Wer ist für die Security verantwortlich? GF von Pilz Österreich, Ing. David Machanek, gibt im Videocast-Gespräch Antworten

„Derzeit findet ein sogenannter Paradigmenwechsel statt. Die Frage, ob die Maßnahmen, die ich gesetzt habe, immer noch passen, muss ich mir durchgehend stellen und sie neu beurteilen lassen. Dazu gehört auch, Mitarbeitende entsprechend für Safety und auch Security zu sensibilisieren.“ Ing. David Machanek, Geschäftsführer von Pilz Österreich

Vorschriften für etwaige Security-Maßnahmen durch Richtlinien und verschärfte Gesetzeslagen lassen Unternehmen nicht nur aufhorchen, sie müssen entsprechend handeln – und zwar jetzt. Dennoch gibt es Betriebe, die eher zögerlich Maßnahmen pro Sicherheit setzen. Ist dieser Umstand für ein Unternehmen wie Pilz Österreich, das sich mit Safety, aber eben auch Security beschäftigt, ein Grund zum Verzweifeln, Herr Machanek?

Aus meiner Sicht ist Verzweiflung generell ein schlechter Ratgeber. Gleichzeitig habe ich nicht das Gefühl, dass die betroffenen Firmen bzw. unsere Kunden das Thema Security, aber auch Safety, auf die leichte Schulter nehmen. Denn: Die vergangenen zwei Jahre haben wir mit unserer „Safety & Security on Tour“-Roadshow sehr gute Erfolge verzeichnen und ein gewisses Stimmungsbild einfangen können.

Eine 100%ige Sicherheit gibt es nicht, dennoch kann Pilz dabei unterstützen, diese bestmöglich zu erreichen.

Was besagt dieses Stimmungsbild?

Zahlreiche Besucher unserer Veranstaltungen haben allein durch ihre Präsenz gezeigt, dass sowohl das Thema Security als auch Themen rund um die neue Maschinenverordnung etc. auf offene Ohren stoßen. Wir konnten die höchsten Teilnehmerzahlen bei unseren Roadshows verzeichnen und das zeichnet den Erfolg und das Interesse ab. Ehrlich gesagt sind wir es als Unternehmen Pilz auch gewohnt, eine gewisse Botschafterrolle einzunehmen und insofern scheuen wir keinerlei Mühen, dieser auch gerecht zu werden und mit der Informationsweitergabe gezielt am Ball zu bleiben.

Generell steht das Unternehmen Pilz mit seinen Sicherheitsexperten auch dafür, für sichere Maschinen und die maximale Verfügbarkeit von Anlagen zu sorgen. Dieses Angebot gehört seit Jahrzehnten zum Unternehmen. Rückblickend seid Ihr aus einer etwas anderen Richtung groß geworden. Wie hat sich das Portfolio von Pilz über die Jahrzehnte entwickelt und wo setzt Ihr heutzutage verstärkt den Fokus?

Pilz Österreich bietet seit 20 Jahren Dienstleistungen für den Kunden an und somit feiern wir heuer diesbezüglich ein Jubiläum. Entstanden ist dieses Angebot unter anderem auch aus den Rückmeldungen der Kunden, die von Beginn an immer nach Risikoanalysen bzw. -beurteilungen neben unserem weiteren Angebot an Hardware gefragt haben. Pilz hat sich in den vergangenen 20 Jahren somit zum Komplettanbieter in der Maschinensicherheit entwickelt. Unser Dienstleistungsportfolio ist dabei nun fixer Bestandteil. Dies ist eine klare Erfolgsgeschichte von Pilz. Unsere Experten schnüren für unsere Kunden ein Gesamtpaket, welches Safety und Security abdeckt und nehmen ihnen eine große Last im Produktionsalltag ab.

Was Pilz Österreich neu im Portfolio anbietet, ist das Industrial Security Consulting Service. Worum handelt es sich bei diesem Angebot und wen adressiert es?

Grundsätzlich haben wir den Bedarf am Markt erkannt und dieses sehr wichtige Thema aufgegriffen. Es stehen ja nicht nur die Maschinenverordnung und NIS2 an, die Zukunft fordert uns hinsichtlich der Security enorm. OT-Security wird dabei ein Bestandteil der neuen Maschinenverordnung werden, das ist fix. Doch was – abhängig von der Produktion, Anlage, Prozess – im Detail auf unsere Kunden zukommt, kann im Rahmen unseres Angebotes analysiert und strukturiert angegangen werden. Oft stellt sich die Frage, wer für diese Agenden im Unternehmen überhaupt zuständig ist. Wir bieten die Möglichkeit an, in mehreren Stufen dieses Thema intern zu analysieren und strukturiert aufzurollen.

Was bedeutet das konkret?

Das heißt, wir als Sicherheitexperten schauen zunächst einmal, welche Normen bzw. Vorschriften es beim jeweiligen Kunden umzusetzen gibt. Darauf folgt die sogenannte Risikoanalyse. Hier wird gezielt eruiert, um welche möglichen Gefahrenquellen es sich im vorliegenden Fall handelt, welche Bedürfnisse im Raum stehen in Hinblick auf Securitymaßnahmen usw. Im Anschluss stellen wir dann ein fertiges Konzept vor. Dieses legt fest, inwiefern man, basierend auf dem, was der Kunde benötigt, größtmöglich verhindern kann, dass einem potenziellen Angreifer Möglichkeiten geboten werden, sein Ziel zu erreichen. Das Ziel ist es, die Maschinen und Anlagen vor Angriffen zu schützen und den daraus resultierenden möglichen Schaden zu verhindern. Schlussendlich folgt die sogenannte Verifikation. Hier geht es darum, die entsprechend der Risikoanalyse festgelegten Sicherheitsmaßnahmen nach der Umsetzung zu prüfen.

Es handelt sich also um insgesamt vier durchzuführende Module, die ein Schutzpaket für den Kunden im Rahmen Eures Dienstleistungspaketes schaffen: die Schutzbedarfsanalyse, die Industrial Security-Risikoanalyse, das Industrial Security-Konzept und die abschließende Industrial Security-System-Verifikation. In welchem Zeitrahmen findet die Umsetzung statt?

Das ist pauschal schwer einzuschätzen und kommt ganz individuell auf den Kunden und seine Parameter an. Als Einstiegsmöglichkeiten bieten wir sogenannte Baseline Workshops an. So kann man schnell eine erste Einschätzung abgeben.

Wer ist in den Unternehmen für die Umsetzung oder Durchführung der Maßnahmen zuständig? Gehört diese Definition ebenfalls zum Angebot oder müssen sich die Unternehmen diese Frage vorher allein stellen?

Es hilft auf jeden Fall genauer zu definieren, wer intern die verantwortlichen Positionen abdecken könnte. Durch den Austausch mit den einzelnen Mitarbeitenden kann bereits der Zuständigenkreis erweitert werden. Das heißt, die Unternehmen holen auch Kollegen mit dazu, die sich mit dem Thema IT-Security befassen. In Folge steht noch klarer fest, wer gewisse Verantwortlichkeiten trägt oder tragen könnte bzw. wie Verantwortlichkeiten definiert werden.

Welchen konkreten Wettbewerbsvorteil habe ich als Unternehmen nach erfolgreicher Absolvierung Eures Angebotes gegenüber anderen am Markt? Oder habe ich „einfach gesagt“ lediglich das „Soll“ erfüllt und intern Zuständigkeiten zugeordnet?

Ich glaube, es ist von beidem etwas. Bis zu einem gewissen Grad ist es notwendig und auch eine Pflicht, Security umzusetzen – gerade in Bezug auf die Maschinenverordnung und NIS2. Weiters ergibt sich ein eindeutiger Wettbewerbsvorteil, wenn man gegenüber anderen dieses wichtige Thema schon möglichst früh in den Fokus rückt und Maßnahmen umsetzt, denn: Safety und Security sind ein Garant für Verfügbarkeit und die wiederum ist ein Teil der Profitabilität. Das ist dem Kunden wichtig. Dieser möchte Maschinen betreiben, die produzieren. Er möchte Maschinen einsetzen, um Geld zu erwirtschaften und jede Einschränkung ist selbstredend unerwünscht.

Gibt es Referenzen, die Sie nennen können?

Wir haben beispielsweise mit der Firma igm aus Wiener Neudorf (NÖ) unseren ersten großen Security-Dienstleistungsauftrag durchgeführt. Dort erkannten die Verantwortlichen, wie wichtig es ist, rechtzeitig mit der Zustandsanalyse zu beginnen. Der Zeitaufwand kann groß sein, je mehr man ins Detail gehen muss und einzelne Prozesse genauestens unter die Lupe nimmt. Ansonsten ergeben sich auch auf den eingangs erwähnten Roadshows immer wieder Neukundengespräche bzw. Interesse an unserem Angebot.

Provokant gefragt: Kann man als Unternehmen irgendwann davon ausgehen, dass man zu 100 % secure ist oder gibt es diese Idealvorstellung in der Praxis gar nicht?

Ich glaube, dass eine 100-prozentige Sicherheit nie hergestellt werden kann, aber ich kann mit einer guten Intention und mit den entsprechenden Maßnahmen, ein sehr hohes Maß an Security herstellen, sodass es für einen potenziellen Angreifer nicht mehr rentabel ist, mich überhaupt zu attackieren.

Somit lautet die Empfehlung: immer einen Schritt vorauszudenken?

In der Vergangenheit war es doch so: Sobald eine Maschine hinsichtlich ihrer Safety-Aspekte fertig konstruiert war, wurde sie abgenommen und lief. Nun kommt immer mehr Security und gleichzeitig eine Risikobeurteilung zum Arbeitsablauf hinzu. Täglich werden zig Angriffe abgewehrt und neue Sicherheitslücken entdeckt. Es findet ein sogenannter Paradigmenwechsel statt. Die Frage, ob die Maßnahmen, die ich gesetzt habe, immer noch passen, muss ich mir durchgehend stellen und sie neu beurteilen lassen und da gehört es einfach auch dazu, die Unternehmer und Mitarbeiter entsprechend zu sensibilisieren – beim Thema Safety und eben auch bei der entsprechenden Security.

Kann man abschließend sagen, dass sämtliche Digitalisierungsmaßnahmen im Rahmen von Industrie 4.0, die Unternehmen bereits in ihren Produktionen zukunftsträchtig einsetzen, inklusive der besprochenen Security-Maßnahmen, gemeinsam ein Ziel vor Augen haben, nämlich: die Smarte Produktion?

Definitiv. Meine persönliche Interpretation einer Smarten Produktion schaut so aus, dass mit möglichst wenig Aufwand, ein möglichst hoher Output zu erzielen ist. Das heißt, es gibt zwei Garanten dafür, wie ich Verfügbarkeit gewährleisten kann: zum einen Security und zum anderen Safety. Sobald eine dieser beiden Konstanten nicht gegeben ist, ist die Verfügbarkeit nicht vorhanden und damit ist natürlich auch der Profit weg. In Folge ist eine Produktion ohne Safety und ohne Security nicht mehr smart.

Vielen Dank für das Gespräch!