People
Stefan Ohl
Partner & Managing Director, Global Co-Leader, Aerospace & Defense
Munich
Die Wertschöpfungsketten von der Beschaffung der Rohmaterialen bis hin zur Lieferung der Fertigware werden immer anfälliger und verwundbarer für Cyberattacken. Die Luft- und Raumfahrt stellt hier keine Ausnahme dar. Noch nie zuvor hatten die neu entwickelten Systeme so viele IT-/ OT-/ IoT-/ IIoT-Schnittstellen. Auch ist der Softwareanteil bei Neuprodukten höher als jemals zuvor. Erstmals werden in dieser Branche Industrie-4.0-Applikationen wie präventives Tracking der Anlagendaten, Advanced Analytics und maschinelles Lernen in Serie eingesetzt. Diese Fortschritte erhöhen aber zugleich auch das potenzielle Risiko für externe Manipulationen.
Luft- und Raumfahrt
Um die Wertschöpfungsketten der Firmen in der Luft- und Raumfahrt zu schützen, sind mehrere Rahmenpläne und -protokolle entwickelt worden, die das Risiko bei steigender Komplexität reduzieren sollen. Unter anderem dient die vom US-Verteidigungsministerium entwickelte “Cybersecurity Maturity Model Certification” (CMMC) genau diesem Zweck. Sie wird bis 2026 vollständig umgesetzt und dann für alle Auftragnehmer und ihre Zulieferer bindend. Die Firmen müssen sich nach der Zertifizierung auditieren und Maßnahmen darlegen, wie sie die nächste Stufe in diesem Modell erreichen können. Wenn Firmen gewisse Kriterien nicht erfüllen, zum Beispiel keine Verbesserung bei der Bewertung nachweisen können, könnten die verantwortlichen Behörden ihre Transaktionen mit diesen Firmen begrenzen und bei Bedarf sogar komplett stoppen. In Europa wird die Industrie seit einigen Jahren von EU und EASA in diesem Bereich unterstützt, die bisher geschaffenen Zertifizierungssysteme haben jedoch noch keinen konkreten Ausblick auf einen bindenden Charakter wie in den USA.
Verteidigungsindustrie
Noch kritischer ist die Diskussion im Hinblick auf die Verteidigungsindustrie. Wenn man die aktuellen großen Projekte der europäischen Nationen betrachtet, z.B. FCAS (Future Combat Air Systems), dreht es sich zumeist nicht nur um ein singuläres Produkt sondern vielmehr um ein System, das digital mit einer Vielzahl an individuellen Elementen vernetzt ist. Der Fokus liegt nicht mehr auf den Hardware-Plattformen, sondern auf Sensorik und integrierten, vernetzten Systemen. Ein nicht-gewünschter, manipulativer Zugriff von außen könnte gravierende Konsequenzen nach sich ziehen. Daher sind die Standards, die hier angewendet werden müssen, deutlich höher als die in der restlichen Luft- und Raumfahrtindustrie.
Was sollte die Branche unter diesen Umständen kurz- bis mittelfristig beachten? Folgende Fragen geben dazu Hinweise:
- Kennen Sie Ihre Lieferkette bezüglich der Cyber-Sicherheit? Ist diese bereits auditiert?
- Wie ist die spezifische Situation in Ihrem Unternehmen? Arbeiten Sie mit einem Reifegradmodell? Wo haben Sie laut diesem Modell Nachholbedarf?
- Kann Cyber-Sicherheit in die Produkte „hinein-engineert“ und quasi eingebaut werden? Wie müssen Ihre Entwicklungsprozesse angepasst werden, damit diese Konzepte von Anfang an mitberücksichtigt werden können?
Mehr Details zu diesem Thema finden Sie in der aktuellen Ausgabe unserer “A&D Minutes”.
