Eigentlich ist Security längst in den Werkshallen angekommen. Doch wie gut wissen Maschinenbauer und Anwender wirklich über Industrial Security Bescheid? Das Team von David Machanek, General Manager von Pilz Österreich, befragte dazu seine Kunden. Im Gespräch berichtet er von seinen Erkenntnissen.
Herr Machanek, wie ist es denn um das Thema Industrial Security im Maschinenbau und bei den Kunden bestellt?
David Machanek: Es herrscht nach wie vor eine große Unsicherheit. Gleichzeitig registrieren wir, dass der Wissensdurst unserer Kunden groß ist, denn die Sorge vor Cyberattacken wächst – besonders in kleinen und mittelständischen Unternehmen. In diesem Spannungsfeld befinden sich viele Betriebe und die Unsicherheit wird durch die gesetzlichen und normativen Änderungen, die auf uns zukommen, verstärkt.
Wie kommen Sie zu diesem Eindruck?
Wir haben bei rund 150 Herstellern und Betreibern nachgefragt, wie der Wissensstand bei Security ist. Wir wollten erfahren, wie der österreichische Markt auf das Thema vorbereitet ist und wer im Unternehmen dafür zuständig ist. Eine wesentliche Erkenntnis ist, dass viele Kunden im Bereich Industrial Security noch nichts unternommen haben, obwohl ihnen die Relevanz durchaus bewusst ist.
Welche Schlüsse ziehen Sie aus diesen Erkenntnissen?
Die wichtigste Conclusio für mich war, dass in den Betrieben die Verantwortlichkeiten für Security an Maschinen und Anlagen noch gar nicht geklärt sind. Das ist auch bei den Herstellern noch nicht geklärt. Klar ist, dass die IT die IT Security macht, aber wer macht die Security an der Maschine? Dafür ist bei den befragten Betreibern eher die Instandhaltung zuständig. Dass Industrial Security spezielles Wissen voraussetzt und dass fehlende Zuständigkeiten und Maßnahmen Angreifern eine offene Flanke bieten, ist den Unternehmen häufig gar nicht bewusst. Umso wichtiger ist es, dass wir – genau wie bei der Maschinensicherheit – Aufklärungsarbeit leisten. Denn Pilz ist nicht nur Botschafter für Safety, sondern auch für Security. Safety ergibt sich für mich aus der Kombination von Sicherheit und Security.
Welche Fragestellungen treiben Maschinenbauer und Betreiber aktuell um?
Im Zentrum steht die Frage, welche Auswirkungen eine Cyberattacke auf das Unternehmen hätte. Mein Tipp: Jedes Unternehmen sollte ein Brainstorming machen und durchspielen, wie der Arbeitsalltag durch einen solchen Angriff verändert werden würde. Aus eigener Erfahrung nach dem Cyberangriff auf Pilz 2019 gebe ich beispielsweise den einfachen Rat, dass man die Kontaktdaten seiner wichtigsten Kontakte auch auf Papier parat haben sollte. Das erstaunt viele zunächst. Über die Bedrohungslage hinaus beschäftigen sich Maschinenbauer und Betreiber zudem mit der neuen Maschinenverordnung und auch NIS 2 hat einen großen Stellenwert.
Wo sehen Sie Gefahren?
Im Gespräch bekomme ich häufig die Antwort, dass die eigenen Maschinen gar nicht an ein ERP-System oder eine Cloud angebunden seien und daher keine Security-Maßnahmen erforderlich wären. Frage ich dann, ob es einen USB-Port gibt und ob dieser von einem Bediener zum Laden eines Mobilgeräts verwendet werden könnte und damit nicht doch plötzlich ein Einfallstor offen wäre, horchen meine Gesprächspartner auf. Es ist unsere Aufgabe, zu hinterfragen und unsere Kunden bestmöglich zu beraten.
Wie aufwendig ist es denn, eine Bestandsanlage safe und secure zu gestalten?
Es macht keinen großen Unterschied, ob eine Maschine neu oder alt ist, denn Security-Lösungen können häufig per „plug-and-play“ integriert werden. Unser Zugangsberechtigungssystem PITreader ist ein Beispiel dafür. Security-Retrofits sind definitiv ein Thema! Wir unterstützen unsere Kunden mit den passenden Dienstleistungen, denn häufig fehlen Betreibern die Ressourcen, um solche Maschinenumbauten safe und secure umzusetzen.