CyberCompare

Cybersecurity bei Bosch: Aufbau und Best Practices | Experteninterview mit Arne Smolarz, Head of Manufacturing IT bei Bosch Powertools

Einleitung

Das Interview führt Philipp Pelkmann, CTO von CyberCompare mit Arne Smolarz, Head of Manufacturing IT bei Bosch Powertools. Wir befragen ihn zur internen Cyber-Absicherung bei Bosch.

Interview

Philipp: Lieber Arne, was ist denn Deine Rolle in der Digitalisierung der Fertigung bei Power Tools?

Arne: Ich bin verantwortlich für die Fertigungs-IT an unseren Produktionsstandorten. Das umfasst neben Innovationsthemen wie I4.0 und IoT auch die klassische Infrastruktur und damit vor allem die IT-Sicherheit.

Philipp: Was sind für Dich die aktuellen Herausforderungen bei der Umsetzung der Digitalisierungsstrategie?

Arne:

Erstens: Awareness & Committment. Wie schaffe ich es – vom Top-Management bis runter zum Bandmitarbeiter – die Leute für die Chancen der Digitalisierung zu begeistern und für die Risiken zu sensibilisieren. IT wird immer noch zu oft als reiner Kostenfaktor oder Zusatzaufwand gesehen.

Zweitens: Enablement.  Wenn das Interesse geweckt ist, müssen die Leute die Tools, die wir ihnen geben beherrschen und in der Lage sein, mit Ihnen Mehrwert zu erschaffen. Viel zu oft werden Dinge implementiert, aber dann nicht das volle Potenzial ausgeschöpft. Ein Rollout hört nach der Implementierung nicht auf, sondern fängt erst an!

Drittens: Prozess. Der klassische Fehler ist, Tools einzuführen bevor man sich klar ist, welche Geschäftsprozesse dahinter liegen. Wenn ich das nicht im Vorfeld klar habe, dann werde ich nie über Piloten hinauskommen. Im Fertigungsumfeld gibt es leider nur wenige Standards, so dass wir im Rahmen von IT-Projekten ganz oft erst einmal Prozesse etablieren müssen, bevor wir überhaupt über Digitalisierung reden.

Philipp: Wie baut ihr den Aspekt der Cyber Security in eure Strategie mit ein?

Arne: Die 3 Pfeiler unserer Digitalisierungsstrategie sind „Connected Manufacturing“, „Connected Tools“ und „IT Infrastructure & Security“. Damit ist es ein klares Kernelement unserer Strategie.

Dieses bezieht sich auch nicht mehr rein auf das Fertigungsumfeld (den Shopfloor) sondern wird von uns erweitert auf den gesamten Techniksektor in unseren Werken. Daher vollziehen wir gerade bewusst den Wandel von einer „Manufacturing IT“ Sicht hin zur „Industrial IT“, die im gesamten Werk die gleichen, hohen Standards gewährleistet.

Im Rahmen der Aktivitäten ist der Bereich Cybersecurity auch der, in dem wir gerade die meisten Ressourcen aufbauen.

Philipp: Auf welche Bereiche der Cyber Security setzt Ihr gezielt Fokus? Auf welche Angriffsarten im industriellen Umfeld bereitet Ihr Euch besonders vor?

Arne: Es gibt eine Vielzahl von Themen, die wir auf dem Schirm haben. Neben dem „Aufrüsten“ der Infrastruktur durch IDS Systeme, Firewalls etc., versuchen wir vor allem die Bereiche, die in der Vergangenheit eher vernachlässigt wurden mit einem „Grundschutz“ zu versehen. Im Sinne des „schwächsten Gliedes“ in der Kette muss es uns gelingen das 1 Mal 1 der IT-Sicherheit in 100% der Infrastruktur zu verankern. Was nützt mir das Sicherheitsschloss in der Sicherheitstür, wenn das Fenster offen steht. Das Kernelement zum Erfolg ist hier eine saubere Risikoanalyse all unserer Standorte.

Was die Angriffsarten angeht, so ist es aktuell sicherlich das Thema „Ransomware“ was uns umtreibt. Ich bin mir aber sicher, mit steigender Transparenz und besseren Abwehrsystemen werden wir erst sehen, welche „passiven“ Angriffe schon in der Vergangenheit verübt wurden und wo es ggf. schon heute Backdoors in unsere Systeme gibt. Dann wird das Thema „IP Theft“ sicherlich nochmal eine ganz andere Dimension bekommen.

Philipp: Kannst Du hier ‚good practices‘ teilen und Vorgehen, die sich in der Praxis bewährt haben?

Arne:

1. Immer das ganze System betrachten

2. Risikobasierter Ansatz. Bedeutet: nicht alles auf einmal – Fokus auf das Wesentliche.

3. Fokus auf den Grundschutz legen. Es gibt einige grundlegende Maßnahmen, die ich sofort und überall einsetzen kann, um mich bereits vor den vielen Risiken schützen zu können.

Philipp: Wie ist Dein Ausblick auf das Thema industrielle Cyber Security?

Arne: Ich habe neulich ein schönes, wenn auch provokantes Zitat gelesen:  “If you spend more on coffee than on IT security, you will be hacked. What’s more, you deserve to be hacked”.

Wir müssen einfach begreifen, dass CyberSecurity, I4.0 und IoT zwei Seiten der gleichen Medaille sind. Zu digitalisieren, ohne sich über Sicherheit Gedanken zu machen ist nicht nur fahrlässig, es ist leichtsinnig. Man muss nur mal in die Zeitung schauen, dann wird man sehen, dass Thema Cybersecurity wird im Bereich der Industrie nicht mehr wegzudenken sein.

Disclaimer

Das Interview wurde am 17. März 2021 auf cybercompare.de veröffentlicht. Wir freuen uns über Fragen, Anregungen und Kommentare auf LinkedIn.