Bericht vom Treffen der Gruppe IT-Security-Management am 20. März 2025 bei STIHL im Werk 4 in Prüm-Weinsheim in der Eifel.

Eines der modernsten Magnesium Druckgusswerke Europas war im März Treffpunkt der mbuf Gruppe IT-Security-Management. STIHL fertigt in seinem Werk 4 in der Eifel zum Beispiel die Kurbelgehäuse für die weltbekannten STIHL Motorsägen – und das mit einer Technologie, die bislang weltweit einzigartig ist. Bereits am Vortag zum eigentlichen Gruppentreffen gab es nachmittags ein Come Together der Teilnehmer mit einer beeindruckenden über zweieinhalbstündigen Werksführung.

Das anschließende gemeinsame Abendessen im Prümer „Kölner Hof” gab Gelegenheit, sich über das Gesehene zu unterhalten und bereits vor den Vorträgen und Diskussionen am Folgetrag intensiv ins Gespräch zu kommen. Aus dem Kreis der Teilnehmer wurde auch diesmal wieder betont, wie wertvoll gerade auch diese Vorabendtreffen sein können, da man sich losgelöst von jeglicher Agenda über aktuelle Themen und Herausforderungen austauschen kann.

Der neu ernannte Co-Gruppenleiter Max Gutberlet (er ersetzt Thorsten Hamers, der aus Ressourcengründen das Amt aufgab, aber weiter in der Gruppe mitarbeiten wird) konnte 26 Teilnehmer aus 14 mbuf Mitgliedsunternehmen begrüßen. Eine Nachfrage ergab, dass diese 14 Unternehmen rund 110.000 Microsoft Lizenzen entsprechen – eine beachtliche Zahl! 

Nach der Eröffnung des Treffens zum Thema „OT-Security – Lösungsansätze und praktische Umsetzung“ durch Co-Gruppenleiter Andreas Sternberg begann der Tag mit einem Vortrag von Max Gutberlet, der darauf einging, ob und wenn ja, wie das klassische Perdue-Modell noch zeitgemäß sei (siehe hierzu auch einen Beitrag des Security Insider bereits aus dem Jahr 2023). Als CISO der Rotkäppchen-Mumm-Gruppe trägt er Verantwortung nicht nur für die IT-Sicherheit, sondern auch für die in der Vergangenheit oftmals vernachlässigte OT-Sicherheit. Und gerade im Bereich der Operation Technology (OT) hat sich in den letzten Jahren sehr viel verändert: 

• Die Fertigungsmaschinen in der Produktion sind „intelligenter“ geworden 
• Die Kommunikation über Modbus-, Profibus- oder Open-Platform-Communication (OPC)-Protokolle ist vielfältiger geworden und hat deutlich zugenommen 
• Die Fertigungsmaschinen kommunizieren mit Systemen aus der IT (z.B. ERP-Systemen) 
• Die Fertigungsmaschinen kommunizieren auch mit der Cloud (bspw. im Rahmen von Predictive Maintenance)  

Anders ausgedrückt: Früher konnte man davon ausgehen, dass es eine „kaufmännische“ IT gab und parallel dazu eine OT (oft auch Produktions-IT genannt). Die Informationsflüsse zwischen diesen beiden Welten waren gering. Die Verantwortlichkeiten klar getrennt. Das Thema IT-Security war oft nur im Bereich der kommerziellen Datenverarbeitung präsent, die OT wurde als Blackbox mit geringen Sicherheitsanforderungen gesehen. Heute ist die Produktion mit all ihren Maschinen und Sensoren Teil der gesamten Informationsverarbeitung und insbesondere die Security-Themen sind bis hin zu Zero Trust Ansätzen unternehmensweit zu betrachten. 

Erschwerend kommt hinzu, dass viele Fertigungsmaschinen über proprietäre, herstellerspezifische Schnittstellen verfügen und die Hersteller sich nur ungern in die Karten schauen lassen, soweit es die Maschinensteuerung betrifft. Hier ist künftig eine intensive Zusammenarbeit mit den Herstellern unabdingbar, auch wenn dies zu zusätzlichen Investitionen, wie zum Beispiel Anpassungen in der Maschinensoftware, führt. 

Spätestens mit NIS2 (das NIS2 Umsetzungsgesetz wird voraussichtlich in Q4 2025 in Deutschland in Kraft treten) und dem EU Cyber Resilience Act (CRA) sind die Unternehmen in der Pflicht, auch die OT im Hinblick auf Security-Aspekte zu durchleuchten (OT-Security). NIS2 und CRA werden damit zum Treiber. Aus einem „kann“ wird ein „muss“, was in vielen Unternehmen auch begrüßt wird. IT-Security und OT-Security werden hierbei immer weiter zusammenwachsen. 

Seitens Microsoft war René Delbé, Worldwide Sustainability Community Chapter Lead, angereist. In seinem Vortrag ging er auf die Lösungsangebote von Microsoft im Bereich OT-Security ein. Hier ist in erster Linie der Microsoft Defender for IoT zu nennen. Leider wurde im Rahmen der Diskussion zu diesem Vortrag deutlich, dass viele Fragen offenbleiben würden. Es entstand unter den Teilnehmern der Eindruck, dass das Thema OT-Security bei Microsoft noch nicht den Stellenwert hat, der aufgrund der Erfordernisse nach NIS2 und CRA diesem Themenbereich zuzumessen wäre.  

Daniel Künzli, Senior Security Specialist OT EMEA bei Tenable, einem weltweit führenden Unternehmen im Bereich Exposure Management, ging in seinem Vortrag zunächst darauf ein, mit welchen Angriffsszenarien Unternehmen rechnen müssen. Dabei wurde noch einmal deutlich, dass alle Verbindungen nach außen gleichzeitig auch Einfallstore für Angriffe sein können – also auch Systeme aus dem Bereich Operation Technology. Tenable stellt mit Tenable One T1 eine KI-gestützte Exposure-Management-Lösung und mit Tenable OT Security eine Lösung speziell für den OT-Bereich bereit. Nicht nur weil Tenable auch in der Rotkäppchen-Mumm-Gruppe eingesetzt wird und daher konkrete Anwendungsszenarien besprochen werden konnten, entspann sich eine rege, tiefergehende Diskussion. Da Daniel Künzli als Senior Security Specialist OT auch operativ im Einsatz ist, konnte er mit hoher Expertise Rede und Antwort stehen und Erkenntnisse aus der Praxis weitergeben. 

Der vierte und letzte Vortrag des Tages wurde von Co-Gruppenleiter Norbert Breidohr beigesteuert, der verhindert war und deshalb online zugeschaltet wurde. Er stellte ein OT-Projekt vor, das bei seinem Arbeitgeber STIHL seinen Ursprung in einer Masterarbeit hatte. Bei STIHL geht man weiterhin von einer Trennung von IT und OT aus, ohne dabei die OT-Sicherheitsrisiken aus dem Auge zu verlieren. Besonders hohen Wert legt man bei STIHL auf die Ausfallsicherheit von Systemen, was durch diesen Ansatz untermauert wird. Man nimmt dafür in Kauf, dass doppelte Strukturen bei Firewalls, DMZ-Einrichtungen oder sogar bei der Anlage des Active Directory eingerichtet und gepflegt werden müssen. 

Die abschließende Feedback-Runde brachte noch ein paar Erkenntnisse, die nicht unerwähnt bleiben sollen: 

• Viele Unternehmen entdecken erst jetzt – getrieben durch NIS2 und CRA – das wichtige Thema OT-Security 
• NIS2 macht keine Unterschiede zwischen IT und OT! 
• Allein schon von den 14 teilnehmenden Unternehmen fallen 12 unter die Vorgaben von NIS2, was die Relevanz für die deutsche Wirtschaft aufzeigt 

Daher wird NIS2 mit all seinen Auswirkungen auch künftig Thema in der Gruppe IT-Security-Management sein. Ein weiteres Präsenztreffen der Gruppe IT-Security-Management ist für Mitte Juli vorgesehen. Sie sind an einer Mitarbeit in dieser Gruppe interessiert und möchten am Erfahrungsaustausch teilhaben? Dann wenden Sie sich bitte an die Geschäftsstelle (info@mbuf.de).