Sicherheitsbedenkenreduktion

In meiner Kolumne für das Factory-Magazin beschäftige ich mich mit dem für Industrieunternehmen zunehmend relevanten Thema Security: https://factorynet.at/menschen/trauen-sie-keiner-software-die-sie-selbst-nicht-hacken-koennen/

Trauen Sie keiner Software, die Sie selbst nicht hacken können!

Man solle keiner Statistik trauen, die man nicht selbst gefälscht hat. So lautet eine beliebte Redewendung. Für Außenstehende ist eine Statistik oft eine Blackbox, der man nicht ganz traut. Dem kann man entgegenwirken, z.B. durch Quellenangaben oder durch Einblicke in die Datenbasis. Das schafft Vertrauen. Ähnlich verhält es sich bei Software im Industrie-Einsatz.

Vertrauen ist gut…

Wann verlassen Sie sich auf eine Software? Wird eine Software z.B. von Lieferanten, Kundinnen oder Partnern empfohlen, dann ist das zumeist vertrauensstärkend. Auch Lösungen, die global verbreitet oder bei vielen Unternehmen im Einsatz sind, wird häufig vertraut.

Die breite Nutzung einer Software garantiert jedoch nicht deren Sicherheit. Sicherheitslücken sind auch bei großen Lösungsanbietern keine Seltenheit, wie z.B. der Angriff auf die Firma SolarWinds 2020 zeigte. Auch fehlerhafte Software-Updates können gravierende Probleme verursachen, wie z.B. beim jüngsten Ausfall der EDR-Lösung der Firma Crowdstrike. Viele Nutzerinnen schützen also noch nicht vor Ausfällen oder Schäden.

… Kontrolle besser…

Proprietären Software-Lösungen wird häufig ihre Intransparenz als Sicherheitsdefizit vorgeworfen. Ist der Code einer Software eine Blackbox, dann lässt sich nicht kontrollieren, ob Sicherheitslücken vorhanden sind. Von „Security through obscurity“ raten Security-Experten zumeist ab.

Abhilfe schafft Open Source Software. Der transparente Quellcode einer Software kann dabei helfen, potenzielle Sicherheitslücken schnell zu entdecken und zu schließen. Theoretisch können die eigenen Entwicklerinnen sich selbstständig auf die Fehlersuche begeben und zur Sicherheit der Software beitragen.

In der Praxis ist das aber häufig nicht der Fall. Allzu oft wird die Sicherheit zentraler IT-Infrastruktur durch ehrenamtlich arbeitende Einzelpersonen auf Selbstausbeuterbasis aufrechterhalten. Das kann große Probleme verursachen. Anfang des Jahres wurde z.B. in der Software XZ Utils eine potenziell äußerst gefährliche Hintertür nur durch Zufall entdeckt und geschlossen. Offener Quellcode schützt demnach auch nicht vollständig vor Ausfällen oder Schäden.

… professionelle Validierung und vielfaches Testen am besten.

Gerade in der Produktion wird die Sicherheit von Software in Zeiten vernetzter Fabriken und verschmelzender IT-/OT-Systeme immer wesentlicher. Was kann man also abseits der Anbieterwahl und der Einforderung von Quellcode-Transparenz tun, wenn man möglichst sichere Software einsetzen möchte?

Eine Möglichkeit bieten Normen und Standards. In der Automobilindustrie spielen z.B. die Norm ISO/SAE 21434 oder der TISAX-Standard wichtige Rollen. Durch deren Einhaltung bzw. entsprechende Zertifizierungen können Software-Anbieterinnen Vertrauen schaffen. Standards und bekannte Bedrohungen können auch mit entsprechender Software schon im Produktdesign berücksichtigt werden. Die steirische AVL setzt dabei z.B. auf die ThreatGet-Software, die u.a. vom österreichischen AIT entwickelt wurde.

Darüber hinaus kann die Resilienz einer Software durch die gezielte Schaffung von Extremsituationen und durch darauf aufbauende Anpassungen erhöht werden. Die von Netflix entwickelte Open Source Software Chaos Monkey hilft z.B. genau dabei. Das Prinzip dahinter: gezielte Sabotage zur Erhöhung der Sicherheit. Diese Vorgehensweise empfiehlt auch der renommierte Security-Experte Bruce Schneier.

Schneier wiederum ist namensgebend für „Schneier’s Law“ – einen Merksatz, der auch für produzierende Unternehmen im Zusammenhang mit Software und Vertrauen gilt: Jeder kann ein Sicherheitssystem entwickeln, das so durchdacht ist, dass man selbst sich nicht vorstellen kann, wie man es zerstören könnte.

Outsourcingkonsequenzen

In meiner Kolumne für das Factory-Magazin schreibe ich über die „digitale Fertigungstiefe“ in der Produktion: https://factorynet.at/menschen/outsourcing-die-digitale-fertigungstiefe-als-strategische-entscheidung/

Outsourcing: die digitale Fertigungstiefe als strategische Entscheidung

„Pfusch am Bau“ ist eine beliebte Fernsehsendung. Im Mittelpunkt stehen Probleme beim Hausbau, rund um Wasser in der Wand, minderwertige Materialien etc. Quelle der Versäumnisse sind häufig scheinbar günstige (Sub-)Unternehmen, die an der falschen Stelle sparen und Häuslbauer, die das nicht beurteilen können.

Immer wieder: Make-or-Buy?

Selber machen oder externe Leistungen zukaufen? Diese Frage beschäftigt nicht nur österreichische Häuslbauer. Die Suche nach der richtigen Balance aus eigenem und zugekauftem Knowhow findet sich in der Industrie im Konzept der Fertigungstiefe. Sie misst den Anteil der Eigenfertigung am gesamten Produktionsprozess.

Produzierende Unternehmen müssen laufend und strategisch entscheiden, wie hoch die eigene Fertigungstiefe sein soll. Dabei gibt es kein eindeutiges Richtig oder Falsch. Industrieunternehmen, die viel selbst fertigen, sind in wirtschaftlich schwierigen Zeiten oft resilienter. Solche, die viel outsourcen, sind oft flexibler. Die Tatsache, dass die OEMs der Automobilindustrie ihre Fertigungstiefe reduzierten, bildet die Grundlage für die wichtige österreichische Zulieferindustrie.

Mit der Plattform Industrie 4.0 haben wir kürzlich eine Roadmap veröffentlicht, in der u.a. die Wichtigkeit des Domänenwissens am Industriestandort Österreich betont wird. Damit gemeint ist das betriebsinterne Wissen zur Herstellung von Produkten und zu Produktionsprozessen. Ist die Fertigungstiefe in einem Bereich besonders ausgeprägt, dann ist zumeist auch viel spezifisches Domänenwissen vorhanden – Betriebe haben in der Folge ein Alleinstellungsmerkmal.

Outsourcing im OT- und IT-Bereich

Wie sieht die Situation rund um Industrie 4.0 aus? Steuerungen, Sensoren, digitale Messtechnik, Roboter, AGVs etc. – sie sind aus der Produktion, dem OT-Bereich, nicht mehr wegzudenken. Viele österreichische Firmen haben daher beschlossen, solche Systeme selbst herzustellen und als Produkte anzubieten. Zwei Beispiele: die Anlagenbauer von Andritz bieten selbst Automatisierungslösungen an, der Automatisierungsspezialist Beckhoff entwickelt in Wien seit kurzem eigene Roboter.

Auch Datenbanken, digitale Zwillinge oder innovative Softwarelösungen sind in der Produktion weit verbreitet. Und auch im IT-Bereich gibt es produzierende Unternehmen, die selbst weitgehende Lösungen entwickeln, z.B. die steirische AVL in der Automobilindustrie.

Aktuell beschäftigt die Frage nach der „digitalen Fertigungstiefe“ zahlreiche Firmen im Bereich der IT-Infrastruktur. Hybride Cloudumgebungen – eine Mischung aus eigenem Rechenzentrum und öffentlicher Cloud – verbreiten sich zunehmend. Vorteilen wie der Skalierbarkeit oder der Verfügbarkeit öffentlicher Cloud-Systeme stehen Security-Fragen oder einseitige Abhängigkeiten gegenüber. Dabei gilt wie immer: nicht alles, was glänzt, ist Gold. „Serverless Computing“ funktioniert nicht ohne Server und Kostenvorteile können sich umkehren, wie das Beispiel des IT-Unternehmens Basecamp zeigt.

In jedem Fall: Kompetenz benötigt

Gerade wenn es darum geht, das vorhandene Domänenwissen mit IT-Knowhow anzureichern und auszubauen, ist der Aufbau entsprechender Teams notwendig. Das betrifft heute z.B. das Thema der praktisch sinnvollen Datennutzung oder den zunehmend wichtigen Bereich der IT-Sicherheit. Eigene, kompetente IT-Mitarbeiter:innen sind selbst dann notwendig, wenn externe Expertise zugekauft wird.

Natürlich gilt auch im digitalen Raum, dass es per se kein Richtig oder Falsch rund um Outsourcing gibt. Es gilt jedoch: trotz Auslagerung braucht die Industrie das Knowhow, um die Steuerung ihrer Auftragnehmer und die Qualitätskontrolle sicherzustellen. Pfusch ist nicht nur am Bau langfristig teuer.

Wikipediarelevanz

In meiner Kolumne für das Factory-Magazin schreibe ich über Wikipedia und die Industrie: https://factorynet.at/menschen/die-bedeutung-von-wikipedia-fuer-die-produktion/

Von der Bedeutung der Wikipedia für die Produktion

Eine Jugendliche in der Steiermark sucht eine Lehrstelle bei innovativen Betrieben in der Region. Ein Einkäufer in Zentralasien recherchiert zu Anlagenbauern für nachhaltige Produktionsverfahren. Eine Wissenschaftlerin in Spanien sucht nach potenziellen Forschungspartnern in ihrem Bereich. Für ihre Anfragen nutzen sie Suchmaschinen, Sprachassistenten oder KI-gestützte Chatbots.

Bestmögliche Antworten zu liefern ist das Verkaufsargument dieser digitalen Werkzeuge, die Auswahl der für die Antworten benötigten Informationen ihre Kernkompetenz. Vertrauenswürdige Informationen zu finden, stellt heute eine zunehmende Herausforderung dar. Worauf stützen sich also die Ergebnisse von Google, Siri oder ChatGPT?

Die Wikipedia als Fundament digitalen Vertrauens

Im Detail wissen wir nicht, wie Suchergebnisse zustande kommen – das ist das wohlgehütete Geschäftsgeheimnis großer Technologieunternehmen. Einige Eckpfeiler sind aber bekannt: Als vertrauensvolle Quellen gelten wissenschaftliche Einrichtungen, etablierte Medien oder demokratisch legitimierte Institutionen, in Österreich z.B. Webseiten mit gv.at-Endung. Eine weitere zentrale Informationsbasis für die genannten Dienste: die Wikipedia.

Während die Idee eines Online-Lexikons, das von jedem Menschen bearbeitet werden kann, in den frühen 2000er Jahren noch als abstrus abgetan wurde, hat sich die Wikipedia mit der Ausbreitung des Internets professionalisiert und als Fundament digitalen Vertrauens etabliert. Die Inhalte der Enzyklopädie, die permanent von einer offenen und aktiven Gemeinschaft kontrolliert werden, gelten heute als der gemeinsame Informationsnenner der digitalen Gesellschaft. Wikipedia-Artikel bilden daher die Grundlage moderner Dienste, z.B. die Google Infobox oder zahlreiche KI-Modelle.

Wieso sollte das  die österreichische Produktion interessieren?

Österreichs produzierende Betriebe und die produktionsnahen Forschungseinrichtungen genießen einen sehr guten Ruf. Viele von ihnen sind innovativ und spezialisiert, werden oft als „Hidden Champions“ bezeichnet. In Österreich gibt es viele Organisationen, die über weltweit gefragtes, durch Patente oder wissenschaftliche Publikationen bestätigtes, Fachwissen verfügen. Dieses kann z.B. spezifische Produktkategorien, Produktionsverfahren oder internationale Standards betreffen.

Solche Unternehmen oder Einrichtungen und ihr Spezialwissen können für eine Enzyklopädie wie die Wikipedia relevant sein. Häufig sind diese dort aber nicht oder nur sehr unzufriedenstellend auffindbar – die Jugendliche, der Einkäufer oder die Wissenschaftlerin werden dann höchstwahrscheinlich bei ihren Suchanfragen nicht darauf hingewiesen. So entgehen österreichischen Institutionen potenzielle Fachkräfte, Kund:innen oder Partnerschaften.

Kein Ort für Eigenwerbung und Marketing-Sprech

Falls Sie nun den Impuls verspüren, Ihre Kommunikationsabteilung mit einer neuen Aufgabe zu betrauen: seien Sie vorsichtig. Das Vertrauen, das die Wikipedia genießt, kommt nicht von ungefähr. Für die korrekte Erstellung und Bearbeitung von Wikipedia-Artikeln gibt es ein äußerst umfangreiches Regelwerk, das – zum Glück! – zumeist sehr genau eingehalten wird.

Nur eine kleine Zahl von Informationen ist für die Wikipedia geeignet. Wann ein Unternehmen einen eigenen Eintrag haben kann, ist klar definiert. Für Quellenangaben gelten in der Wikipedia strikte Kriterien, Ihre Firmenwebseite ist z.B. keine geeignete Informationsbasis für Wikipedia-Artikel. Im Marketing übliche Formulierungen, z.B. ausschmückende Adjektive oder das Wort „Hidden Champion“, haben in der Wikipedia keinen Platz. Der Versuch der Eigenwerbung wird strikt und öffentlich einsehbar geahndet, bezahltes Schreiben – dazu gehört auch das Bearbeiten von Artikeln in der Arbeitszeit – ist nur unter Einhaltung strenger Regeln erlaubt.

Für viele Unternehmen oder Forschungseinrichtungen kann die Arbeit mit der Wikipedia dennoch interessant sein. Dabei geht es nicht nur um das Sichtbarmachen von Kompetenz oder Relevanz. Es geht auch darum, in Zeiten zunehmender Fehl- und Desinformationen zu einer demokratischen Informationsbasis unserer Gesellschaft beizutragen. Dabei kann und sollte man ganz klein anfangen – machen Sie mit!