Hilscher-CMO Niels Trapp zum Cyber Resilience Act
„Das ist für die Branche ein ziemlicher Kracher“
Die Industrie braucht mehr Daten, während die Zahl der Cyberangriffe rapide steigt. Beides muss der Spezialist für industrielle Kommunikation Hilscher bei seinen Produkten adressieren. So kombiniert die kommende Chip-Generation Fähigkeiten rund um Echtzeit, Gigabit und TSN mit einem besonders leistungsfähigen IT-Security-Stack. Denn mit dem Cyber Resilience Act der EU werden die Anforderungen an die Sicherheit von Automatisierungsprodukten deutlich steigen. Was das für die Branche bedeutet, schätzt Niels Trapp, Chief Marketing Officer bei Hilscher, für uns ein.
Herr Trapp, Sie verantworten bei Hilscher die Themen Strategie und Innovation. Als Komponentenhersteller dürfte Ihr Haus meist eng an Kundenanforderungen gebunden sein. Welcher Raum bleibt für Strategie und Innovation?
Niels Trapp: Natürlich ist unser Produktportfolio auf die Anforderungen des Marktes ausgerichtet. Unser Kerngeschäft liegt noch immer bei der Kommunikationstechnik, auf der OT-Ebene. Da gewinnen die Drahtlos-Themen gerade an Bedeutung. Es werden verstärkt Infrastrukturkomponenten benötigt, um mit 5G- oder Wifi6-Technologie etwa autonome mobile Roboter und AGV zu vernetzen – oder IO Link Wireless, wobei wir dafür auch schon Produkte haben. Auch mit Single Pair Ethernet, Gigabit und TSN befassen wir uns heute. Innovation entsteht, wenn sie solche Technologien so kombinieren, dass sie in Summe einen Nutzen bilden. Doch wenn sie Innovation zu produktnah verstehen, besteht die Gefahr, dass strategische Elemente hinten herunter fallen. Dagegen haben wir uns bei Hilscher strukturell abgesichert, indem wir stets Engineering-Ressourcen für das ein oder andere Innovationsprojekt vorhalten. Wobei wir schon darauf achten, dass uns diese Forschungs- und Konsortialprojekte in fünf bis zehn Jahren auch voranbringen.
Hilschers jüngste Geschäftseinheit ist mit NetField im IoT-Markt unterwegs. Kommen aus dieser Richtung Impulse für ihr Aufgabenfeld Strategie und Innovation?
Die sind eng miteinander verknüpft. Wobei es in den Use Cases letztlich meist wieder um vereinheitlichte Datenmodelle geht. So ist die IT-Welt eben. An dieser Stelle gewinnen die eben erwähnten Konsortialprojekte an Bedeutung: IoT-Projekte finden in einer Asset-orientierten Produktionslandschaft statt. Diese ist auf Verlässlichkeit, Verfügbarkeit und Planungssicherheit ausgerichtet. Gehen IT-Menschen mit datenzentrierter Sicht an die Systeme heran, vernetzen Maschinen, ändern womöglich etwas, wirft das bei Produktionsverantwortlichen Fragen nach Beherrschbarkeit und Systemverständnis auf. In Konsortialprojekten lassen sich Antworten auf diese Fragen entwickeln, da beide Sichtweisen zusammenkommen. Gerade die von uns 2019 mitgegründete Open Industry Alliance hat sich dabei als hilfreich erwiesen.
Wie unterscheidet sich diese Organisation von anderen?
Es soll dort kein neuer Standard entstehen, sondern clevere Kombinationen der vorhandenen. Wird im Konsortium eine Kombination in einem bestimmten Rahmen als sicher und zuverlässig eingestuft, können das mittlerweile über 100 Firmen bezeugen und als Arbeitsmodell nutzen. Dabei sind in der Organisation von Automatisierern über Kommunikationspezialisten bis hin zu IT-Firmen alle Kompetenzen vertreten, um solche Themen zu bearbeiten und für industrielle Anwender greifbar zu machen. Dabei entstehen Innovationen wie die Verwaltungsschale, an der wir gerade mitarbeiten. Dazu gehört aber auch die Frage, wie sich ganze Wertschöpfungsketten vernetzen lassen – also von Halbzeug zu Produkt, zu System und darüber hinaus.
Über eine solche Vernetzung entstehen Angriffsvektoren für Hacker. Diese Risiken adressiert der Standard IEC62443. Mit der EU-Verordnung Cyber Resilience Act könnten die Anforderungen an die IT-Sicherheit von Automatisierungssystemen weiter steigen. Was passiert gerade?
Cybersicherheit ist kein neues Thema, aber das Bewusstsein wächst gerade. Die Zahl der Angriffe auf Industrieanlagen steigt in den letzten Jahren rapide an – bis zu 27 Prozent aller Hackerangriffe zielen mittlerweile auf industrielle Einrichtungen. Daher wurde vor einiger Zeit in der IEC62443 zumindest ein Rollenmodell festgelegt, wonach Verantwortliche wie Systembetreiber und Fabrikbesitzer einen Beitrag für die Cybersicherheit zu leisten haben.
Warum dann den Cyber Resilience Act?
Dieser Entwurf geht einen Schritt weiter. Während die IEC62443 quasi am Fabriktor endet, setzt die Verordnung nicht nur Prozesse und Richtlinien voraus, um eingehende und ausgehende Daten abzusichern. Sie erfordert einen Security-Informationsfluss für alle Produkte mit Software, die ein Unternehmen ein- und verkauft. So sollen von innen abgesicherte Lieferketten entstehen. Der Cyber Resilience Act ist zwar noch nicht beschlossen. Aber würde die Verordnung in dieser Form Ende 2026 oder Anfang 2027 in Kraft treten, müssten alle digitalen Produkte am Markt die CRA-Richtlinien erfüllen. Das ist für die Branche ein ziemlicher Kracher.
Wie meinen Sie das?
Die Firmen müssen sich jetzt mit ihrem gesamten Portfolio auseinandersetzen und sich fragen, wo sie insgesamt stehen. Sind ihre Prozesse und Produkte soweit, dass sie vergleichsweise einfach den kommenden Notwendigkeiten und Vorgaben entsprechen – oder nicht? Es ist erheblicher Handlungsbedarf entstanden. Die tec4U-Solutions GmbH ist einer der führenden Lösungsanbieter rund um die Erfüllung von produkt- und unternehmensbezogenen Nachhaltigkeitsvorgaben mit Sitz in Saarbrücken. ‣ weiterlesen
tec4U-Solutions GmbH
Jobangebot: Sales Manager Key Accounts (m/w/d) in Vollzeit
Saarbrücken
Was kommt auf die Firmen zu, wenn die Verordnung so in Kraft tritt?
Bei einem neuen Produkt müssten sie Sicherheitsvorkehrungen treffen: Also Krypto-Funktionen integrieren, Maßnahmen zur Authentifizierung, Lösungen für das Monitoring über den gesamten Lebenszyklus. Zudem brauchen sie eine Systembeschreibung des Produktes, welche die Sicherheitsmechanismen dokumentiert. Dann müssen Firmen ihre Lieferketten überprüfen, prinzipiell also Erklärungen von Zulieferern einholen, wie diese ihre Produkte absichern. Das können einfache IP-Stacks sein, Betriebssysteme – was auch immer. Alles wird dokumentiert und jedem Käufer zur Verfügung gestellt, der den Ablauf in seiner Lieferkette wiederholt. Die Entwicklung neuer Produkte wird aufwendiger.
Was ist mit den existierenden Produkten der Unternehmen?
Bei Altprodukten könnte ein Redesign anfallen, also greifbarer Engineering-Aufwand. Wenn dann viele Produkte anzufassen sind, dürften über diesen Weg einige Portfolios durchaus etwas schlanker werden. Zumal sie Produkte, die schon seit 20 Jahren gefertigt werden, oft gar nicht auf Stand bringen können. Sicher ist Vorsicht geboten, wie weit die Verordnung später greift. Aber nach vielen Kundengesprächen gehe ich davon aus, dass sie im Jahr 2024 in ähnlicher Form verabschiedet wird. Vielleicht mit etwas Varianz beim geforderten Umsetzungsdatum.
Klingt wie eine Zäsur für die Branche. Ist Brüssel gut beraten?
Der Austausch mit unseren Kunden auf Managementebene ergibt immer wieder, dass viele mittelständische Unternehmen und Großunternehmen in Delegationen auch in Brüssel dabei sind. Im luftleeren Raum entsteht die Verordnung nicht. Je nach Unternehmensgröße ist zu erwarten, dass auch die großen Automatisierer ihren Beitrag leisten. Also es wird Einfluss genommen und auch mal gesagt: Leute, euch ist schon klar, was ihr da gerade tut?
Könnte die Verordnung eine protektionistische Wirkung entfalten?
In den USA ist eine ähnliche Aktion geplant, wie wir wissen. Japan scheint noch unentschieden, über Chinas Pläne wissen wir nichts genaues. Aber im Zuge der Deglobalisierung, die wir in Teilen gerade erleben, ist natürlich auch ein gewisser Protektionismus der EU zu beobachten. Praktisch ist es aber auf jeden Fall so: Fassen Unternehmen ihre Produkte nicht an, werden sie eventuell von einer Lieferkette ausgeschlossen.
Was bedeutet die Verordnung für den Anlagenbestand der Betreiber?
Wie gesagt, wir sehen Anzeichen dafür, dass Industrieausrüster ihre Bestandsprodukte anpassen müssen. Für Bestandsanlagen ist die Informationslage noch etwas dünn. Dennoch müssen Betreiber an den Außengrenzen ihrer Bestandsanlagen irgendwie sicherstellen, dass eingehende und ausgehende Datentransfers entsprechende Vorgaben einhalten.
Welche Anpassungen plant Hilscher bei der eigenen Produktpalette, etwa dem jüngsten Portfolio NetField?
Bei NetField wird es vergleichsweise einfach, die IEC62443-Standardisierung ist ja schon eine ganze Weile publik. Wir sind eigentlich mit der ganzen Plattform auf Stand, also wie wir sie besichern, ihre Zugänge besichern und prüfen, mit welchen Zulieferern wir zusammenarbeiten. Aber beim Thema Portfolio Review gilt es dann, sich auch die Kommunikationskomponenten anzuschauen. Damit diejenigen, die unsere Komponenten einsetzen, mit unseren Deklarationen und Produktspezifikationen belegen können, dass alles dem Stand der Technik entspricht.
Wenn Hilscher also bei seinen Produkten die Hausaufgaben gemacht hat, haben Ihre Kunden weniger Arbeit. Gilt das auch für aktuelle Produkte?
Das ist tatsächlich so. Unser aktueller Chip NetX 90 hat bereits Krypto-Algorithmen onboard, mit denen Sie im Grunde alle Anforderungen der IEC62443 abdecken können. Und im Cyber Resilience Act werden die gleichen Algorithmen gefordert. Doch der Produktentwickler muss sie natürlich auch nutzen, wenn er etwa seine Firmware entwickelt. Doch mit der nächsten Chip-Generation gehen wir noch weiter.
Inwiefern?
In der kommenden Chip-Generation ist beispielsweise ein höheres Encryption-Niveau implementiert, um größere Schlüssel zu verarbeiten. Wir können den Daten-Traffic im Chip vorhalten und so sicherstellen, wer überhaupt mit wem ‘sprechen’ darf. Zudem haben wir eine kleine Prozessoreinheit für das Lifecycle Management integriert. Wenn Sie also auf Basis des Chips ein Produkt bauen, lässt sich dieses in einer Anlage eindeutig authentifizieren, aber auch wieder entfernen. Über diese Mechanismen wissen unsere Kunden genau, wo ihre Produkte eingesetzt werden und können Fragen nach der Lieferketten-Nachhaltigkeit deutlich leichter beantworten, ohne dabei an IT-Sicherheit einzubüßen.
Was außer IT-Security leistet Ihre nächste Chip-Generation?
Die nächsten Chips sind für die Generation Gigabit gedacht. Sie unterstützen Kommunikation mit höherer Bandbreite als heute, sind weiterhin echtzeitfähig, unterstützen sämtliche Feldbus-Protokolle und sind rückwärtskompatibel. Im Prinzip bildet der kommende Chip jegliche Echtzeit-Kommunikation ab, die in der Fabrikautomation benötigt wird. Gigabit wird unterstützt, TSN ebenfalls und OPC UA haben wir bereits auf einem Testchip erprobt. Über einen TSN-fähigen Ausleitkanal lässt sich ein Gerät separat zu der Kommunikationseinheit mit einem IoT- oder Edge-Gerät verbinden, um über diesen Channel weitere Daten aus einer Anlage herauszubringen. Gepaart mit der integrierten Security-Einheit ist das schon recht einzigartig.
Wofür brauchen Fabrikbetreiber Gigabit-Geschwindigkeit in ihren Netzwerk-Infrastrukturen?
Wenn Sie heute ein Industriekamera-System mit höherer Auflösung anbinden, brauchen Sie eine Gigabit-Verbindung. Das ist keine Frage der Echtzeit-Thematik, sondern der Bandbreite. Gigabit-fähige deterministische echtzeitfähige Netzwerke finden Sie heute in der Controller-zu-Controller-Kommunikation, etwa wenn dezentrale Steuerungen an den Maschinen vernetzt werden. Mehr Bandbreite ist vorteilhaft, wenn Sie verteilte Systeme aufbauen und beispielsweise komplexere Regelalgorithmen anwenden wollen.
Und die Use Cases der Zukunft?
Alle wollen mehr Daten. Neben den klassischen zyklischen Produktions- und Prozessdaten, die zu übertragen sind, wird der Anteil an weiteren Datenübertragungen steigen. Für Predictive Maintenance-Systeme, für OEE-Projekte und dergleichen werden einfach mehr Informationen als früher benötigt. Ab einem gewissen Punkt brauchen Sie künftig einfach Gigabit-Netze. Und wir liefern sichere Chips dafür.
Vielen Dank für das Gespräch! (ppr)
