IT-Sicherheit und Cybersecurity sind nicht nur äußerst spannende Themen, sondern umfassen ein sich stetig weiterentwickelndes Aufgabenportfolio. Dieses ist so vielfältig, dass wir uns mit gleich drei Mitarbeitenden der SEW-EURODRIVE, einem Unternehmen mit besonderer Expertise in der Antriebstechnik, zum Interview getroffen haben.
Mit Blick in diese doch etwas größere digitale Runde – wollen wir mit einer kleinen Vorstellungsrunde anfangen?
Hendrik Herberger: Sehr gerne. Mein Name ist Hendrik Herberger. Ich bin ausgebildeter IT-Systemkaufmann und Absolvent eines Abendstudiums an der VWA mit Schwerpunkt BWL. Bei SEW-EURODRIVE bin ich seit November 2019 an Bord. Zuvor war ich 20 Jahre lang hauptsächlich Berater für Sicherheitskonzeptionen und Penetrationstester. Im Zuge eines Projekts mit SEW-EURODRIVE bin ich dorthin gewechselt und jetzt innerhalb des IT-Bereichs die Information Security tätig.
Karen Agüero Meza: Ich bin Karen Agüero Meza. Aufgewachsen bin ich in Costa Rica, wo ich auch meinen Bachelor in Computer Sciences absolviert und einige Jahre Berufserfahrung gesammelt habe. An der Universität Duisburg habe ich dann noch den Master gemacht. 2018 bin ich bei SEW-EURODRIVE eingestiegen und arbeite hier als Embedded-Software-Entwicklerin hauptsächlich an Themen wie industrielle Kommunikation.
Kevin Bürstinghaus-Steinbach: Ich bin nicht nur eine Art Eigengewächs der SEW-EURODRIVE, sondern auch ein direkter Kollege von Karen. Ich heiße Kevin Bürstinghaus-Steinbach und bin seit mittlerweile acht Jahren hier im Unternehmen. Bei SEW-EURODRIVE habe ich einen dualen Bachelor und auch einen Master in IT-Security gemacht. Seitdem baue ich den Bereich Product Security mit auf, damit IT-Security schon von Beginn der Entwicklung an betrachtet wird.
Auf welchem Level findet das Thema IT-Security in der Industrie statt?
Meza: In erster Instanz auf drei Ebenen – zunächst einmal unternehmensweit, weil SEW-EURODRIVE an sich nach außen geschützt wird. Das fängt schon bei den Ausweisen der Mitarbeiter*innen an, also Zutrittsberechtigungen und geht beispielsweise weiter zu VPN-Verbindungen, die Mitarbeitende aus dem Homeoffice heraus nutzen. Prozesse sowie Technologien ändern sich schnell und das muss im Arbeitsalltag reflektiert werden. Die zweite Ebene sind die Produkte von SEW-EURODRIVE, für die unsere Kunden unter anderem wegen der Digitalisierung verstärkt Ansprüche nach IT-Sicherheit stellen. Die dritte Ebene würde ich bei den Kolleg*innen ansetzen: Das Thema Awareness, also ein auf Sicherheit ausgerichtetes Verhaltensbewusstsein, muss von Anfang an geschult werden.
Herberger: Genau so würde ich es auch sehen – die drei Ebenen sind miteinander vernetzt: Technologie muss mit Organisation und Awareness verknüpft werden.
Bürstinghaus-Steinbach: Wenn man das auf die Kundenebene bezieht, bekommt IT-Sicherheit noch eine weitere Komponente: Bis dato gab und gibt es in der Industrie meist zwei Netze. Einmal das für die Organisation, also ganz simpel die Rechner in den Büros, die ein IP-Netzwerk haben und aufs Internet zugreifen. Im zweiten Netz sind die Fertigungsmaschinen unten in der Halle aktiv, das rangiert von manchmal relativ alten Geräten bis hin zu intelligenten Robotern. Zwischen beiden Netzen sollen vermehrt Brücken geschlagen werden, denn der Kundenanspruch ist, aus den Fertigungsmaschinen Daten zu bekommen und beispielsweise in eine Cloud zu bringen. Bei neuen Produkten wird die IT-Sicherheit von Anfang an eingeplant und umgesetzt, aber auch ältere Geräte brauchen kritische IT-Sicherheits-Patches. Die Frage ist also, wie man diese Daten sicher in ein Office-Netzwerk bringt – eines der wichtigsten Industriekommunikationsprotokolle dafür ist OPC UA. Dort ist IT-Security schon direkt mit an Bord.
Welche Herausforderungen bringt Ihre Arbeit aktuell mit sich?
Meza: Im Wesentlichen geht es auf Produktebene darum, die OPC UA-Technologie in neue und bestehende Produkte einzusetzen und aus Prozesssicht die Security-Anforderungen dafür zu entwickeln – es geht nicht nur um Code, der aktuell gut funktioniert. Der Code muss soweit wie möglich auch allen zukünftigen Standards entsprechen – ein wenig geht es also darum, die bevorstehenden Trends der Industrie 4.0 zu antizipieren.
Bürstinghaus-Steinbach: Genau! Die wesentliche Frage dreht sich darum, wie wir in den nächsten Jahren die neuesten Security-Technologien in unsere Produkte integrieren, welche ja in Industriezyklen locker 10 Jahre eingesetzt werden. Das betrifft nicht nur Code, sondern auch neue Hardware oder Bibliotheken.
Herberger: Daneben kommt es auch darauf an, was den Markt bewegt. Wenn eine überraschende, aber bahnbrechende Innovation von sich Reden macht, müssen und wollen wir uns dem genauso widmen.
Es gibt also nicht nur fachlich viele Ansprüche, die Arbeit in der IT-Sicherheit läuft auch sehr interdisziplinär ab.
Herberger: Definitiv, weil wir aus der Information Security unternehmensübergreifend zentrale Prozesse für alle Abteilungen und Kolleg*innen bereitstellen.
Bürstinghaus-Steinbach: IT-Security muss für Produkte über den gesamten Lebenszyklus betrachtet werden. Da sind dann alle Bereiche vom Einkauf, über die Produktion, bis hin zur Entwicklung betroffen. Daraus ergibt sich auch etwas sehr Motivierendes: Wir arbeiten gemeinsam an dem Ziel, dass Information Security nicht bei den Laptops der Mitarbeiter*innen endet.
Welche Rolle übernehmen Hochschulabsolvent*innen in diesen Teams?
Bürstinghaus-Steinbach: Das ist sehr individuell und hängt sowohl von der fachlichen Expertise als auch dem persönlichen Interesse ab. Wenn jemand beispielsweise Informatik studiert hat, an Hardware interessiert ist und sich dann noch mit Zeit-Synchronisierung übers Netzwerk beschäftigt, dann kann er sich bei uns direkt in die aktuellen Technologien vertiefen. Denn Zeit-Synchronisierung ist aus Security-Sicht eine sehr wichtige Frage, weil es beim Daten-Austausch unter anderem darauf ankommt, welche Information noch Gültigkeit hat. An dieser Stelle können auch Absolvent*innen Technologie-Verantwortung übernehmen, uns direkt bei Risikoanalysen unterstützen und sich zum Security-Champion entwickeln. Das heißt, man ist Experte in einem Bereich oder für ein bestimmtes Produkt und übernimmt hierfür zusätzlich die Security-Verantwortung.
Könnten Sie einen Anwendungsfall konkreter spezifizieren?
Meza: Sehr gerne. Ein Hersteller stellt in einem Protokoll-Stack eine Lücke auf der Feldbus-Protokoll-Ebene fest, also der untersten Ebene. Schickt man das falsche Paket zu dieser Ebene, kann man sie abschießen, was verhindert werden muss. Zuerst setzen wir uns zusammen und prüfen welche schützenswerten Eigenschaften betroffen sind. Danach versetzen wir uns in die Lage des Hackers und greifen unsere Produkte an. Die daraus gewonnenen Erkenntnisse können wir anschließend in die Produktentwicklung einfließen lassen.
Bürstinghaus-Steinbach: Ein Praxisbeispiel sind unter anderem fahrerlose Transportsysteme. Dort verschmelzen autonome IT-Systeme mit Anforderungen an eine hochverfügbare Fertigung und Safety-Richtlinien zum Schutz von Menschenleben. Erste Hacks im Labor waren schon erfolgreich. Das mag noch nicht beim Kunden einsetzbar sein, betrifft aber neue Technologie und hier wollen wir natürlich von Anfang an einsteigen und Expertise aufbauen.
Das klingt, als würde es Ihnen allen Spaß machen.
Meza: Absolut! Wobei mir etwas Anderes ehrlich gesagt noch mehr Spaß macht: Auf der Produktebene entwickeln wir neue Technologien, integrieren sie in Produkte und am Ende kann man sehen und erleben, wie die eigene Arbeit funktioniert. Und es ist auch ein schönes Gefühl, einem Kunden unser Know-how souverän zu bestätigen. Das kennen die meisten Ingenieure bestimmt. (lacht)
Bürstinghaus-Steinbach: Mein Job macht mir insgesamt viel Spaß – aber am meisten ist es wahrscheinlich der Red-Teaming-Monday, also wenn ich mich mit Entwicklern eines Produkts zusammensetze und wir versuchen, deren Geräte zu hacken. Geballtes Produktwissen und Security-Know-how macht das richtig effizient und technisch echt spannend. So lerne ich auch einiges über das jeweilige Produkt.
Herberger: Definitiv, bei der SEW-EURODRIVE kann man Themen einbringen und eigenständig arbeiten. Es gab bisher kein Thema, das mir nicht gefallen hat. Im Besonderen wird das Thema Cloud noch einiges an Aufgaben für die Information Security bereithalten.
Wenn das Themengebiet so dynamisch ist, wie steht es denn dann um Weiterbildungen bei SEW-EURODRIVE-EURODRIVE?
Meza: Das ist ein wenig davon abhängig, welche Themen dich gerade beschäftigen. Meines, OPC UA ist so neu, die verfügbaren Schulungen vertiefen sich nicht die technischen Topics. Aber wir sind in einigen Arbeitsgruppen aktiv, in denen Experten unterschiedlicher Firmen zusammenkommen. Der Austausch ist sehr intensiv und interessant.
Bürstinghaus-Steinbach: Ich persönlich gehe sehr viel und gern auf Konferenzen, wenn sie denn stattfinden, auch wenn sie manchmal eher akademisch spannend sind. Erst kürzlich habe ich aber auch eine TÜV-Zertifizierung abgeschlossen.
Herberger: Nicht zu vergessen ist die DriveAcademy®, die SEW-EURODRIVE-eigene Akademie. Das Angebot umfasst neben Trainings und Schulungen rund um die Produkte auch die Personal- und Organisationsentwicklung. Dazu gehören auch E-Learnings, zum Beispiel zur Information Security. Auch ich belege dort regelmäßig den ein oder anderen Kurs.
Eine nicht fachliche Frage zum Schluss: Wie wurden Sie eigentlich jeweils auf SEW-EURODRIVE als Arbeitgeber aufmerksam?
Meza: Durch eine persönliche Empfehlung eines früheren Kollegen, der dorthin gewechselt ist. Das war zu einem Zeitpunkt, an dem ich mich bewusst weiterentwickeln wollte und sie hat mir nur Gutes berichtet. „Bei uns steht der Mensch im Mittelpunkt“, so stand es auf der Website und auch wenn es etwas allgemein klingt: Das hat sich für mich voll und ganz bestätigt.
Kevin: Ich hatte deutschlandweit nach einem Arbeitgeber gesucht, der mich im dualen Studium fördert und bekam dann den Tipp von diesem Arbeitgeber im Süden der Republik. Von Anfang an wurde bei SEW-EURODRIVE auf mich eingegangen und ein großes Maß an Flexibilität beim Studium gewährt, die ich woanders nicht bekommen hätte – und das in Kombination mit einer guten Bezahlung schon im Studium.
Herberger: Bei mir war es tatsächlich unter anderem geografisch bedingt, denn ich kenne SEW-EURODRIVE aus meinem lokalen Umfeld als Arbeitgeber von klein auf. Als ich das Unternehmen näher kennengelernt habe, wurde ich durchaus überrascht, wie global und umfassend SEW-EURODRIVE aufgestellt ist.
Zurück zum Profil der SEW-EURODRIVE geht es hier (du bleibst auf hitech-campus.de).