Herausforderungen bei der Absicherung globaler Produktionsstätten

Dr. Thorsten Widmer

Dr. Thorsten Widmer ist für die Digitalisierung der Bosch-Werke weltweit verantwortlich. Er sprach mit Simeon Mussler, COO Bosch CyberCompare, über die Schwachstellen und Herausforderungen beim Schutz von über 250 Bosch-Werken und einer Vielzahl von Entwicklungsstandorten.

Eine große Herausforderung besteht darin, sicherzustellen, dass Schutzmaßnahmen in großem Maßstab ergriffen werden können und dennoch segmentiert sind. Auf diese Weise kann ein einheitlicher, standardisierter Ansatz auf alle Werke und Standorte weltweit angewandt werden, aber im Falle eines Angriffs ist nur der betreffende Standort betroffen.

Es ist von entscheidender Bedeutung, die OT-Sicherheit immer aus einer umfassenden, risikobasierten Perspektive zu betrachten. In vielen Fällen können unkomplizierte, kostengünstige Maßnahmen wie einfache Segmentierung, Mitarbeiterschulungen und Virenscanner dazu beitragen, die meisten Angriffe abzuwehren. Neben den technologischen Lösungen spielt auch die Organisation vor Ort eine wichtige Rolle. So stellt Bosch beispielsweise für jedes seiner Werke einen OT-Sicherheitsspezialisten ein.

KMU sollten sich auf die Zusammenarbeit mit einschlägigen Initiativen, Normungsgremien, Ausschüssen und Plattformen konzentrieren. Sie können von einer engen Zusammenarbeit mit allen Beteiligten im OT-Umfeld und vom Austausch von Informationen und Ideen mit ihren eigenen Partnernetzwerken stark profitieren.

Nachfolgend finden Sie das offizielle Interview auf Deutsch 🇩🇪:

Experteninterview mit Dr. Thorsten Widmer von der Robert Bosch GmbH

Ja, dann herzlich willkommen. Wir freuen uns sehr auf das Interview für Bosch CyberCompare.

Heute mit Thorsten Widmer von Bosch und würden gerne einfach in den offenen Austausch kommen, wo es insbesondere darum geht, was heutige Herausforderungen sind, was Problemstellungen sind, was Entwicklungen sind, gerade auch im Bereich OT/IoT, d. h. für die industrielle Cybersecurity, und vielleicht, um das Gespräch zu starten, gern auch Herr Widmer, vielleicht wollen Sie kurz Ihre Rolle beschreiben, wo sie gerade tätig sind im Bosch Konzern.

Ja, gerne. Mein Name, Thorsten Widmer. Ich bin im Headquarter verantwortlich für die Digitalisierung der Werke bei uns auf der einen Seite und dem Engineering Bereich auf der anderen Seite. D. h. die weltweite Vernetzung, aber natürlich auch die Absicherung der Werke und der Entwicklungsabteilung.

Vielleicht starten wir dann einfach mit Herausforderungen, die gerade im Markt und im Feld passieren. Vielleicht, Herr Widmer, gerade aus Ihrer Sicht von Bosch, was auf der Bosch Seite, aber auch vielleicht bei Lieferanten von Bosch, gerade irgendwie die größten Schwachstellen, Problemstellungen sind.

Die großen Problemstellungen, die wir aktuell sehen, sind sehr einfach zusammengefasst nicht die IT-Lösungen an sich, sondern für uns sehr stark das Thema der Skalierungsfähigkeit von IT-Lösungen. Wir haben bei Bosch mehr als 250 Werke, wir haben sehr viele Entwicklungsstandorte mit 70.000 Entwicklern, die weltweit abzusichern und auf ein einheitliches Level zu bringen, ist eine große Herausforderung und dementsprechend bedeutet das, wir müssen unsere Systeme so auslegen, dass sie auf der einen Seite weltweit diese Absicherung herbeiführen, auf der anderen Seite, wenn es dann aber zu einem Angriff gekommen ist, wir eine Segmentierung derartig realisieren können, dass wir mit dem Angriff im Segment verbleiben und nicht über die Segmente hinweg springen. Das wäre fatal und da gibt es Maßnahmen und das kann man realisieren. Also mit einem Wort: Skalierung, Skalierung, Skalierungen von IT-Security-Lösungen weltweit ist eines unserer ganz großen Themen.

Im OT-Umfeld gibt es noch erheblichen Bedarf, die IT-Security zu verbessern. Wir brauchen dort entsprechende Feldorganisationen, d. h. wir brauchen die IT-Sicherheit, das IT-Sicherheitswissen in jedem Werk. Dementsprechend haben wir beispielsweise auch bei Bosch in jedem Werk einen sogenannten „Local ITM“, der für die IT-Security in jedem Werk dann verantwortlich ist und es müssen nicht immer IT-Lösungen sein, die, wie gesagt, dort sehr modern, sehr advanced sind. Man kann über Segmentierung, über das Training der Mitarbeiter, über einfache Virenscanner sehr viel schon abfangen. Wobei es natürlich auch so ist, dass am Ende des Tages wir uns auch immer anschauen müssen, dass wir moderne Virenscanner, d. h. Updates von Virenscannern, draufhaben, und dass wir die Systeme so gepatcht haben, dass wir sie denn erfassen und auch das ist durchaus ein Thema, das wir heute an der einen oder anderen Stelle als Schwachstelle sehen, wo wir noch ungepatchte Systeme haben, die dann keiner eigentlichen Überwachung unterliegen und wo dann dadurch Angriffe möglich werden.

Herr Widmer, da noch kurz darauf aufbauend: Wie sehen Sie zwischen Technik und Organisation, also gerade jetzt aus der Bosch Sicht, aber Sie haben ja auch durchaus Lieferantennetzwerk in den ganzen Werken. Wo glauben Sie, dass der Fokus ist, wenn man sich heute die Schwachstellen gerade im OT/IoT-Bereich anschaut?

IT-Security in Summe, aus meiner Sicht, kann man nur ganzheitlich erzeugen. D. h. ich muss von den Menschen ausgehend, über meine Prozessarchitektur, über die Datenarchitektur, die Applikationsarchitektur, also im Grunde genommen gemäß TOGAF-Ansatz (Anm. d. Red.: weltweit anerkanntes und angewandtes Framework für Enterprise Architecture), die ganzheitliche Betrachtung des IT- und des organisatorischen Ökosystems betrachten. Wir müssen risikobasierte Anwendung, wenn man all diese Themen risikobasiert betrachtet, dann wird man ein IT-Security-System schaffen, das dann auch zu den einzelnen Unternehmungen passt.

Gibt es da auch, vielleicht in Ihrer Sichtweise, spannende Entwicklung gerade im OT/IoT-Bereich, die zum einen Chancen bieten, aber auch für Cybersecurity Chancen bieten, das kurz sozusagen übereinander zu legen?

Selbstverständlich. Wir haben gerade im Bereich, beispielsweise […], ein eigenen Systemansatz, der auch beispielsweise von Partnern, mit denen wir zusammenarbeiten, sehr geschätzt wird, nachgefragt wird. Wir bringen unsere Zulieferer auch genau auf dieses System. Wichtig ist mir dabei auch noch zu sagen, dass wir das immer mit entsprechenden Partnern zusammen machen und dass wir hier übergreifenden Vorgaben uns geben und mit der Industrie, also mit dem gesamten OT-Umfeld, eng zusammenarbeiten mit entsprechenden Normungen, Normungsstellen, aber eben auch mit den Partnern und der Industrie, weil wir können und wollen nicht alles selber entwickeln, wir wollen nicht alles zwei, drei, vier oder fünfmal entwickeln, sondern wollen davon natürlich auch nutzen, dass an bestimmten Stellen unsere Partnerunternehmungen in Feldern tätig sind, wo wir dann wieder auf den Zug aufspringen können und davon unser Nutzen haben sowie Partnerunternehmen auch von uns ihren Nutzen haben, wenn sie sich auf das verlassen können, was wir schon mal erdacht haben. Nicht jeder Fehler muss dutzende Male wiederholt werden.

Ein ganz wesentliches einfaches Beispiel für mich das Thema Segmentierung, Mikrosegmentierung von IT-Systemen, mit denen es relativ einfach möglich ist, auch nicht immer mit großem finanziellem Aufwand, die Systeme voneinander zu trennen. Dann brauche ich kein hochgerüstetes IT-Security-System, sondern dort kann jeder durch die entsprechende Segmentierung  in seinen Werken dazu beitragen, dass sich die IT-Sicherheit deutlich erhöht, einfach dadurch, dass, wenn es dann doch zu einem Ausbruch kommt, dieser Ausbruch dann im Segment verbleibt und dann nicht nur das nächste Segment hinwegspring und das ist schon ein unschätzbarer Vorteil und das ist auch ein Ratschlag, den ich jedem unserer Partner, unserer Partnerunternehmungen immer gebe, dass man hier mit, ich sag mal, recht einfachen Methoden auch einen großen Nutzen und ein großes Maß an Sicherheit realisieren kann.

Und vielleicht noch ein kurzer Ausblick in Richtung Markt, also auch, Herr Widmer, hier, Sie haben ja, wie gesagt, mit vielen Lieferanten da zu tun. Die Großen waren schon immer im Fokus. Aber wie hören Sie sich gerade in der Branche um? Also was passiert da gerade, was ist da gerade, also jetzt mal von MS Exchange abgesehen, was natürlich gerade hoch und runter geht, aber was sind andere Themen, die gerade dabei, vielleicht auch kleinere Maschinenlieferanten, im Fokus stehen?

Gemeinschaftlich mit Unternehmungen, aber auch mit entsprechenden Normungsstellen   zusammenarbeiten, in die Gremienarbeit dort auch gemeinschaftlich gehen oder so etwas, was Sie gerade machen, mit entsprechenden Plattformen, wo das Wissen dann gesammelt wird an einer zentralen Stelle und man dann auf Basis dieses gesammelten Wissens sich einfacher und schneller weiterentwickeln kann.

Würde gerne noch auf einen aus meiner Sicht wesentlichen Punkten hinweisen. Es ist ja nicht nur so, dass die, ich sag mal Anzahl der Cyber-Attacken, gerade im OT-Bereich, auch zunehmen. Wir schreiten ja auch mit großen Schritten im Gesamtsystem der Vernetzung weiter voran und über diesen Vernetzungsansatz, sage ich mal, ergeben sich Risiken und Chancen.

Risiken in der Art, dass wir über stärkere Vernetzung natürlich dann auch entsprechende Wege aufmachen, dass, wenn im Falle eines erfolgreichen Angriffs, über die Vernetzung neue Wege geöffnet werden, wir entsprechende Maßnahmen ergreifen müssen, um die Sicherheit dort trotzdem zu gewährleisten.

Über die Vernetzung und über Plattformarchitekturen gibt es aber auch erhebliche Chancen, d. h., wenn ich jetzt beispielsweise mal in die Bosch Heterogenität unserer Werke schaue, dann habe   ich heute noch ein relativ heterogenes Umfeld selbst in den MES Systemen, wenn wir und da sind wir gerade dabei, über Plattformansatz diese Systemlandschaft deutlich zu harmonisieren. Dann fällt es mir natürlich viel viel leichter in einem solchen harmonisierten System, die entsprechende IT-Security zu realisieren und ich glaube, das müssen wir dringend tun, da wir   ja in der Vernetzung voranschreiten wollen. Da wir übergreifende Vernetzung machen wollen.

Wir reden über Vernetzungen ja nicht nur innerhalb von Bosch, sondern auch mit Partnern, mit Kunden letztendlich und all diese Daten wollen wir letztendlich, auf diese wollen wir zugreifen können. Die wollen wir nutzen können. Und das können wir nur, wenn wir die entsprechende IT-Security an der Stelle auch realisieren können. Und dazu braucht es starke Standards, wenn wir dort mit einer unübersichtlichen Zahl von Systemen und Umgebungen handhaben müssten, dann glaube ich, und davon bin ich felsenfest überzeugt, glaube ich, dass wir nicht mehr in der Lage wären, wirklich diese IT-Security zu gewährleisten. Deshalb ist die Reduzierung auf wesentliche Standards, aus meiner Sicht, ein ganz ganz wesentlicher Punkt.

Genau, dann danke ich für das Gespräch. War ein sehr interessanter Austausch, auch für uns, und wünsche Ihnen einen erfolgreichen Tag und bleiben Sie gesund!

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.