Geschäftsbericht
PRODUKT-SECURITY – UNAUFGEREGT UND UNERSCHROCKEN
Mobilfunkvertrag, Internetanschluss oder Online-Banking – private Internetnutzer schätzen den sorgfältigen Umgang ihrer Dienstleister mit ihren Daten bzw. dem Zugang zu diesen. Regelmäßige Sicherheitsupdates der Software für Handys und Computer sowie stets aktuelle Serviceseiten der Anbieter mit Informationen über Schwachstellen und Softwareupdates gehören zum Standard. Cybersecurity im Umfeld von Industrie 4.0 ermöglicht für vernetzbare Produkte, Software und Dienstleistungen in der Cloud ein verlässliches System zur Sicherung von Produktionsanlagen und Kommunikationswegen.
Dafür arbeitet innerhalb von SICK eine eigene Cybersecurity-Abteilung. In nur wenigen Monaten hat die SICK-Start-up-Initiative Cybersecurity eine Plattform für die Entwicklung und den Betrieb von sicheren Produkten aufgebaut.
„Das Corporate Department IT hatte und hat selbstverständlich Informationssicherheit im Blick. Allerdings haben wir den Bedarf erkannt, Security nicht nur für unser Rechenzentrum sicherzustellen, sondern auch die Entwicklung unserer Produkte sicher zu gestalten“, beschreibt Andreas Teuscher, Chief Industrial Security Officer, die Zeit vor dem Start-up. „Natürlich haben sich auch vorher schon Bereiche um die Security ihrer Produkte gekümmert, aber individuell und unabhängig voneinander.“
VORBEUGEN. ERKENNEN. REAGIEREN.
Um Cybersecurity über den kompletten Lebenszyklus der SICK-Produkte abbilden zu können, müssen Sicherheitsaspekte bereits bei der Produkt- bzw. Softwareentwicklung berücksichtigt werden. Das ist nicht ganz einfach und der Grund dafür, dass ein Trainingsprogramm gemeinsam mit der SICK Akademie entwickelt wurde. Außerdem baut die Start-up-Initiative bei SICK ein Industrial Security Testcenter auf, um Produkte auf ihre Cybersecurity prüfen zu können.
»EINE WICHTIGE AUFGABE FÜR UNS WAR IM VERGANGENEN JAHR,
DAS THEMA INS UNTERNEHMEN ZU TRAGEN UND EINE COMMUNITY AUFZUBAUEN. WIR HABEN VERANSTALTUNGEN ORGANISIERT UND FESTGESTELLT: WIR SIND NICHT NUR ZEHN, SONDERN WIR SIND VIELE.«
OFFENER UMGANG MIT SCHWACHSTELLEN
Das SICK Product Security Incident Response Team (SICK PSIRT) ist die zentrale Kontaktstelle für Kunden und andere Anspruchsgruppen (z. B. Behörden und Sicherheitsforscher), wenn es um die Security von Produkten geht. Eine wesentliche Aufgabe des SICK PSIRT ist, den Umgang mit Schwachstellen in Produkten zu koordinieren. Eine Reaktion erfolgt auf eine Schwachstellenmeldung von außen, durch Mitarbeiter, oder durch aktives Beobachten der Sicherheitslage. Ist eine Schwachstelle in einem Produkt verifiziert, wird eine Risikobewertung durchgeführt, die Kundenkommunikation abgestimmt und es werden Maßnahmen zur Beseitigung festgelegt.
„Ich weiß noch wie es war, als ich im ersten Jahr nach der Gründung unserer Abteilung erzählt habe, dass von nun an die Produktschwachstellen auf unserer Website veröffentlicht werden – da wurde ich ungläubig angeguckt“, beschreibt Mirko Böttger, Cybersecurity Specialist, die ersten Schritte des Start-ups. „Aber mittlerweile hat sich das durchgesetzt. Der Umgang mit Fehlern, die Fehlerkultur hat sich geändert. Wir hatten sehr gutes Feedback zu den ersten Fällen, die wir bearbeitet haben.“
„Den Wandel über die letzten zwei Jahre finde ich echt bemerkenswert“, ergänzt Wolfgang Stadler, Product Security Architect. „Das hat auch mit der Einstellung der Leute hier zu tun. Hier geht man offen und positiv an eine neue Herausforderung heran.“
»MIT DEN CHANCEN, DIE SICH DURCH DIE ZUNEHMENDE VERNETZUNG UND
VERSCHMELZUNG VON PRODUKTION UND IT ERGEBEN, WACHSEN AUCH DIE RISIKEN.«
Die Akzeptanz des Start-ups Cybersecurity ist auch das Ergebnis einer gut funktionierenden Cybersecurity Community innerhalb von SICK. „Eine wichtige Aufgabe für uns war im vergangenen Jahr, das Thema ins Unternehmen zu tragen und eine Community aufzubauen“, erzählt Benjamin Holdermann, Cybersecurity Specialist. „Wir haben Veranstaltungen organisiert und festgestellt: Wir sind nicht nur zehn, sondern wir sind viele.“
Mit den Chancen, die sich durch die zunehmende Vernetzung und Verschmelzung von Produktion und IT ergeben, wachsen auch die Risiken. Mit dem steigenden Grad der Digitalisierung werden zunehmend analoge Bussysteme durch digitale Kommunikationsschnittstellen ersetzt, die auf Internettechnologien basieren. Der Vorteil ist, dass die Kommunikation deutlich transparenter und interoperabler wird.
INDUSTRIAL INFORMATION SECURITY
Impressum | AGB | Nutzungsbedingungen | Datenschutz | © 2024 SICK AG