Wie KEB mit NOA die Update-Pflicht des CRA vereinfacht
Ende 2027 tritt der Cyber Resilience Act (CRA) in Kraft und bringt für den Maschinenbau wichtige Änderungen mit sich. Im Fokus: Die Überprüfung von Produkten und Prozessen auf ihre Cybersicherheit mit dem Ziel, Sicherheitslücken systematisch zu schließen. Unter anderem sieht der CRA die automatische Installation von Sicherheitsupdates vor, um möglichen Schwachstellen zuvorzukommen. Doch wie kann dieser Pflicht nachgekommen werden, wenn mehrere hundert Steuerungen, Umrichter und Maschinen geupdatet werden müssen? Daniel Preuß, Product Owner IIoT Plattform bei KEB, erklärt im Interview, wie die offene Automatisierungsplattform NOA die Updates im Handumdrehen umsetzt.
Warum haben Sicherheitsupdates für Produkte mit digitalen Elementen einen so großen Stellenwert im Cyber Resilience Act?
Daniel Preuß: Grundsätzlich sind Softwareupdates relevant, weil sie zur Stabilität des Systems beitragen und ungeplante Stillstände verhindert werden. Auch erweitern sie den Funktionsumfang, wodurch sich neue Use Cases mit Maschinen umsetzen lassen. Doch gerade mit Blick auf Cybersecurity sind Updates erforderlich – und das berücksichtigt auch der CRA. Es entstehen heute ständig neue Sicherheitslücken oder die Lücken werden von Hackern entdeckt. Umso wichtiger ist es, regelmäßig Updates durchzuführen, die diese Schwachstellen schließen. Damit wird ein Beitrag zum Schutz vor gezielten Angriffen auf industrielle Anlagen, etwa durch Ransomware oder Sabotage, geleistet. Solche Angriffe verursachen hohe Kosten, Stillstand und auch Fehlverhalten von Maschinen, wenn diese zum Beispiel durch den Angreifer gesteuert werden. Es geht also darum, die Angriffsfläche durch aktualisierte Komponenten, Libraries und Protokolle zu reduzieren. Besonders kritisch sind OT-Systeme. Diese haben oft lange Lebenszyklen und werden gezielt angegriffen, weil sie selten gepatcht werden. Deshalb erfordern sie besonderen Schutz. Hier setzen wir mit NOA an.
Wie funktioniert das Aufspielen von Updates mit NOA?
NOA bietet dem Nutzer drei komfortable Möglichkeiten, Updates vorzunehmen. Bei On-Premise greift der Nutzer über eine HTTP-Schnittstelle (Ethernet) auf das NOA Gerät – etwa das Embedded Automation Device C6 Compact 3 von KEB – zu. Dafür muss man mit dem Laptop im gleichen Netzwerk sein wie das NOA Gerät. Der Vorteil ist, dass die Software schnell über den App Manager direkt in NOA heruntergeladen werden kann und man mit seinem Laptop weiterarbeiten kann.
Eine weitere Möglichkeit ist die Cloud. Über die Cloud-Lösung NOA Portal wird auf das Device zugegriffen und das Update wird bequem aus der Cloud heraus aufgespielt. Laptop und NOA Gerät müssen dabei nicht im selben Netzwerk sein. Die Umsetzung ist besonders einfach: Browser öffnen, in das NOA Portal navigieren und über einen Button die Updates starten – fertig.
Auch können Updates über VPN aufgespielt werden, wobei sich der Nutzer nicht im lokalen Netzwerk seines NOA Geräts befindet, das Gerät aber eine Internetverbindung hat. Mit der NOA Connect App kann der Nutzer eine VPN-Verbindung zum NOA Device aufbauen und andere Geräte im selben Netzwerk erreichen. Anschließend können Softwareupdates, die zum Beispiel zuvor auf den Laptop heruntergeladen wurden, auf die Geräte im Netzwerk des NOA Geräts aufgespielt werden.
Wie sähe die alternative Vorgehensweise ohne NOA aus, um den Update-Anforderungen des CRA gerecht zu werden?
Das hängt vom Gerät und den verfügbaren Schnittstellen ab – also je nachdem, ob CD-Laufwerk, USB-Port, Ethernetport und Internetzugang vorhanden sind. Darüber hinaus sind Speichermedien wie USB-Sticks oder SD-Karten notwendig. Das ist umständlich, da ein physischer Zugriff auf das Gerät erforderlich ist und das Speichermedium jedes Mal manuell eingesteckt werden muss. Natürlich ist es auch möglich, Software auf den Laptop herunterzuladen und dann aufzuspielen. Das ist allerdings zeitintensiv, da der Laptop immer wieder eine Verbindung zum jeweiligen Gerät aufbauen muss. Genau hier kann NOA die Prozesse deutlich vereinfachen und nur wenige Klicks später startet das Update für alle Geräte.
Was Sie über NOA wissen sollten
Was Sie über NOA wissen sollten
Gerade in der Vielzahl an Geräten, die zu updaten sind, steckt vermutlich eine der größten Hürden…
Genau, denn in Produktionsumgebungen hat der Anwender nicht selten mehrere hundert Einheiten, die mit Sicherheitsupdates versorgt werden müssen. Mit dem NOA Portal wird der Prozess dank des Fleet Management Features besonders effizient. Mit dem Fleet Management haben Anwender alle Geräte im Feld beziehungsweise der Produktion im Blick. Im NOA Portal können diese verwaltet und Updates für die gesamte Flotte an Geräten gestartet werden. Einmal im NOA Portal eingeloggt, benötigt man sechs Klicks, um das Update zu starten. So werden aus 30 Minuten – beim klassischen Update mit Speichermedium – gerade einmal 30 Sekunden. Man sieht also: klassische Update-Methoden brauchen viel zu lange. Das führt dazu, dass sie in der Praxis nicht konsequent genutzt werden und das Vulnerability Management nicht richtig Fahrt aufnimmt. Erst Software wie NOA macht konsequentes Vulnerability Management möglich.
Auf welche Update-Intervalle müssen sich Nutzer einstellen?
Hier unterscheiden wir zwischen Security-Updates und Produktupdates für neue Funktionalitäten, Stabilitätsverbesserungen etc. Die Sicherheitsupdates werden von KEB nach den Vorgaben des CRA durchgeführt, dafür haben wir bei KEB ein Vulnerability Management auf Produktebene implementiert. Wir überwachen Software, die wir in den Verkehr gebracht haben, kontinuierlich und nutzen dafür eine Software-Bill-Of-Material (SBOM), die wir im Releaseprozess der Software generieren. Wir kennen also die eigenen und Third-Party Komponenten, die in unserer Software sind. Es werden Datenbanken mit bekannten Schwachstellen abgeglichen, um herauszufinden, ob eine unserer veröffentlichten Softwares Sicherheitslücken aufweist. Vor diesem Hintergrund stellen wir Sicherheitsupdates bereit, wenn eine Sicherheitslücke entdeckt wird. Gemäß dem CRA geben wir dann Meldungen an die entsprechende Behörde.
