Branchenexperten diskutieren auf der Bauma 2025 über Cybersicherheit von Geräten

Die Diskussionsteilnehmer beim Cybersecurity-Roundtable (v.l.n.r.): Marcus Hiemer, ZF Group; Johannes Hipp, VDMA; Roman Hofmann, Liebherr; Chris Sleight, Off-Highway Research; Laura Fiumara, CECE. (Bild: KHL Group)

Wir leben in einer Zeit, in der wir kaum jemals ohne Internet verbunden sind. Nahezu jeder Schreibtisch an jedem Arbeitsplatz verfügt über einen vernetzten Computer, in jeder Tasche findet sich ein Smartphone, und unzählige Hände hantieren unentwegt mit Tablets.

Diese Konnektivität erstreckt sich mittlerweile auch auf Maschinen. Das sogenannte Internet der Dinge (IoT) ermöglicht es beispielsweise, dass ein Gerät den Bediener über einen möglichen Fehlerzustand informiert oder ein OEM ein drahtloses Firmware-Upgrade bereitstellt, das neue Funktionen freischaltet.

Diese Vernetzung macht es skrupellosen Kriminellen außerdem leicht, Daten – und sogar die Geräte selbst – elektronisch zu kapern.

„Heute haben wir es mit einer großen Menge miteinander verknüpfter Daten zu tun“, sagte Marcus Hiemer, Senior Manager für Elektronik im Off-Highway-Bereich der ZF Group. „Daher ist es wichtig, die Daten zu sichern und dabei insbesondere ihre Vertraulichkeit, Verfügbarkeit und Integrität zu gewährleisten.“

Hiemer äußerte sich im Rahmen einer Podiumsdiskussion zum Thema Cybersicherheit am ZF-Stand während der Bauma 2025. Moderiert wurde die Diskussion von Julian Buckley, dem Herausgeber von Power Progress International , an der sich Hiemer mehrere weitere Branchenexperten beteiligten:

• Laura Fiumara, Digital Policy Manager, Ausschuss für Europäische Baumaschinen (CECE)
• Johannes Hipp, Fachsprecher, VDMA
• Roman Hofmann, Produktsicherheitsbeauftragter, Liebherr
• Chris Sleight, Geschäftsführer, Off-Highway Research

Die Situation verstehen

Fiumara sprach über die aktuellen Cybersicherheitsbedrohungen für Geräte.

„Ich kann nur sagen, dass die Anzahl der Cyberangriffe in unserer Branche aufgrund der Expertise unserer Mitglieder – wir vertreten alle Hersteller von Baumaschinen – derzeit begrenzt ist“, sagte sie. Fiumara fügte jedoch hinzu, dass die zunehmende Anzahl vernetzter Maschinen auf dem Markt und das gestiegene Bewusstsein der CECE-Mitglieder für Cybersicherheit die Branche dazu veranlasst hätten, Maßnahmen gegen potenzielle Sicherheitsbedrohungen zu ergreifen.

Die Anzahl vernetzter Geräte – wenn auch nicht nur auf Off-Highway-Maschinen beschränkt – ist nicht gering. Eine 2024 im Journal of Science and Technology Policy Management veröffentlichte Studie zitierte einen Statista-Bericht, der besagte, dass bis 2030 weltweit etwa 50 Milliarden IoT-Geräte vernetzt sein werden.

„Es gibt viel Malware“, fügte Hofmann hinzu. „Die Automatisierung ist im Gange. Es gibt Malware-Bots, und niemand kann wissen, ob Ihr Servicetechniker, der an der Maschine arbeitet, einen infizierten PC oder Laptop mit Servicesoftware hat, die Malware auf die Maschine selbst überträgt.“

Laut Hiemer ist Cybersicherheit ein Thema, das entlang der gesamten Lieferkette angegangen werden muss.

„Wenn wir beispielsweise ein Steuergerät produzieren, müssen wir sicherstellen, dass es auf dem Weg zum nächsten Punkt in der Lieferkette nicht manipuliert wird“, sagte er. „Es geht also darum, alle Prozesse zu managen.“

Vorschriften und Normen

Laut Hipp wird sich das regulatorische Umfeld in Europa bald mit der Cybersicherheit des IoT befassen.

„Ende Dezember 2027 muss jeder in Europa den Cyber Resilience Act (CRA) erfüllen“, sagte er. „Diese Verordnung betrifft jedes Produkt mit digitalen Elementen. Jedes Produkt, vom Lieferanten bis zur Maschine – die gesamte Maschine – muss die Anforderungen der Cyber-Resilienz erfüllen.“

Bild: vectorfusionart via Adobe Stock

Fiumara fügte hinzu, dass viele Hersteller auf die Entwicklung von Standards im Rahmen des CRA warten. „Nach dieser neuen Verordnung bedeutet Cybersicherheit per Konzeption und standardmäßig, dass alle Komponenten und Elemente einer Maschine bereits in der Entwurfsphase cyber-resilient ausgelegt sein müssen.“

Es gibt jedoch bereits eine weitere Verordnung, die Maßnahmen zur Cybersicherheit, insbesondere im Bereich Telematik, ergreift: die Funkanlagenrichtlinie (RED). Hofmann bezeichnete sie als „den ersten Schritt zur Schaffung von Cybersicherheit“ für den Markt.

Laut einer Übersicht über die Cybersicherheitsanforderungen der RED auf der TÜV SÜD-Website wurden im Januar 2022 zusätzliche Bestimmungen zur RED eingeführt. Dazu gehören verbesserte Netzwerke, der Schutz personenbezogener Daten und Betrugsschutz. Diese Anforderungen treten am 1. August dieses Jahres in Kraft.

„Es gibt bereits Standards für die Funkanlagenrichtlinie, die alle Funkanlagenprodukte und -komponenten abdecken“, sagte Fiumara. „Dies wäre der erste Schritt zur Umsetzung der Funkanlagenrichtlinie – auch in Kombination mit der Maschinenverordnung, die sich insbesondere auf Maschinen in unserer Branche bezieht.“

Laut Hiemer gibt es weitere Standardisierungsaktivitäten im Bereich der Cybersicherheit.

„Wir arbeiten an einem ISO-Standard für Cybersicherheit im Off-Highway-Bereich“, sagte er mit Bezug auf ISO 24882. „Bei ZF entwickeln wir unseren neuen Controller ebenfalls nach diesem Standard.“

Hiemer erklärte, dass der EC5-Controller von ZF zwar vor der Einführung strengerer Cybersicherheitsprotokolle entwickelt wurde, die Einheit nun jedoch dem vorgeschlagenen Cybersicherheitsstandard entspricht und dabei denselben Formfaktor beibehält.

Über Europa hinaus

Während die genannten Vorschriften die europäische Cybersicherheitsgesetzgebung widerspiegeln, diskutierte das Panel das Potenzial ähnlicher Gesetze in anderen Regionen der Welt. Sleight sah in dieser zunehmenden Verbreitung eine Herausforderung für OEMs.

„Eine Studie der Vereinten Nationen ergab, dass 80 Prozent der Länder weltweit über Gesetze zur Cybersicherheit verfügen und weitere etwa fünf Prozent gerade daran arbeiten“, sagte er. „Das ist besorgniserregend, denn wir haben dies auch bei anderen Aspekten der Produktkonformität beobachtet – eine allgemeine Richtung, die sich abzeichnet. Das haben wir beispielsweise bei den Motoremissionen gesehen. Aber wenn die Dinge nicht harmonisiert sind, verursacht das viel Ärger und hohe Kosten.“

Sleight sagte, dass die Zertifizierungsanforderungen für den Verkauf in unterschiedlichen geografischen Regionen zwar weltweit funktional ähnlich seien, die Vorschriften jedoch sehr belastend sein könnten.

„Ich denke, das ist eine der größten Sorgen der Branche im Bereich Cybersicherheit: Muss die Branche dies trotz ISO- und SAE-Standards immer und immer wieder in mehreren Blöcken und mehreren Bereichen tun?“

Pflichten des Nutzers

Das Gremium war der Ansicht, dass auch Benutzer bei der Cybersicherheit eine Rolle spielen.

„Es wird eine Art Schulungsprozess für die Branche geben“, sagte Sleight. „Die Produkte werden cyberresistent sein, und das werden die Kunden auch nutzen. Aber ich denke, sie werden auch eine gewisse Verantwortung dafür tragen, zu verstehen, was gute Cybersicherheitspraktiken sind und was riskantes Verhalten darstellt.“

Das Gremium erklärte, dass es die Aufgabe der OEMs sei, die Maschinen während ihrer gesamten Lebensdauer mit Cybersicherheitsupdates zu versorgen, es jedoch den Endbenutzern überlassen bleibe, ob sie diese Updates implementieren.