Cybersecurity ist neuer Fachbereich in der DKE – André Suhr als Fachbereichsvorsitzender ernannt

DKE: Herr Harner, Ihre Abteilung hat sich bei der DKE zu einem Fachbereich entwickelt. Was genau bedeutet das?

Harner: Im Kern bedeutet das eine höhere Sichtbarkeit und ein größerer Stellenwert von Cybersecurity als Querschnittsthema – innerhalb der DKE und im Dialog mit unseren externen Stakeholdern.

Im Vergleich zu anderen Fachbereichen gibt es Cybersecurity erst seit etwa elf Jahren in den DKE Normungsgremien und hat sich zu Beginn nur auf wenige Komitees erstreckt. Zu dieser Zeit wäre ein Fachbereich nur ein administratives Konstrukt gewesen, das keinen Mehrwert für die Expertinnen und Experten geboten hätte. Aber durch die fortschreitende Digitalisierung und Vernetzung in praktisch allen Bereichen hat sich Cybersecurity zu einem Thema mit hoher Bedeutung entwickelt.

Mittlerweile gibt es in allen DKE Fachbereichen Gremien, die Cybersecurity als strategisches Thema sehen und daher eine entsprechende Koordinierung und Unterstützung von der DKE als Normungsorganisation erwarten. Das können wir zukünftig als Fachbereich verstärkt umsetzen. Ganz entscheidend ist für uns hierbei, dass wir einen Fachbereichsvorsitzenden bekommen.

Der Fachbereichsvorsitzende ist ehrenamtlicher Experte und unterstützt uns in strategischen und normungsrelevanten Fragestellungen, indem er zum einen als Schnittstelle zu den beteiligten Akteuren in der Branche agiert und zum anderen an Sitzungen übergeordneter DKE Gremien teilnimmt. Auf diese Weise können wir Cybersecurity sowohl extern als auch intern stärker vertreten und verankern.

DKE: Warum ist die Entwicklung der Cybersecurity-Abteilung als eigenständiger Fachbereich in der DKE so wichtig?

Harner: Das hat in erster Linie mit der wachsenden Bedeutung von Sicherheit für Unternehmen durch Cyberangriffe zu tun. Cybersecurity darf in keinem Industriezweig ignoriert bzw. in den Normen unberücksichtigt bleiben, sondern muss wesentlicher Bestandteil für einen sicheren Produktentwicklungszyklus sein. Ansonsten wird eine Art „Darwinismus“ einsetzen, mit der Konsequenz, dass viele Hersteller – auch in Deutschland und Europa – an der Digitalisierung scheitern.

Software-Produkte sind die Grundlage für unsere hochgradig und komplex vernetzte, digitalisierte Welt – und damit gleichzeitig das größte Angriffsziel für kriminelle Aktionen. Das Hineindiffundieren von Cybersecurity-Anforderungen in die Welt der physischen und physikalischen Prozesse, wie sie in der DKE im Fokus stehen, sind die Grundlage für Kritische Infrastrukturen und funktionierende Lieferketten der Wirtschaft. Die Folgen eines erfolgreichen Angriffs auf die digitale Infrastruktur eines Unternehmens sind aus verschiedenen Perspektiven schwerwiegend: finanzielle Einbußen, der Verlust von internem Wissen und Schäden für Mensch und Umwelt.

Mit dem Schritt, Cybersecurity als neuen Fachbereich in der DKE zu etablieren, können wir diese Herausforderungen verstärkt angehen und so dazu beitragen, die Sicherheit von Unternehmen gegen Cyberangriffe zu fördern.

DKE: Cybersecurity wird innerhalb der DKE als Arbeitsfeld gesehen, das nicht für sich alleinsteht, sondern in Verbindung mit jedem anderen Arbeitsfeld. Können Sie das erläutern?

Harner: Gerne. Cybersecurity wird anwendungsbezogen behandelt, beispielsweise in der Industrieautomation, der Energieversorgung oder der Medizintechnik, um die spezifischen Rahmenbedingungen und teilweise auch die regulatorischen Anforderungen berücksichtigen zu können. Die methodische Vorgehensweise, zum Beispiel eine Bedrohungs- und Risikoanalyse oder auch grundlegende Sicherheitskonzepte, unterscheiden sich aber zunächst nicht.

Bereiche, die sich noch nicht so lange mit Cybersecurity beschäftigen, können zudem von den Arbeiten und Erfahrungen anderer Bereiche lernen und müssen das Rad somit nicht immer wieder neu erfinden. Genau diesen Austausch fördern wir und deshalb üben wir mit Cybersecurity eine Querschnittsfunktion aus – nicht nur innerhalb der DKE, sondern auch außerhalb der Normungsorganisation.

Exemplarisch hierfür ist die aus der Industrieautomatisierung stammende Normenreihe IEC 62443, in der grundlegende und ganzheitliche Sicherheitskonzepte beschrieben werden. Die Erkenntnisse dieser Sicherheitskonzepte finden deshalb Anwendung in der Bahntechnik oder Medizintechnik. Allerdings findet ein solcher Austausch in der Regel nicht von selbst statt. Aus diesem Grund sehen wir es als unsere Aufgabe, diese „Normungssilos“ aufzulösen und einen übergreifenden Austausch der einzelnen Fachgebiete zu ermöglichen.

DKE: Sie hatten zu Beginn des Gesprächs den Fachbereichsvorsitzenden angesprochen. Mit André Suhr wurde dieser vom DKE Lenkungsausschuss gewählt.

Harner: Genau, André Suhr wird zukünftig den Vorsitz für unseren Fachbereich haben. Er bringt eine langjährige Erfahrung sowohl beim Thema Cybersecurity als auch in der Normung mit, war für bekannte Industrieunternehmen in der Elektrobranche aktiv und arbeitet mittlerweile als selbstständiger Cybersecurity-Berater. Darüber hinaus war André Suhr bereits an Förderprojekten der DKE beteiligt.

Für uns stellt er deshalb eine ideale Besetzung für die Funktion als Fachbereichsvorsitzender dar und wir freuen uns darauf, gemeinsam mit ihm wichtige Impulse innerhalb der DKE und in unserem Expert*innen-Netzwerk setzen zu können.

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

• fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
• berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
• informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen

DKE: Herr Suhr, den Einstieg haben Sie soeben elegant bekommen. Dennoch die Bitte an Sie, sich unseren Leserinnen und Lesern kurz vorzustellen.

Suhr: Ja, gerne. Vielen Dank, Andreas, für die freundlichen Worte. Also, ich selbstständiger Berater für IT-Security und Informationssicherheit. Darüber hinaus bin ich als Auditor für Informationssicherheitsmanagementsysteme (ISMS) nach ISO/IEC 27001 und dem IT-Sicherheitskatalog der Bundesnetzagentur tätig.

Insgesamt habe ich mittlerweile mehr als 20 Jahre Erfahrung im Umfeld der Energieversorgung. Davon war ich 15 Jahre bei Siemens im Bereich der Netz- und Stationsleittechnik sowie Schutztechnik tätig. Ich berate aber auch in anderen Branchen und arbeite in mehreren Arbeitskreisen bei IEC und der DKE an der internationalen und nationalen Normung und Standardisierung mit.

Bei der DKE bin ich Vorsitzender des Arbeitskreises DKE/AK 952.0.15 („Informationssicherheit in der Netz- und Stationsleittechnik“) und Mitglied im DKE/GAK 353.0.11A („Backend Kommunikation für Ladeinfrastruktur“) sowie weiteren Arbeitskreisen. Seit Gründung von IEC/TC 69/JWG 11 arbeite ich außerdem mit an der Erstellung und Weiterentwicklung der Norm IEC 63110.

DKE: Sie wurden zum Fachbereichsvorsitzenden für die Cybersecurity-Abteilung gewählt. Welche Aufgaben sind damit verbunden?

Suhr: Die aktuelle Bedrohungslage, wie sie sich in offiziellen Lagebildern von Behörden darstellt, aber auch, wie sie uns in den Medien mit veröffentlichten Cyberangriffen auf IT-Systeme von Unternehmen und Organisationen praktisch täglich gezeigt wird, macht deutlich, dass keine Branche um Cybersecurity herumkommt. Eine meiner Aufgaben wird es daher sein, den Fachbereich zu nutzen, um den branchenübergreifenden Dialog weiter zu unterstützen.

Eine weitere Aufgabe besteht für mich darin, den Fachbereich zu betreuen und die Interessen der Komitees zu vertreten, die in dem Fachbereich zusammengefasst werden. Der Austausch zwischen den Gremien, die sich mit Cybersecurity beschäftigen, sollte intensiviert werden, um Synergien zwischen den jeweiligen Normungsvorhaben zu schaffen.

Als Fachbereichsvorsitzender stelle ich außerdem die Verbindung zwischen den Komitees des Fachbereichs und dem Technischen Beirat Internationale und Nationale Koordinierung (TBINK) sowie dem Lenkungsausschuss (LA) der DKE dar. In diesem Zusammenhang wird es unter anderem meine Aufgabe sein, die Arbeiten innerhalb des Fachbereichs zu koordinieren oder den Fachbereich sowie die jeweiligen Komitees gegenüber anderen Fachbereichen, dem TBINK und dem LA zu vertreten.

DKE: Im Vorgespräch haben Sie gesagt, dass Sie schon früh eine klare Vorstellung von der Entwicklung des Fachbereichs haben. Wohin geht die Reise?

Suhr: Die Umsetzung von Maßnahmen zur Gewährleistung eines angemessenen Niveaus bei Cybersecurity stellt vor allem kleine und mittlere Unternehmen (KMU) vor sehr große Herausforderungen. Hier sehe ich deshalb zukünftig eine besondere Verantwortung unseres Fachbereichs, um aus der Normung heraus skalierbare Lösungen zu treiben, die auch von KMU umgesetzt werden können.

Auch politisch wird Cybersecurity insbesondere in den Kritischen Infrastrukturen adressiert und in Gesetzgebungen (u. a. IT-Sicherheitsgesetz) aufgenommen. Gesetzliche Vorgaben passen jedoch nicht immer automatisch zu möglichen technischen und organisatorisch angemessenen Lösungen für Unternehmen, die zum Teil bereits in Normen beschrieben wurden. Hier werden wir uns mit dem Fachbereich für die Politik als kompetenter Ansprechpartner anbieten, um die Rolle nationaler und internationaler Normen und Standards in Gesetzesvorhaben im Hinblick auf Cybersecurity zu stärken und uns in Anhörungsverfahren einbringen zu können.

DKE: Herzlichen Dank für das Gespräch und weiterhin viel Erfolg!

Die starke Vernetzung unserer Infrastrukturen ruft einige Bedrohungen der Informationssicherheit und des Datenschutzes bei Systemen hervor. Innerhalb der DKE werden im Arbeitsfeld Cybersecurity wichtige Sicherheitsfragen behandelt, die sich über die gesamte Laufzeit eines Systems bzw. einer Systemkomponente erstrecken. Ein Hauptziel aus Normungssicht ist dabei, Cybersecurity als Innovationsthema zu verstehen und in den relevanten Bereichen ganzheitlich zu adressieren.