Safety und Engineering spielen in der Entwicklung und Implementierung industrieller Robotik zentrale Rollen. Inwiefern kann dieses Denken aus Ihrer Sicht auf den Aufbau moderner Security-Organisationen übertragen werden? Und wie steht es mit Themen wie Testautomatisierung und kontinuierlicher Validierung?
Daniel Bunse: Das Thema Safety passt sehr gut als Analogie. Denn Cyber Security ist ebenfalls etwas, das man nicht einfach an ein fertiges Produkt andocken kann. Vielmehr handelt es sich um eine Angelegenheit, die über den gesamten Lebenszyklus eines Produkts, egal ob Roboter oder automatisierte Anlage, mitgedacht werden muss. Sowohl beim Thema Safety als auch Cyber Security ist es wichtig, sich rechtzeitig – von der Planung, Entwicklung und Inbetriebnahme an – Gedanken über Risiken zu machen und wie man diese mit technischen oder organisatorischen Maßnahmen reduzieren kann. Und dieser Prozess endet nicht mit der Inbetriebnahme. Auch während des Betriebs müssen Anwenderinnen und Anwender weiterhin die Risiken im Blick behalten.
Generell kann man zu Security-Organisationen analog zur Safety sagen, man muss systematisch vorgehen und gut dokumentieren. Der große Unterschied zur Safety liegt darin, dass wir es da eher mit deterministischen Risiken zu tun haben. Bei der Cyber Security ändert sich die Bedrohungslage jedoch ständig. Unternehmen müssen unentwegt dazu lernen.
Was Testautomatisierung und Validierung angeht, gilt für Software dasselbe wie für andere sicherheitsrelevante Komponenten: Ihre Sicherheitslage muss regelmäßig überprüft werden. Automatisierte Prüfungen entlang der CI/CD-Pipeline helfen dabei, Schwachstellen früh zu erkennen. Gleichzeitig müssen auch Entwicklungs- und Update-Ketten abgesichert werden, damit kein kompromittierter Code in Systeme gelangt.
Robotiksysteme werden modular, skalierbar und reproduzierbar entwickelt. Welche dieser Skalierungsprinzipien sind für Security-Architekturen besonders relevant?
Auch bei Security-Themen geht man strukturiert vor. Es gibt typische Methoden, die hier zur Anwendung kommen. Beispiele wären das Identitäts- und Zugriffsmanagement oder die Software Bill of Materials. Denn es gibt heutzutage kaum eine Software, die nicht auf externe Bibliotheken zugreift. Hier muss ich genau wissen, welche Schwachstellen die einzelnen Softwarekomponenten mit sich bringen und diese in meinem Produkt möglichst schnell fixen.
Diese Referenzarchitekturen lassen sich ohne Probleme skalieren. Generell kann man sagen, wenn man sich strukturiert und frühzeitig mit den entsprechenden Themen beschäftigt und Standards setzt – wie etwa IEC62443 – kann man sich ähnlich wie in der Konstruktion einen Baukasten erarbeiten.
Automatisierte Produktionsumgebungen steigern Effizienz, erhöhen aber zugleich die Abhängigkeit von komplexen Systemen. Wo sehen Sie heute die größten strukturellen Schwachstellen?
Eine Schwachstelle, die ich häufig sehe, sind die Ziel- und Gewissenskonflikte zwischen IT und OT. Auf der einen Seite ist es vorteilhaft, wenn eine Anlage zur Fernwartung gut zugänglich ist, andererseits öffnet dies wiederum Einfallstore für Cyber-Kriminalität. Schwachstellen sind auch historisch gewachsene Systeme mit ungesicherten Komponenten, die nicht mehr im Fokus sind. In jedem Fall ist es immer gefährlich, wenn die Anlagenverfügbarkeit höher priorisiert wird als die Anlagensicherheit. Dabei besteht das Risiko, dass die Produktion im schlimmsten Fall durch Cyber-Kriminalität komplett lahm gelegt wird. Innovative Leichtbauweise & höchste Präzision: Der MPS 035L bietet flexibles Design, maximale Modularität und bis zu 500.000 Wechselzyklen. Perfekt für Maschinenbau, Kunststoffindustrie & Automation. Heben Sie Ihre Produktivität auf ein neues Niveau! ‣ weiterlesen
Roboter-Werkzeugwechsler MPS35L
Neuer MPS 35L erweitert die Stäubli Werkzeugwechsler-Baureihe
Dann kommt noch hinzu: Gerade kleinere Unternehmen merken häufig nicht schnell genug, wenn sie angegriffen werden. In der Regel wird ein Angriff über Wochen und Monate vorbereitet, das heißt, Angreifer befinden sich schon ebenso lange in den Systemen, bevor Firmen diese entdecken. Die Reaktion auf den Angriff erfolgt dann häufig zu spät, was dann wirklich zum Problem werden kann.
Reicht es aus, Security nachträglich in bestehende Automatisierungslandschaften zu integrieren – oder braucht es einen grundlegenden Paradigmenwechsel hin zu Resilience-by-Design?
Für Security ist es nie zu spät. Auch bei historisch gewachsenen Systemen lässt sich noch einiges geradebiegen, aber der Aufwand ist natürlich ungleich höher. Mein Rat ist es daher, das Thema Security von Anfang an tief in der DNA eines Unternehmens zu verankern.
Der Cyber Resilience Act, dessen erster Teil im September in Kraft tritt, stellt ganz klare Anforderungen zum Thema Secure-by-Design. Das Thema Security muss dann verpflichtend in die Entwicklungsprozesse und in die Architektur eines Produkts oder einer Lösung eingebaut werden. Hier sollten Unternehmen frühzeitig klare Standards etablieren, um potenzielle Angriffsvektoren systematisch zu reduzieren.
Allerdings muss klar sein, ein 100 Prozent sicheres System gibt es nicht. Daher ist es für die Resilienz eines Unternehmens wichtig, dass ein Angriff frühzeitig erkannt wird und dass das Unternehmen so auf den Angriff reagieren kann, dass nicht die gesamte Produktion lahm gelegt wird. Außerdem braucht es eine umfassende Recovery-Strategie – mit klaren Incident Response Playbooks und Business Continuity Management. Das hybride Greifsystem E-Gripper Wheel basiert auf Know-how aus über 200 installierten Anwendungen des international tätigen Anlagenbauers Eisenmann. ‣ weiterlesen
SMART & SMOOTH: Präzises Räderhandling
Wenn Sie auf die nächste Phase der Robotik blicken: Welche technologischen Entwicklungen werden diese Ihrer Einschätzung nach maßgeblich prägen?
Wie in vielen anderen Bereichen auch sehe ich in der Robotik KI als absoluten Treiber. Insbesondere Physical AI wird für bedeutende technologische Entwicklung sorgen. Außerdem wird das Thema Vernetzung und Softwaredominanz zunehmen. Wir werden kaum noch Systeme haben, die nicht softwarebasiert und vernetzt sind. Robotik wird weiter Bereiche erobern, die zuvor nicht wirtschaftlich sinnvoll waren, wie z.B. den privaten Bereich. Da wird es spannend, wie Unternehmen mit dem Kostendruck umgehen, der im Consumer-Bereich herrscht. Der Kostendruck sollte aber weder zu Lasten der Safety noch der Cyber Security gehen.
Physical AI verspricht adaptive, lernfähige Systeme, die stärker mit ihrer Umwelt interagieren. Welche neuen Security- und Safety-Herausforderungen entstehen dadurch konkret?
Durch Physical AI kommen Roboter in komplexere, unstrukturiertere Umgebungen und das bringt zahllose Risiken mit sich, die abgesichert werden müssen. Einen humanoiden Roboter in Bezug auf Safety und Security abzusichern, der für verschiedenste Anwendungen eingesetzt werden kann, halte ich für eine echte Herausforderung. Das Thema AI Security wird auch für viele Unternehmen eine Herausforderung sein. Auch hier gilt es, frühzeitig Strategien zu implementieren. Wird Physical AI kompromittiert, bringt das immense Risiken mit sich. Hier sind die Auswirkungen eines Cyber-Security-Angriffs kaum vorhersagbar.
Welchen Einfluss wird die neue Robotik-Norm und die EU-Maschinenverordnung auf die Entwicklungsrealität in der Industrie haben?
Diese regulatorischen Maßnahmen werden einen großen Einfluss haben. Hier kommen noch der CRA und die NIS2-Richtlinie hinzu. Cyber Security ist nicht mehr optional, sowohl was Produkt- und Lösungsentwicklung als auch was den Betrieb angeht. Sowohl die NIS2-Richtlinie als auch der Cyber Resilience Act verpflichten Unternehmen zur Meldung von Sicherheitsvorfällen, für den CRA tritt diese Regelung ab September in Kraft.
Welche strategischen Entscheidungen sollten Unternehmen heute treffen, um regulatorische Anforderungen nicht nur zu erfüllen, sondern langfristig Wettbewerbsvorteile daraus zu ziehen?
Unternehmen müssen sich bewusst machen: Wir leben jetzt und zukünftig in einer hochgradig vernetzten Welt. Und das Maß an Vernetzung wird noch zunehmen. Spätestens jetzt müssen Unternehmen Cyber Security von Anfang an berücksichtigen. Dafür kann es hilfreich sein, auf Unternehmen wie Cloudyrion zurückzugreifen, die Beratung und Tools liefern, um Cyber Security zu implementieren.
Die Aufgabe ist es, Cyber-Sicherheit mit technischen und organisatorischen Maßnahmen für ein Produkt herzustellen, auch um das Vertrauen der Kunden, die das Produkt später einsetzen, nicht zu verlieren. Resiliente Produkte, die über alle Anforderungen hinweg cybersecure sind, sind immer ein Wettbewerbsvorteil in dieser vernetzten Welt. Denn sie sichern Stabilität.
Wenn Sie eine zentrale Botschaft an Entscheider in der industriellen Robotik richten könnten: Welche Weichen müssen heute gestellt werden, um Automatisierung zugleich leistungsfähiger, sicherer und resilienter zu machen?
Sichere Automatisierung ist am Ende keine IT-Aufgabe, sondern eine Führungsentscheidung, die frühzeitig getroffen werden muss. Das wird besonders deutlich unter NIS2 – wo die persönliche Verantwortung und Haftung der Geschäftsführung klar definiert sind.
