„Sicherheit entsteht durch ein abgestimmtes Bündel technischer und organisatorischer Maßnahmen“

Die zunehmende Vernetzung von Produkten und der verstärkte Einsatz von Cloud-Technologien eröffnen neue Möglichkeiten, bringen jedoch auch steigende Sicherheitsanforderungen mit sich. Unternehmen müssen sich nicht nur vor Cyberangriffen schützen, sondern auch regulatorische Vorgaben umsetzen und IT-Sicherheit in ihre Produktentwicklung und Geschäftsprozesse integrieren. Wo die größten Herausforderungen liegen und wie Strategien für mehr Sicherheit aussehen können, erklären Dr. Matthias Meyer und Dr. Markus Fockel vom Fraunhofer IEM.

Herr Meyer, das Technologienetzwerk it’s OWL hat eine Fokusgruppe mit dem Namen „Secure Software & Cloud Computing“ ins Leben gerufen. Wofür steht diese Bezeichnung und welche Ziele möchten Sie mit dieser Initiative erreichen?

Dr. Matthias Meyer: „Secure Software & Cloud Computing“ steht für eine Entwicklung, die viele Unternehmen unmittelbar betrifft: Produkte werden softwarebasierter, stärker vernetzt und zunehmend durch Cloud-Services ergänzt. Damit betrifft Cybersicherheit über die Unternehmens-IT hinaus immer stärker die Produktentwicklung, den Betrieb und den Lebenszyklus eines Produkts.

Mit der Fokusgruppe unterstützen wir Unternehmen dabei, diese Anforderungen systematisch anzugehen. Im Mittelpunkt stehen sichere Cloud-Services, vernetzte Produkte und die Frage, wie EU-Regularien wie der Cyber Resilience Act oder NIS-2 praxisnah umgesetzt werden können. Cybersicherheit ist dabei nicht nur Pflicht, sondern Voraussetzung für vertrauenswürdige digitale Produkte und stabile Prozesse. Die Fokusgruppe schafft Raum, um Sicherheitsstrategien zu bewerten, Erfahrungen zu teilen und übertragbare Lösungen zu entwickeln.


„Cybersicherheit ist nicht nur IT-Aufgabe, sondern Management-, Entwicklungs- und Organisationsaufgabe.“


Die Zahl neuer Regularien und Sicherheitsanforderungen steigt angesichts der wachsenden Bedrohungen durch Cyberangriffe. Wie gut sind die Unternehmen auf deren Umsetzung vorbereitet?

Dr. Markus Fockel: Das Bild ist gemischt. Viele Unternehmen haben erkannt, dass Cybersicherheit ein strategisches Thema ist. Größere Unternehmen oder Betriebe mit kritischen Produkten, internationalen Kunden und regulierten Märkten arbeiten bereits intensiv an Risikomanagement und Compliance. Gleichzeitig bleibt die Umsetzung für viele Unternehmen anspruchsvoll, besonders im Mittelstand.

Die Herausforderung liegt weniger darin, dass einzelne Schutzmaßnahmen unbekannt wären. Schwieriger ist es, Cybersicherheit dauerhaft in Entwicklungsprozesse, Lieferketten, IT-Architekturen und Verantwortlichkeiten zu integrieren. Unternehmen müssen wissen, welche Produkte betroffen sind, welche Softwarekomponenten eingesetzt werden, wie Updates bereitgestellt werden und wer im Ernstfall entscheidet. Deshalb ist Cybersicherheit nicht nur IT-Aufgabe, sondern Management-, Entwicklungs- und Organisationsaufgabe.

Wo liegen aktuell die Bedrohungen bzw. Herausforderungen, wenn es um den Schutz digitaler Produkte und Unternehmensprozesse vor Cyberbedrohungen geht?

Dr. Matthias Meyer: Eine zentrale Herausforderung ist die wachsende Angriffsfläche. Maschinen, Produkte, Unternehmens-IT, Cloud-Plattformen, mobile Anwendungen und externe Dienstleister sind immer stärker miteinander verbunden. Jede Schnittstelle kann ein Einfallstor sein. Gleichzeitig bleiben viele industrielle Systeme über Jahre im Einsatz, während sich Angriffsmethoden und Sicherheitsanforderungen schneller verändern.

Besonders kritisch sind veraltete Softwarekomponenten, Angriffe über Lieferketten und fehlende Transparenz im laufenden Betrieb. Wer nicht weiß, welche Komponenten eingesetzt werden, welche Daten wohin fließen und welches Verhalten ungewöhnlich ist, erkennt Angriffe oft zu spät. Cybersicherheit beginnt deshalb mit Transparenz über Systeme, Abhängigkeiten und Risiken.


„Der wichtigste Grundsatz lautet: Sicherheit darf nicht erst am Ende geprüft werden. Sie muss von Beginn an Teil der Produkt- und Serviceentwicklung sein.“


Wie könnte eine Methode bzw. Strategie aussehen, um sichere Produkte und Cloud-Services zu entwickeln?

Dr. Matthias Meyer: Der wichtigste Grundsatz lautet: Sicherheit darf nicht erst am Ende geprüft werden. Sie muss von Beginn an Teil der Produkt- und Serviceentwicklung sein. In der Praxis bedeutet das Security by Design. Am Anfang steht eine Risiko- und Bedrohungsanalyse: Welche Funktionen hat das Produkt? Welche Daten verarbeitet es? Welche Schnittstellen gibt es? Welche Angriffe sind realistisch? Daraus werden Sicherheitsanforderungen für Hardware, Software, Cloud-Architektur und Betrieb abgeleitet.

Für Cloud-Services müssen Verantwortlichkeiten klar geregelt werden: Was übernimmt der Anbieter, was bleibt Aufgabe des Unternehmens, und wie werden Zugriffe, Datenflüsse und Sicherheitsvorfälle überwacht? Eine tragfähige Strategie verbindet Technik mit Governance und legt fest, wer Risiken bewertet, über Updates entscheidet, Schwachstellen behandelt und Erkenntnisse aus dem Betrieb in die Entwicklung zurückführt.

Welche technischen Maßnahmen können zu mehr Sicherheit von Cloud-Services und vernetzten Produkten beitragen?

Dr. Markus Fockel: Es gibt nicht die eine Maßnahme, die alles löst. Sicherheit entsteht durch ein abgestimmtes Bündel technischer und organisatorischer Maßnahmen in Anbetracht einer Risikoeinschätzung. Bei vernetzten Produkten sind Minimierung der Angriffsfläche und abgesicherte Schnittstellen, zum Beispiel durch verschlüsselte Kommunikation oder starke Authentifizierung, Schwachstellenmanagement und sichere Update-Mechanismen besonders wichtig.

Bei Cloud-Services spielen Identitäts- und Zugriffsmanagement, Mehr-Faktor-Authentifizierung, Verschlüsselung, Protokollierung, Monitoring und eine saubere Trennung von Systemen und Daten eine zentrale Rolle. Für industrielle Anwendungen ist außerdem Resilienz entscheidend: Unternehmen müssen handlungsfähig bleiben, auch wenn einzelne Systeme ausfallen oder angegriffen werden. Dazu gehören Backups, Wiederanlaufpläne, Netzwerksegmentierung und Angriffserkennung.

Wo sehen Sie die Vorteile Ihrer Fokusgruppe, gemeinsam resiliente Sicherheitsstrategien zu entwickeln?

Dr. Markus Fockel: Der größte Vorteil liegt im gemeinsamen Lernen. Viele Unternehmen stehen vor ähnlichen Fragen, müssen aber nicht jede Antwort allein entwickeln. In der Fokusgruppe bringen sie konkrete Herausforderungen ein, diskutieren sie mit anderen Betrieben und erhalten Impulse aus Forschung und Praxis. Das ist wertvoll, weil Cybersicherheit kein isoliertes Thema ist. Vernetzte Produkte, Cloud-Services und Lieferketten verbinden Unternehmen miteinander.

Gerade bei neuen Regularien entsteht Interpretationsbedarf: Welche Anforderungen gelten für mein Produkt? Wie tief muss eine Risikoanalyse gehen? Welche Nachweise werden künftig erwartet? Solche Fragen lassen sich im Austausch praxisnäher beantworten. Für it’s OWL ist das ein typischer Netzwerkauftrag: Wissen aus Forschung und Unternehmenspraxis zusammenbringen und daraus Ansätze entwickeln, die auch für andere Unternehmen nutzbar werden.

Können Sie ein Beispiel nennen, das die IT-Sicherheit und Cloud Resilience in der Praxis verbessert hat?

Dr. Markus Fockel: Ein gutes Beispiel ist das it’s OWL Projekt IoT-ScuBA. Dort haben wir vom Fraunhofer IEM mit Diebold Nixdorf und Miele daran gearbeitet, die Entwicklung und Pflege sicherer IoT-Systeme zu erleichtern. Betrachtet wurden unter anderem vernetzte Saugroboter von Miele und die Sicherheit von Geldautomaten von Diebold Nixdorf.

Der Ansatz verbindet Bedrohungsanalysen mit Angriffsdetektion – und zwar zyklisch: Der praktische Nutzen liegt darin, dass Sicherheit nicht als einmalige Prüfung verstanden wird, sondern als kontinuierlicher Prozess. Es geht darum, mögliche Bedrohungen zu ermitteln und daraus Schutzmechanismen für Hardware, Software und Prozesse abzuleiten, zum Beispiel die Angriffsdetektion. Im Betrieb erkannte Angriffe werden dann in die Bedrohungsanalyse zurückgespielt, um dort mit Wissen aus dem Feld, nicht nur nach Bauchgefühl, die Bedrohungslage und Schutzmechanismen kontinuierlich neu zu bewerten und anzupassen.

spot_img

Weitere Beiträge

mawi PremiumPartner