Hallo Herr Jaeger, wollen Sie sich kurz vorstellen?
Lars Jaeger (Moxa): Ja, mein Name ist Lars Jaeger. Ich bin seit 15 Jahren bei Moxa tätig und war zuvor bereits in der Glasfaser- und Halbleiterindustrie aktiv. Aktuell leite ich das Produktmarketing bei Moxa in Europa. Zuvor war ich im Business Development sowie im Vertrieb tätig.
Wie organisiert ein kleines Team die Betreuung eines ganzen Kontinents?
Jaeger: Obwohl wir auch direktes Geschäft betreiben, ist die Zusammenarbeit mit Distributoren ein wesentlicher Bestandteil unserer Philosophie. Wir sind überzeugt, dass wir über diese Partner einen echten Mehrwert für unsere Kunden schaffen können – beispielsweise durch lokale Logistik und Beratung in Landessprache, aber auch durch ergänzende Portfolios. Unsere Distributoren bieten außerdem Trainings und weitere Leistungen an. Diese Partnerschaften bestehen zum Teil schon seit vielen Jahren. Ich erinnere mich an einen Distributoren-Summit vor zwei Jahren, bei dem wir festgestellt haben, dass viele unserer Partner bereits mehr als 20 Jahre mit Moxa zusammenarbeiten.
Wie positioniert sich Moxa beim Thema Cybersecurity?
Jaeger: Cybersecurity ist mittlerweile ganz oben auf der strategischen Agenda von Moxa. In Europa ist sicher die NIS-2-Richtlinie das sichtbarste Thema in diesem Kontext, da dieser rechtliche Rahmen auch OT-Unternehmen dazu zwingt, sich intensiv mit Cybersecurity auseinanderzusetzen. Früher verließ man sich häufig auf das sogenannte Air-Gap-Prinzip, aber das reicht heute nicht mehr aus. NIS-2 nimmt Unternehmen mit Betriebstechnik auch über die jeweiligen nationalen Umsetzungsgesetze rechtlich in die Pflicht. Das heißt, bei Nichterfüllung könnten sie für nachgelagerte Schäden haften müssen. Viele Länder sind allerdings noch dabei, die Richtlinie in nationales Recht umzusetzen.
Deutschland beispielsweise. Sehen Sie andere spezifische Entwicklungen in Deutschland?
Jaeger: Ein wichtiger Treiber in meinen Augen ist der Arbeitsschutz, der gerade in Deutschland eine sehr große Rolle spielt. In den meisten Regelwerken, die ich kenne, werden Bezüge zur Cybersecurity hergestellt. Frei nach dem Motto: Kein Schutz ohne Sicherheit. Oft werden harmonisierte Standards wie IEC 62443 empfohlen, um ein ausreichendes Sicherheitsniveau zu erreichen. 2023 gab es eine neue EU-Maschinenverordnung, die ebenfalls auf solche Standards verweist. Hinzu kommt, dass heute auch Betreiber bei Umbauten oder Modernisierungen von Maschinen sicherstellen müssen, dass die neuen Sicherheitsanforderungen eingehalten werden.
Wir lesen viel von erhöhter Aktivität von staatlich motivierten Cyberangriffen.
Jaeger: Mit der geopolitischen Lage und der zunehmenden Bedrohung durch Cyberangriffe im Rahmen von politisch motivierter Kriegsführung, rücken die Angriffe definitiv näher. Niemand möchte einen Produktionsstillstand riskieren, nur weil er ins Fadenkreuz eines solchen Angriffs geriet, ob zufällig oder gezielt. Der mögliche Imageschaden wäre dabei wahrscheinlich noch das geringste Problem. Zusammengefasst sehe ich also drei Haupttreiber für Cybersecurity bei unseren Kunden: die NIS-2-Richtlinie, den Arbeitsschutz und die bestehende geopolitische Situation.
Welche Rolle spielt der Cyber Resilience Act für Moxa?
Jaeger: Eine sehr große, auch wenn die Übergangsfrist bis zum umfänglichen Inkrafttreten erst 2027 abläuft. Zur Einordnung: Der Cyber Resilience Act ist eine Verordnung der Europäischen Kommission zur Verbesserung der Cybersicherheit von Produkten mit digitalen Komponenten – und betrifft somit nicht nur die OT, sondern auch Konsumgüter und viele weitere Bereiche. Das Ziel ist, die Cyberbedrohungen für Unternehmen und Bürger innerhalb der EU zu verringern. Die Vorschriften gelten für alle, die Produkte in die EU verkaufen – ob sie hier produzieren oder nicht. Dieser Act ist tatsächlich weltweit relevant. Ich habe kürzlich mit amerikanischen Kollegen gesprochen, die betont haben, wie wichtig diese europäische Regelung auch für sie ist, da ihre Kunden Produkte nach Europa exportieren.
Hört sich nach unglaublich viel Arbeit an, doch Klagen höre ich eigentlich nur hinter vorgehaltener Hand.
Jaeger: Im Moment ist es noch ein wenig wie ein Damoklesschwert, weil für die Hersteller noch viel in der Schwebe ist. Wir wissen schon, worum es geht und sind insgesamt ziemlich gut aufgestellt, insbesondere durch unsere zertifizierten Prozesse nach IEC 62443-4-1 und unser erprobtes Vulnerability Management. Aber es gibt eben noch keine harmonisierten Standards, wie genau diese Geräte dann wirklich getestet werden sollen. Da steckt der Teufel im Detail! Es gibt zum Beispiel auch noch keine genauen Vorgaben, wie Schwachstellen, die Vulnerabilities, dann an die ENISA gemeldet werden müssen. Da fehlt einfach noch an vielen Stellen die harte Praxis – wir warten jetzt ab, was zum Beispiel die CENELEC [Anm. der Red: Europäisches Komitee für elektrotechnische Normung] dazu sagt, damit wir uns komplett aufstellen können. Im Hintergrund sind wir aber bereits dabei, unsere Produkte zu kategorisieren, potenziell benötigte Dokumente bereitzustellen und unsere Prozesse insgesamt auf die neuen Anforderungen vorzubereiten.
Was bedeuten diese aktuellen Anforderungen konkret für Ihre Entwickler – im Bereich Software und Hardware – bei der Produktgestaltung?
Jaeger: Seit 2020 ist Moxa nach IEC 62443-4-1 zertifiziert, deshalb steht bei einigen Produkten der Hinweis ‚Developed according to IEC 62443-4-1‘. Für die Entwickler bedeutet das einen deutlichen Mehraufwand. In der IEC 62443 gibt es sogenannte Functional Requirements – die sind zunächst relativ generisch formuliert, werden dann aber für verschiedene Gerätetypen konkretisiert. Wenn ich zum Beispiel eine Netzwerkkomponente habe, gibt es dort bestimmte Anforderungen, die erfüllt werden müssen, um verschiedene Security Levels zu erreichen. Wollen Sie also ein Gerät mit Security Level 2 entwickeln, müssen Sie beispielsweise für Secure-Boot-Funktionalität sorgen: Also sicherstellen, dass das Gerät nur mit originaler Firmware und einem legitimen Bootloader startet und nicht durch ein manipuliertes BIOS oder einen fremden Bootloader kompromittiert werden kann. Damit verhindert man, dass Schadsoftware die Kontrolle übernimmt und den Netzwerkbetrieb beeinträchtigt.
Und wenn eine Schwachstelle später entdeckt wird, wie es die Regel ist?
Jaeger: Später müssen Schwachstellen natürlich im Markt beobachtet und gemanagt werden. Deshalb haben wir bei Moxa ein Product Security Incident Response Team, kurz PSIRT. Ich habe kürzlich erst erfahren, dass unsere Kollegen in diesem Bereich auch von außen ein gutes Feedback bekommen, was mich natürlich freut.
Wie stehen Sie zum Zero-Trust-Prinzip?
Jaeger: Zero Trust ist definitiv ein sehr erstrebenswertes Ziel. Aber auf der OT-Ebene muss man realistisch sein und prüfen, was umsetzbar ist. Ich komme auf die IEC62443 zurück, die unterschiedliche funktionale Anforderungen genau aus diesem Grund definiert. Denn in der Praxis ist wichtig zu erkennen, wo tatsächlich Bedrohungen lauern. Ein einfaches Beispiel: In einer Fabrik steht eine Maschine, die komplett isoliert ist, in einem geschlossenen Käfig. Es besteht die Möglichkeit, dass diese Maschine über einen USB-Stick oder ähnliches manipuliert wird. Die Anforderungen an das dort verbaute Netzwerkequipment sind daher aus sicherheitstechnischer Sicht geringer als bei Komponenten auf der Shopfloor-Ebene, die leichter zugänglich sind, vielleicht weil jemand einen Schaltschrank öffnen kann. Man muss also hinschauen, wo die Zugangspunkte sind und dann entsprechend absichern. Eine häufige Empfehlung ist: Für Bereiche mit externem Zugang Security Level 3, auf Shop-Floor-Ebene genügt häufig Security Level 2 und für reine Maschinenebene oder sehr geschützte Installationen kann auch Security Level 1 reichen. Letztlich geht es darum, im Rahmen einer Bedrohungsanalyse zu überlegen, gegen was man sich absichern will. Theoretisch könnte man sich gegen alles schützen wollen, aber das ist eben extrem teuer. Zielführender ist die Frage: Wo könnten die Probleme wirklich auftreten?
Moxa engagiert sich für Realtime Ethernet, insbesondere Time-Sensitive Networking. Wo geht die Reise hin?
Jaeger: Wenn es um Echtzeit-Kommunikation geht, glauben wir bei Moxa fest daran, dass TSN die Technologie der Zukunft ist. Natürlich gibt es heute schon Lösungen wie Profinet IRT oder EtherCAT, die Echtzeit-Anwendungen ermöglichen. Trotzdem sehen wir die Zukunft bei TSN, weil sich damit deterministische und latenzarme, konvergente Netzwerke aufbauen lassen. Konvergent bedeutet in diesem Fall, dass verschiedene Arten von Datenverkehr – ob Videokamera oder Robotersteuerung – über dasselbe Netzwerk laufen können. TSN ermöglicht es, innerhalb des Netzwerks beispielsweise Prioritäten zu vergeben, Buffers bereitzustellen und das alles deterministisch und zeitkritisch zu steuern. Viele der Protokollbausteine sind bereits von den Standardisierungsgremien freigegeben und heute schon in unseren TSN-Switches integriert.
Wir sind überzeugt, dass das zukunftsweisend ist – auch wenn TSN aktuell noch relativ teuer ist. Aber die Vorteile sind klar: Man braucht keine redundanten Netzwerke mehr aufzubauen, sondern kann alles über die gleiche Infrastruktur laufen lassen. Das wird mittel- bis langfristig die Kosten senken und die Technologie für viele Anwendungen interessant machen. Allerdings ist TSN ein komplettes Ökosystem – man kann zwar einfach einen TSN-Switch verwenden, aber die Vorteile entfalten sich nur, wenn auch alle anderen Komponenten im Netzwerk TSN unterstützen. Solange das nicht gegeben ist, bleibt der Go-to-Market noch etwas schwierig – es gibt im Moment einfach noch relativ wenige Angebote für komplette TSN-Umgebungen.
Wenn wir schon über Zukunftstechnologien sprechen: Wie sieht es mit 5G aus?
Jaeger: In Deutschland ist das Thema 5G derzeit vor allem durch viele Testbeds präsent, während es in anderen Ländern – meiner Erfahrung nach – teils schon weiter in der Anwendung steckt. Auch bei Moxa haben wir bereits funktionierende 5G-Installationen realisiert und bieten entsprechende Hardware an. Aber 5G ist kein einfaches Produkt, sondern muss als ganzheitliches Ökosystem verstanden werden: Der Anwender braucht eine eigene Basisstation, muss die Installation betreiben und pflegen – das ist eine große Anfangsinvestition, die jeder Betrieb für sich sehr genau durchrechnen muss. Viele unserer Kunden kommen daher bisher zu dem Schluss: Für den Moment reicht vielleicht auch erst mal noch WiFi 6, WiFi 7 – oder eine ganz andere Kommunikationstechnologie aus. In Nischen oder für Unternehmen, die ganz vorne mit dabei sein wollen, macht 5G aus meiner Sicht schon Sinn – aber großflächig ist das noch nicht der Fall. Wir sprechen hier vor allem von privaten 5G-Netzen, also den Campusnetzwerken. Es wird viel geforscht und es gibt Pilotprojekte, aber gerade in Europa gibt es zwar viel Interesse und viele Proof of Concepts, aber wenig echte Installationen. In manchen Regionen außerhalb Europas ist das anders.
Ist Moxa an den PoC-Projekten beteiligt, und falls ja warum?
Jaeger: Bei erklärungsbedürftigen Technologien arbeiten wir oft direkt mit dem Kunden und den Projektverantwortlichen zusammen. Diese müssen schließlich genau wissen, was das Gerät leisten kann und wir müssen die Anwendung wirklich verstehen. Die Technologie ist sehr anspruchsvoll – sie ist nicht nur für uns Hersteller neu, sondern auch für die Nutzer und Netzwerkintegratoren. In der Automation treten viele Störfaktoren ein, die gelöst werden müssen. Wenn die Kommunikation an einer Stelle nicht funktioniert, muss geklärt werden: Liegt es an einem Gerät, an der Software, oder muss die Installation angepasst werden? Ohne Fachwissen geht es nicht.
Klingt nach bedingt industrietauglicher Technologie…
Jaeger: Aber genau so sieht es in der Produktion aus – es wird gefunkt, und die Maschine nebenan funkt dazwischen. Das ist die Realität in der Industrie.
