Keywords
Bosch Rexroth, ctrlX automation, Automatisierung, Industrie 4.0, ctrlX OS, Linux, Cyber Resilience Act, CRA, Cyberresilienz, IoT, Nutzermanagemet
Zusammenfassung
Hans-Michael Krause von Bosch Rexroth erklärt am Beispiel der Automatisierungsplattform ctrlX, wie Hersteller digitaler Industriekomponenten die Anforderungen des EU Cyber Resilience Act erfüllen können. Er blickt auf die aktuelle Awareness in der Automatisierungsindustrie und gibt Argumente, warum Open Source die beste Option für die Softwareentwicklung darstellt. Abschließend gibt er praktische Tipps an produzierende Betriebe, worauf sie bei der Bewertung von Komponentenanbietern achten sollten.
Kernargumente
Der Cyber Resilience Act (CRA) ist die schönere Gesetzgebung, denn sie stellt Resilienz in den Mittelpunkt.
Die höhere Konnektivitätsrate der industriellen Anlagen zwingt zu mehr Cybersicherheit in industriellen Umgebungen.
Das Problem ist: die Automatisierung liegt gegenüber der IT gefühlt 20 Jahre zurück.
Viele Unternehmen sind sich der Tragweite des CRA nicht bewusst.
Cybersicherheit in der OT beginnt bei einem granularen Nutzerverwaltung, Zertifikatsmanagement, Verschlüsselung und restriktivem Portmanagement.
Ein Betriebssystem mit (zu) vielen Sicherheitsoptionen kann auch die Komplexität und damit vererbte Unsicherheit erhöhen.
Open Source bietet Transparenz und Designfreiheiten, um die Angriffsfläche von Anfang an zu reduzieren.
Unternehmen, die digitale industrielle Komponenten einkaufen, müssen klare Anforderungen an sich intern und an die Hersteller geben.
Anlagenbetreiber sollten sicherstellen, dass sie alle Netzwerkkomponenten sowie die genutzten und nutzbaren Ports kennen und dokumentieren.
Gut gesagt
Der Cyber Resilience Act betrifft alle: Komponenten- und Softwarehersteller, Maschinenbauer und Maschinenbetreiber.
Das ist wie eine Zeitreise, wenn du in die Automatisierung gehst.
Vielen sehen das Thema CRA noch wie die Jahr-2000-Umstellung und hoffen, mit einem blauen Auge davonzukommen.
In unseren Systemen kannst du halt nicht einfach nur das Geburtsdatum deiner Tochter als Passwort wählen.
Modbus kann man als Feldbus-Protokolle einfach viel zu einfach manipulieren.
Ich erwarte von Anlagenherstellern, dass sie State-of-the-Art-Technologie verwenden und eben keine Steuerung, die irgendwann in den 90er Jahren oder in den Nullerjahren entwickelt wurde.
Es braucht nur eine nicht dokumentierte Schnittstelle, um einen Angriff zu übersehen.
Kapitel
00:00 Vorstellung
00:50 Was ist der Cyber Resilience Act (CRA) und was ist die NIS2?
03:40 Wen betrifft der CRA und warum ist er für Bosch Rexroth relevant?
05:05 Die Realität der Cybersicherheit in industriellen Umgebungen
06:03 Wie ist die Wahrnehmung zum CRA in der Industrie?
07:32 Seit wann beschäftigt sich Bosch Rexroth mit industrieller Cybersicherheit?
09:00 Elemente der Cybersicherheit in OT-Komponenten
10:32 Komplexe Software vs. einfache Designprinzipien in Linux
13:20 Transparenz in Open Source Software und Device Management
14:34 Umgang mit Bestandssystemen und Verbindung zur IEC 62443
17:03 Wie gut ist der Markt auf die Anforderungen des CRA vorbereitet?
20:50 Empfehlung für produzierendes Gewerbe beim Einkauf neuer digitaler Komponenten
24:40 Der einfachste Einfallswinkel
