Safety und Security als Lebenswerk
»Die Cybersecurity stets im Blick behalten«
Der langjährige Geschäftsführer des Safety- und Security-Experten NewTec, Johannes Werbach, hat sich vor kurzem aus der operativen Geschäftsführung des Unternehmens zurückgezogen – ein Anlass, im Interview Bilanz zu ziehen und sowohl in die Vergangenheit als auch in die Zukunft zu blicken.
Markt&Technik: Sie sind nach 31 Jahren aus der aktiven Geschäftsführung von NewTec ausgeschieden, bleiben aber Gesellschafter. Bei NewTec waren Sie maßgeblich für die erfolgreiche Ausrichtung des ursprünglichen Entwicklungsdienstleisters zu einem Spezialisten für funktionale Sicherheit (Safety) und Informationssicherheit (Security) verantwortlich. Was war damals der Anlass für die Umorientierung?
Johannes Werbach: Wir hatten schon immer hochwertige Soft- und Hardware entwickelt, bei der es auf funktionale Sicherheit ankam, etwa in der Medizintechnik, der Industrie oder der Avionik. Für alle diese Projekte mussten wir uns eingehend mit den einschlägigen Richtlinien und Normen auseinandersetzen und hatten da inzwischen viel Know-how und Erfahrung gesammelt.
Die Spezialisierung auf Safety und Security war also weniger das Ergebnis einer Umorientierung als eine Konzentration auf das, was wir ohnehin hauptsächlich gemacht hatten. Irgendwann war uns zudem klar geworden, dass in einer Welt, die zunehmend auf technologische Entwicklung setzt, die Sicherheit der Systeme ein ganz zentrales Thema ist. Also haben wir entschieden, uns auf das zu konzentrieren, was wir am besten können und was wir für wichtig halten.
Was heißt »Spezialist für Safety und Security« für Sie denn genau?
Systementwickler sind normalerweise stark von der Funktionalität getrieben. Als Spezialist für Safety und Security hat man aber gelernt, die Möglichkeit von Fehlfunktionen und Fehlbedienungen ins Design mit einzubeziehen. Das heißt, um sichere, zuverlässige Systeme zu entwickeln, die Anwender mit gutem Gefühl nutzen können, muss man sich schon beim Systemdesign die Fragen stellen: Welche Fehler sind möglich, und welche davon kann man in Kauf nehmen und welche nicht?
Als Spezialist für Safety und Security muss man also vertraut sein mit Risiken. Man muss Nutzen und Gefahren abwägen und sich immer fragen: Was muss passieren, um das System und seine Anwender vor möglichem Schaden zu bewahren?
Wie hängen Safety und Security aus Ihrer Sicht zusammen?
Mit der Vernetzung digitaler Geräte und Maschinen ist die Security, also die Informations- bzw. Cybersicherheit, zum ausschlaggebenden Faktor für eine sichere Funktion der Geräte – also Safety – geworden. In der Vergangenheit konnte man sich darauf verlassen, dass Systeme in sicheren Umgebungen operieren. Heutzutage bringt die Vernetzung eine ständige Gefahr von Angriffen auf die Funktionssicherheit einzelner Geräte und ganzer Anlagen mit sich. In der Produktion beispielsweise können Angreifer aus dem Internet über die IT bis auf die operative Technologie zugreifen. Und auch wenn die operative Technologie nicht direkt Ziel eines Cyberangriffs ist, kann ein Angriff auf die Supply-Chain oder die IT eines Unternehmens Folgen für den operativen Bereich haben. Das haben wir letztes Jahr beispielsweise bei dem Ransomware-Angriff auf einen Toyota-Zulieferer gesehen, der zum Stopp der Toyota-Produktion in 14 Fabriken führte.
Wie können sich Unternehmen ihre Produktionsprozesse bzw. ihre Supply-Chain gegen solche Gefahren wappnen?
Zunächst einmal sollten sie ihren Mitarbeitern klare Regeln für den Umgang mit sicherheitsrelevanten Technologien an die Hand geben, vom Öffnen von E-Mail-Anhängen bis hin zum Gebrauch privater Smartphones im Unternehmen. Social Engineering ist immer noch das erfolgversprechendste Einfallstor für Hacker. Zweitens müssen Updates und Patches immer schnellstmöglich installiert werden. Drittens sollten Unternehmen sich darüber im Klaren sein, dass mit jedem neuen Gerät und jeder zusätzlich installierten Funktionalität neue Sicherheitslücken entstehen können. Hier empfehlen sich regelmäßige Security- und Safety-Audits, um mögliche Sicherheitslücken frühzeitig zu erkennen.
- »Die Cybersecurity stets im Blick behalten«
- Security-Lifecycle und Patch-Management
Lesen Sie mehr zum Thema
