenster offen steht. Das Kernelement zum Erfolg ist hier eine saubere Risikoanalyse all unserer Standorte.
Was die Angriffsarten angeht, so ist es aktuell sicherlich das Thema „Ransomware“, was uns umtreibt. Ich bin mir aber sicher, mit steigender Transparenz und besseren Abwehrsystemen werden wir erst sehen, welche „passiven“ Angriffe schon in der Vergangenheit verübt wurden und wo es ggf. schon heute Backdoors in unseren Systemen gibt. Dann wird das Thema „IP Theft“ sicherlich nochmal eine ganz andere Dimension bekommen.
Kannst Du hier ‚good practices‘ und Vorgehen teilen, die sich in der Praxis bewährt haben?
1. Immer das ganze System betrachten
2. Risikobasierter Ansatz. Bedeutet: nicht alles auf einmal – Fokus auf das Wesentliche.
3. Fokus auf den Grundschutz legen. Es gibt einige grundlegende Maßnahmen, die ich sofort und überall einsetzen kann, um mich bereits vor vielen Risiken schützen zu können.
Wie ist Dein Ausblick auf das Thema industrielle Cybersecurity?
Ich habe neulich ein schönes, wenn auch provokantes Zitat gelesen: “If you spend more on coffee than on IT security, you will be hacked. What’s more, you deserve to be hacked”.
Wir müssen einfach begreifen, dass CyberSecurity, I4.0 und IoT zwei Seiten der gleichen Medaille sind. Zu digitalisieren, ohne sich über Sicherheit Gedanken zu machen ist nicht nur fahrlässig, es ist leichtsinnig. Man muss nur mal in die Zeitung schauen, dann wird man sehen: das Thema Cybersecurity wird im Bereich der Industrie nicht mehr wegzudenken sein.
Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.
