„Cybersecurity schafft die Grundlage für Digitalisierung“

neue verpackung: Herr Dr. Weinmann, wie bewerten Sie die Anforderungen des Cyber Resilience Act (CRA) aus der Perspektive eines Verpackungsmaschinenbauers? Gibt es spezifische Herausforderungen bei der Umsetzung?

Olaf Weinmann: Die Anforderungen des CRA sind definitiv ein wichtiger Schritt hin zu einheitlichen Cybersicherheitsstandards innerhalb der EU. Wir begrüßen die Initiative ausdrücklich, da Digitalisierung und Vernetzung immer weiter voranschreiten. Die Sicherheit unserer Kunden hat für uns höchste Priorität. Datengetriebene Lösungen und erste Ansätze für Datenökosysteme nehmen auch im Pharmabereich an Bedeutung zu, der ja aufgrund seiner scharfen Regulatorik eher konservativ agiert. Aber bei aller Offenheit für die Möglichkeiten digitaler Lösungen wie Predictive Maintenance: Ohne robuste Sicherheitsstandards wird kein Kunde bereit sein, seine Daten zu teilen. Cybersecurity schafft also nicht einfach nur Sicherheit – sondern ist eine der Grundlagen für Digitalisierung. Darum haben wir uns mit dem Thema bereits vor der aktuellen Gesetzgebung intensiv beschäftigt und haben somit eine solide Basis für die nun kommenden Anforderungen geschaffen.

Die Komplexität der Umsetzung liegt gleich in mehreren Aspekten. Verpackungsmaschinen sind heute Bestandteile umfassender Produktionsökosysteme. Alleine wir sind hier in vielen Unternehmen gleich mit mehreren Maschinen vertreten: zum Beispiel mit einer Blistermaschine, gefolgt von einem Kartonierer. Dann folgt natürlich noch eine End-of-line-Lösung usw. Die CRA-Anforderungen – insbesondere in Bezug auf Produktsicherheit, Softwareupdates und Schutz vor Cyberangriffen – betreffen dabei nicht nur die Maschinen, sondern auch die gesamte digitale Infrastruktur inklusive Schnittstellen zu den Kundensystemen.

Hinzu kommt, dass Software häufig einen sehr kurzen Lebenszyklus hat, während unsere Maschinen oft über Jahrzehnte im Einsatz sind. Diese Diskrepanz stellt besondere Anforderungen an unsere Entwicklungsprozesse und die Sicherstellung von Abwärtskompatibilität. Ein weiterer Punkt ist, dass auch Bestandsmaschinen im Falle eines Updates den CRA-Standards entsprechen müssen, was sowohl technische als auch prozessuale Anpassungen erfordert. Und da wir uns wie bereits gesagt in einem hoch regulierten Bereich befinden, kann der Betreiber nicht einfach ein Update installieren und weiterproduzieren – eventuell muss er dann mindestens einen Teilprozess neu validieren, was einen temporären Produktionsausfall mit sich bringt. Unsere Aufgabe ist es also, die Sicherheit hoch, und den Aufwand auf Kundenseite möglichst gering zu halten. Das setzt natürlich auch eine saubere Dokumentation der installierten Basis über den gesamten Lebenszyklus voraus. Denn steht eine Maschine beispielsweise bereits seit 20 Jahren im Feld, kamen wahrscheinlich viele Modifikationen oder neue Funktionen hinzu, die es zu berücksichtigen gilt.

neue verpackung: Welche Maßnahmen haben Sie bei Uhlmann ergriffen, um den CRA-Anforderungen gerecht zu werden?

Weinmann: Wir haben ein interdisziplinäres Projektteam aufgestellt, das sich mit den Anforderungen des CRA und der NIS2-Richtlinie beschäftigt. Zu den wichtigsten Maßnahmen gehören:

• Implementierung von „Security by Design“- und „Secure by Default“-Prinzipien.
• Einführung eines Secure Software Development Lifecycle (SSDLC).
• Modularisierung im Zusammenhang mit Software-Upgrades.
• Regelmäßige Penetrationstests und Sicherheitsanalysen.

Zusätzlich haben wir ein „Security Champion“-Programm ins Leben gerufen, um das Wissen im Unternehmen in die Breite zu tragen. Ein zentraler Bestandteil ist die enge Zusammenarbeit mit unseren Kunden und natürlich auch unseren Zulieferern. Unser Anspruch ist es, unseren Kunden sichere Maschinen beziehungsweise Systeme auszuliefern und hier übernehmen wir auch die Verantwortung für die Gesamtlösung. Schließlich kann es nicht sein, dass sich unsere Kunden bei Problemen an die Hersteller einzelner Komponenten wenden müssen. Das würden sie nicht akzeptieren, und das entspricht auch nicht unserem Anspruch.

neue verpackung: Wie hat sich der Entwicklungsprozess Ihrer Maschinen durch den CRA verändert?

Weinmann: Der Entwicklungsprozess wurde um Sicherheitsanforderungen erweitert, die vorher nicht in dieser Detailtiefe nötig waren. Wir orientieren uns an Standards wie der IEC 62443 und prüfen eine Zertifizierung. Ein Beispiel ist der bereits erwähnte Secure Software Development Lifecycle. Solche Maßnahmen helfen uns, Schwachstellen frühzeitig zu erkennen und zu beheben.

neue verpackung: Unterstützen Sie Ihre Kunden auch dabei, ihre OT-Infrastrukturen sicher zu gestalten?

Weinmann: Ja, definitiv. Cybersecurity ist besonders im OT-Bereich eine Herausforderung, da viele Kunden ihre Produktionsnetze vom Internet abgekapselt haben. Mit der zunehmenden Digitalisierung ändert sich dies jedoch schrittweise. Wir beraten unsere Kunden und legen großen Wert darauf, dass unsere Produkte die höchsten Sicherheitsanforderungen erfüllen. Dies umfasst standardisierte Schnittstellen, Schulungen und eine enge Zusammenarbeit mit den IT-Abteilungen unserer Kunden. Denn gerade kleine Unternehmen werden mit den Anforderungen des CRA und NIS2 an ihre Grenzen kommen.

Darum unterstützen wir, wo wir können, bei der Erstellung einer sicheren Gesamtlösung. Kerngeschäft von Uhlmann Pac-Systeme ist aber und bleibt die Solution rund um die Verpackungsmaschine, nicht die IT-Beratung. Aus eigener Erfahrung kann ich aber sagen: Das Know-how bezüglich Cyber Security wächst in der Branche rasant und viele Unternehmen investieren in Security Experten. Der Austausch mit kompetenten Ansprechpartnern erleichtert dann auch uns wieder die Arbeit.

neue verpackung: Welche Rolle spielt künstliche Intelligenz (KI) in Ihrer Cybersicherheitsstrategie?

Weinmann: KI hat sich hier ein Stück weit als zweischneidiges Schwert erwiesen: Denn damit wird es auch Nicht-Experten weiter erleichtert, Cyberangriffe zu starten. Natürlich war es auch vorher möglich, beispielsweise durch frei verfügbare Tools für Penetrationstests, Sicherheitslücken zu finden und auszunutzen. Aber mit KI werden solche Angriffe potenziell noch einmal deutlich gefährlicher.

Gleichzeitig bietet sie aber auch großes Potenzial, um die Anforderungen des CRA effizienter zu erfüllen. Wir nutzen KI beispielsweise in der Softwareentwicklung zum Beispiel beim Testing, Debugging oder beim Erstellen von Dokumentation. Dies soll perspektivisch auch auf die Optimierung der Security erweitert werden. In Zukunft sehen wir auch Potenzial für KI-gestützte Lösungen direkt in unseren Maschinen, die etwa bei der Fehlerbehebung oder Optimierung von Parametern unterstützen können. Allerdings ist die Datenbasis entscheidend – ohne qualitativ hochwertige Daten bleibt das Potenzial der KI begrenzt.

Neben Cybersecurity hat KI aber noch viele weitere spannende Einsatzmöglichkeiten, so arbeiten wir beispielsweise aktuell daran, eine KI mit unseren Dokumentationen zu füttern, sodass diese bei der Fehlersuche unterstützen kann. Außerdem könnte sie helfen, unsere Maschinen künftig noch bedienerfreundlicher zu machen und so in Zeiten des Fachkräftemangels die Bedienung zu erleichtern. Das macht sich dann in der OEE positiv bemerkbar.

neue verpackung: Gibt es Plattformen oder Initiativen, die Sie Unternehmen empfehlen würden, die zum Thema Cybersicherheit mehr wissen und sich austauschen wollen?

Weinmann: Es gibt gleich mehrere gute Anlaufstellen, beispielsweise den VDMA mit seinen Arbeitsgruppen. Der TÜV Süd hat einige spannende Angebote oder natürlich auch Manufacturing X, speziell Factory X beschäftigt sich unter anderem mit dem Thema – hier sind wir von Uhlmann in verschiedenen Arbeitsgruppen vertreten. Außerdem empfehlen würde ich die Manusec-Konferenz, bei der wir uns ebenfalls zum Beispiel bei Paneldiskussionen mit einbringen und vom gegenseitigen Erfahrungsaustausch profitieren.