In Klartext hat die Redaktion für Ausgabe 11-12/2024 Experten aus der Industrie zum Thema „Usable Security“ befragt – für das Special Safety & Security. Die Statements von IBF Solutions GmbH, Pilz GmbH & Co. KG und Stöber Antriebstechnik GmbH & Co. KG erscheinen hier nun auch online.
Auf Maschinenbau und produzierende Unternehmen kommen mit NIS-2 (Netz- und Informationssicherheit) und dem Cyber Resilience Act (CRA) umfangreiche EU-Regulierungen zu. IT/OT-Cybersicherheit sollte dabei die Usability nicht beeinträchtigen. Zu komplexe Security-Maßnahmen, die schwer zu verstehen oder zu nutzen sind, können umgangen und selbst zum Sicherheitsproblem werden. Wie macht man IT-Security für Industrie-Anwender attraktiv und selbstverständlich? Und was bedeutet dies für die Entwicklung von „Usable Security“ im Klartext?
Zu dem Special haben folgende Experten Statements beigetragen:
- Dr. Hartmut Paulus, Senior Manager Global Services Engineering, Pilz GmbH & Co. KG, Ostfildern
- Maurice Schleeh, Security-Experte, Stöber Antriebstechnik, Pforzheim
- Johannes Windeler-Frick, Geschäftsführer der IBF Solutions GmbH, Vils (Österreich)
Dr. Hartmut Paulus
Senior Manager Global Services Engineering, Pilz GmbH & Co. KG, Ostfildern
Um Security-Maßnahmen erfolgreich zu etablieren, ist es wichtig, diese nicht mit der Gießkanne zu verteilen. Stattdessen sollten sie auf das jeweilige Security-Risiko abgestimmt und an den Arbeitsalltag der Bediener angepasst sein. Gut durchdachte Konzepte zum Schutz von kritischen Funktionen, die weniger in das tägliche Arbeiten eingreifen, treffen auf mehr Akzeptanz. Allein dadurch reduziert man die Gefahr der Umgehung solcher Maßnahmen. Eine Risikoanalyse und eine kluge Maschinenaufteilung in getrennte Zonen sind hier die Grundlage. Für den Anwender müssen die Geräte einfach zu konfigurieren sein. Ein kleiner Funktions-umfang ist von Vorteil, reduziert er doch die Gefahr der Fehlkonfiguration. Manchmal kann also weniger mehr sein. Je näher die gewählten Maßnahmen an der Lebenswirklichkeit der Arbeiter sind, desto besser. Abschaltbare Ports, individuelle Authentifizierung und eine Segmentierung der Maschine lassen sich gut realisieren und sind wichtige erste Schritte für „Usable Security“.
Maurice Schleeh
Security-Experte, Stöber Antriebstechnik, Pforzheim
Stöber Antriebstechnik gewährleistet heute schon die Schutzziele Integrität, Vertraulichkeit und vor allem Verfügbarkeit. Ein erster Meilenstein unserer Security-Roadmap war die Implementierung eines Security-Loggers, der den Arbeitsfluss unserer Anwenderinnen und Anwender nicht beeinträchtigt. Darüber hinaus bieten unsere Dokumentationen klare und praxisnahe Handlungsempfehlungen. Benutzerfreundlichkeit steht für uns an oberster Stelle. Deshalb gestalten wir auch künftige Entwicklungsschritte so, dass wir unseren Kundinnen und Kunden weder komplexe Abläufe noch neue Funktionen oder Features auferlegen – vielmehr machen wir Security einfach und intuitiv nutzbar. Das Thema „Security by Default“ diskutieren wir aktiv mit ausgewählten Anwenderinnen und Anwendern. Sind unsere Antriebssysteme in den Anlagen unserer Kundinnen und Kunden bereits durch eine tiefengestaffelte Verteidigung optimal geschützt, soll es in deren Verantwortung liegen, zu entscheiden, ob und wie sie die Security-Funktionen nutzen möchten.
Johannes Windeler-Frick
Geschäftsführer der IBF Solutions GmbH, Vils (Österreich)
Maschinen müssen sicher sein und dabei verwendbar bleiben. Das gilt für Safety, also Schutzzäune et cetera, wie auch für Security-Maßnahmen. In beiden Welten gilt: Mangelnde Usability führt zu Umgehungs- und Manipulationsversuchen, deren Folgen weniger sichere beziehungsweise nicht secure Maschinen sind. Anforderungen, zum Beispiel aus der neuen Maschinenverordnung oder aus dem Cyber Resiliance Act, müssen bereits in der Konzeptions- oder Konstruktionsphase berücksichtigt werden, um praxistaugliche Lösungen zu entwickeln. Voraussetzungen dafür sind entsprechend fachliche Safety- und Security-Kompetenzen sowie starkes Commitment zu Safety- und Security-by-Design-Ansätzen.
Bilder: Pilz, Stöber Antriebstechnik, IBF Solutions