Management

Mauer dick, Türen zu: Endress+Hauser macht aus der Informationssicherheit einen Wettbewerbsvorteil

alex.gertschen@sqs.ch

Alex Gertschen

Veröffentlicht am: 21.03.2024

Lesedauer

ca. 5 Minuten

Das Familienunternehmen Endress+Hauser ist ein Weltmarktführer für Mess- und Automatisierungstechnik. Zurzeit entwickelt es für seine Kunden das «Industrial Internet of Things»: ein Angebot, das Messgeräte und -verfahren mit digitalen Lösungen verbindet. Eine Voraussetzung für die Kundenakzeptanz und den kommerziellen Erfolg ist die Informationssicherheit. Dafür lässt sich Endress+Hauser von der SQS zertifizieren.

«You can’t manage what you can’t measure.» Bei Endress+Hauser nimmt man diesen Leitspruch des Managements sehr ernst. Mit sehr viel Erfolg. Das Familienunternehmen verkauft weltweit Geräte zur Durchfluss-, Füllstand-, Druck- und Temperaturmessung sowie zur Prozessanalyse. Damit setzt Endress+Hauser – ein «hidden champion», wie sie für die Schweiz und Deutschland typisch sind, – pro Jahr über drei Milliarden Franken um (siehe Text nebenan).

Gesprächstermin mit Bernd Krehoff und Steve North am Sitz der Tochtergesellschaft Endress+Hauser Digital Solutions im basellandschaftlichen Reinach. Krehoff ist Head of Quality & Agility und North Information Security Manager bei Endress+Hauser Digital Solutions, wo Lösungen entwickelt werden, um die Daten aus den Messgeräten für die Kunden zu digitalisieren. Die beiden nutzen das Kaffeeholen in der Betriebskantine gleich für Anschauungsunterricht.

 

Krehoff_North_Endress_Hauser

Bernd Krehoff (l.) und Steve North in der Kantine von Endress+Hauser
Digital Solutions.

Bild: Alex Gertschen

E+H_Claim_2c-01

Zum Unternehmen

«Hidden champions» werden Unternehmen genannt, die weniger als fünf Milliarden Euro Umsatz machen, auf ihrem Markt unter den weltweit drei grössten Anbietern und in der breiten Öffentlichkeit dennoch weitgehend unbekannt sind. In Deutschland, Österreich und der Schweiz gibt es besonders viele von ihnen. Zu diesen «verborgenen Klassenbesten» gehört eindeutig auch Endress+Hauser.

Das Unternehmen wurde 1953 vom Schweizer Ingenieur Georg H. Endress und dem Deutschen Ludwig Hauser, Leiter einer Genossenschaftsbank, in Lörrach unweit von Basel gegründet. Es entwickelte sich zu einem führenden Anbieter von Mess- und Automatisierungstechnik und erzielte 2023 mit annähernd 17 000 Beschäftigten mehr als 3,7 Milliarden Euro Umsatz. Die über 100 000 Kunden stammen überwiegend aus sieben Branchen bzw. Bereichen: Chemie, Energie, Lebensmittel, Life Sciences inkl. Pharma, Öl & Gas, Rohstoffe & Metalle sowie Wasser & Abwasser. Mittlerweile mit Sitz im basellandschaftlichen Reinach, ist Endress+Hauser laut eigenen Angaben das weltweit grösste Familienunternehmen in der Prozessautomatisierung.

 

Der Business-Case

Die Frage ist natürlich nicht, ob der Betrieb und Verbrauch der prächtigen Kaffeemaschine gemessen werden, sondern vielmehr wie und wozu. «Ein Messgerät kann sehr dumm und sehr intelligent sein», sagt North. Die Messung des Durchlaufs und Drucks in der Wasserleitung zum Beispiel bringe per se wenig. «Aber indem wir die nicht angezeigten Daten in unsere Netilion-Cloud senden und dort grafisch aufbereiten, werden aus den Daten nützliche Informationen.» Wie viele Tassen Kaffee sind heute schon konsumiert worden? Braucht das Messgerät eine Wartung? Die Kombination der physikalischen Messung und digitalen Informationsverarbeitung erlaubt es, solche und andere Fragen laufend zu beantworten und die Verantwortlichen gegebenenfalls auf Handlungsbedarf aufmerksam zu machen.

Klingt Ihnen das etwas banal? Dann stellen Sie sich anstatt der Kaffeemaschine in der Betriebskantine eine riesenhafte Erdölraffinerie vor. Oder Getreidespeicher, die zu Dutzenden über Hunderte von Quadratkilometern verstreut sind. Oder tiefe und schwer zugängliche Schächte in Trinkwasser-Verteilnetzwerken. Auch überall dort gilt es zu messen, ob und wie Prozesse funktionieren, ob die Qualität und Effizienz stimmen, Wartungen oder Reparaturen durchgeführt werden müssen.

Wenn die Systembetreiber solche Überprüfungen – wie bis anhin – mit Personal von Hand vornehmen lassen, ist das sehr teuer, langwierig und manchmal gefährlich. Und wenn sie diese Überprüfungen aus Kostengründen oder mangels Fachkräfte unzureichend durchführen und es deshalb zu Fehlern oder gar Unfällen kommt, wird es erst recht teuer. «Die ortsunabhängige, digitale Erfassung und Auswertung der Daten bietet enorme Möglichkeiten, um die Effizienz und Zuverlässigkeit zu steigern und Kosten zu sparen», sagt Krehoff. «Die Kombination physikalischer und digitaler Lösungen stellt für unsere Kunden – und für uns – deshalb eine grosse Chance dar.»

 

Innovations- versus Risikokultur

Endress+Hauser Digital Solutions wurde 1999 gegründet. Von den nahezu 180 Mitarbeitenden sind rund die Hälfte Softwareentwickler und -tester. Sie sorgen dafür, dass die Geräte von Endress+Hauser digital kommunizieren und bedient werden können – das geht von der Entwicklung von Gerätetreibern über Softwareanwendungen bis hin zur Integration in Systemen. Ein solches ist Netilion. Es ermöglicht den Kunden den cloudbasierten Zugriff auf die Funktionen und den Gesundheitsstatus der Geräte oder die Dokumentation des Lebenszyklus. «Industrial Internet of Things» nennt sich dies.

So symbiotisch der Begriff klingt: In der Praxis ist das Zusammenführen industrieller und digitaler Ansätze mit kulturellen Reibungen verbunden. «Viele unserer Kunden kommen aus traditionellen Industrien, in denen Sicherheit und Zuverlässigkeit sehr wichtig sind», sagt Krehoff. «Das hat auch unsere Unternehmenskultur geprägt. Die Softwareentwicklung hingegen ist von Geschwindigkeit, Agilität und kontinuierlicher Innovation geprägt.» Deshalb müssten das Risikobewusstsein und -management des Kerngeschäfts und der Kunden mit dem Innovationsgeist von Endress+Hauser Digital Solutions in Einklang gebracht werden.

Hierfür ist die Informationssicherheit seit 2019 professionalisiert worden. Damals wurden die Gruppenleitung mit einem Chief Information Security Officer verstärkt und bei Endress+Hauser Digital Solutions Norths Stelle als Informationssicherheitsmanager geschaffen. Zudem baute Endress+Hauser Digital Solutions ein Informationssicherheits-Managementsystem (ISMS) nach der ISO/IEC 27001 auf, ergänzt durch die Richtlinien der ISO/IEC 27017 für Informationssicherheitskontrollen bezüglich der Bereitstellung und Nutzung von Cloud-Diensten. Die SQS zertifizierte das ISMS 2020 und rezertifizierte es 2023, wenige Tage nach Inkrafttreten der revidierten ISO/IEC 27001:2022.

Der Nutzen der Normen an drei «Fronten»

Wenn es um Informationssicherheit geht, unterscheidet North zwischen drei «Fronten»:

Zur Sicherheit der Geräte sagt North: «Jedes unserer Geräte enthält Software. Mit der Norm IEC 62443 gewährleisten wir, dass wir einen sicheren Software-Entwicklungsprozess haben. Hierfür ist wiederum eine sichere Umgebung notwendig, die durch die ISO 27001 gewährleistet wird.»

Zur Sicherheit der Cloud und der Verbindungen zu ihr sagt North: «Wir nutzen die Cloud-Infrastruktur von Amazon Web Services (AWS). Die Datenhoheit liegt grundsätzlich beim Kunden – ausser, er erteilt uns Zugriffsrechte, damit wir seine Geräte für ihn im Blick haben oder andere Dienstleistungen wie Reparaturen oder Austausch für ihn durchführen können. Das kommt immer häufiger vor. Strategisch verzichten wir aber bewusst auf die Option, unsere Geräte aus der Cloud heraus steuern zu können. Der Kunde soll die Gewissheit haben, dass wir nur 'lesen' und nicht steuern. Auch das stärkt die Informationssicherheit und das Vertrauen in unsere Cloud. Die ISO 27001 und die ISO 27017 sind von Belang, weil sie uns darin unterstützen, unsere eigenen Verbindungen zu Netilion zu sichern und die Kunden für ihre eigene Rolle und Verantwortung zu sensibilisieren.»

 

Typologie_Endress_Hauser

 

Zwei Normen für zwei «Fronten»: Die von der SQS zertifizierten Normen ISO/IEC 27001 und ISO/IEC 27017 unterstützen Endress+Hauser Digital Solutions bei der Gewährleistung der eigenen Informationssicherheit und jener rund um die Netilion-Cloud.

 

Zur Sicherheit von Endress+Hauser Digital Solutions und der ganzen Gruppe sagt North: «Hier liegt die grösste Herausforderung für uns. Denn als Unternehmen mit mehreren Milliarden Umsatz sind wir für kriminelle Organisationen interessant. Wir registrieren jeden Tag über 7 000 Cyberangriffe. Also müssen wir die Informationssicherheit von Endress+Hauser Digital Solutions und der ganzen Gruppe sicherstellen. Unsere dezentrale Organisation macht diese Aufgabe noch anspruchsvoller, weil viele Verantwortlichkeiten geteilt sind und deshalb bestimmt werden muss, wer wofür zuständig ist. Es nützt nichts, wenn wir eine dicke Cybermauer bauen, aber jemand eine Türe offenlässt, durch die der Angreifer eindringen kann.»

Norths Kollege Krehoff ergänzt: «Hier liegt ein besonderer Nutzen der ISO 27001. Die ISO 9001, nach der wir ebenfalls zertifiziert sind, erfordert ja auch ein Risikomanagement. Die ISO 27001 geht darüber hinaus und verlangt eine genaue Darlegung der Kontrollmechanismen. Paradoxerweise hat diese Strenge der Norm unsere Kreativität und Innovation gefördert, denn sie zwang uns, auf viele Fragen ganz konkrete Antworten zu haben. Wir liessen unsere Entwicklungsteams Lösungen erarbeiten und wandten die besten erst bei Endress+Hauser Digital Solutions und anschliessend auf Gruppenebene an.»

Endress_Hauser_Shooting

Bild: Endress+Hauser

Netilion_master_messung

Bild: Endress+Hauser

Netilion_health_food_beverage

Bild: Endress+Hauser

datenschutzmanagement_st

Infoveranstaltungen und Seminare der SQS zu Datenschutz und Informationssicherheit 

Der Nutzen der Zertifizierung nach aussen und innen

Steve North erzählt eine Anekdote, um den Wert des ISO 27001-Zertifikats zu erklären: «Ein Kundenbetreuer lud mich 2021 zu einem Treffen mit einem Kunden ein, dessen IT-Verantwortlicher nicht aufgehört hatte, kritische Fragen zu unserer Cloud Netilion zu stellen. Das Treffen fand über MS Teams statt, aber auch so bemerkte ich die Skepsis des IT-Verantwortlichen auf den ersten Blick! Sie wich ihm schlagartig aus dem Gesicht, als ich ihm sagte, wir hätten uns eben nach der ISO 27001 zertifizieren lassen. Wir konnten von den Grundsatz- zu ganz spezifischen Fragen übergehen, und einige Tage später war der Vertrag unterzeichnet.»

Der Wert des Zertifikats liegt laut North daran, dass die ISO 27001 in Fachkreisen als anspruchsvoll anerkannt und eigentlich alternativlos sei, «wenn man industriespezifische Normen wie zum Beispiel solche für die Finanzbranche beiseitelässt». Die «sehr gute» Revision von 2022 habe diese Anerkennung noch gestärkt. Zudem sei bekannt, dass die Akkreditierungsstelle in der Schweiz die Norm viel strenger auslege als ihre Pendants in den anderen Ländern. Das sei für Anwender und Zertifizierer eine Herausforderung, trage aber zur Glaubwürdigkeit von hiesigen Zertifikaten bei.

Bernd Krehoff ergänzt, die Zertifizierung stifte auch gegen innen einen Nutzen. «Sie spornt uns an, weil sie uns motiviert, bis zum Tag X gewisse Aufgaben zu erledigen. Hinzu kommt, dass der Auditor uns mit seinen Fragen herausfordert und uns interessante Hinweise geben kann, weil er Einblick in ganz viele Unternehmen hat – auch in anderen Branchen.»

Sie, deren Kerngeschäft die Messung ist, lassen sich auch gerne selbst messen.

 

Sechs Daumenregeln für die Informationssicherheit +

Bernd Krehoff und Steve North von Endress+Hauser Digital Solutions empfehlen für die Informationssicherheit die folgenden Daumenregeln:

  1. Risikomanagement: «Der Risikomanagement-Prozess ist das A und O der Informationssicherheit. Dies hilft Ihnen, systematisch und bewusst über die Themen Risiko und Sicherheit zu sprechen – nach dem Motto: lieber einfach, pragmatisch und regelmässig, statt schwer, langatmig und sporadisch. Nicht nur die IT-Fachkräfte, auch die Geschäftsleitung sollte involviert werden. Denn jedes Unternehmen hat begrenzte Ressourcen für die Informationssicherheit. Nur ein strategisches Vorgehen hilft, diese an den richtigen Orten einzusetzen.»
     
  2. User-Berechtigungen: «Die meisten Angriffe sind aufgrund von 'privilege escalation' erfolgreich, also die Ausweitung der Zugriffsrechte der Angreifer auf immer mehr Systembereiche. Entscheiden Sie deshalb sorgfältig, welche Ihrer Mitarbeitenden Administratorenrechte benötigen – und für was und für wie lange. Eine spezifische Verwaltung der Rechte ist zwar mühsam für diejenigen, die die Applikationen und Systeme betreuen, sie bremst Angreifer aber effektiv.»
     
  3. Passwort: «Ihre Sicherheit ist nur so stark wie Ihre Passwörter. Es kann nicht oft genug betont werden: je länger und komplexer das Passwort, umso besser. ‘Password’ ist leider immer noch das meistverwendete Passwort der Welt! Gute Passwörter bestehen aus mindestens 14 Ziffern, aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen, welche keinen echten Wörtern entsprechen. Demnach ist P@$$wort1234!! nicht stärker als ‘passwort’. Last but not least: Verwenden Sie Ihre Passwörter nie auf mehreren Webseiten und Systemen: 1 Website/System = 1 Passwort. Es gibt sehr gute Passwort-Manager, die das unterstützen.»
     
  4. Backup: «Two is one, and one is none. Dieses Motto der US Navy Seals gilt auch für Ausrüstungsbackups. Stellen Sie sicher, dass Ihre Daten vernünftig und regelmässig gesichert werden. Denken Sie daran, dass, wenn etwas passiert, Sie möglicherweise alle Ihre Daten seit dem letzten Backup verlieren. Prüfen Sie, ob Ihre Datensicherungen erfolgreich waren, testen Sie es. Testen Sie auch regelmässig, ob Sie Ihre Daten wiederherstellen können. Und zu guter Letzt: Schauen Sie, dass Ihre Backups von Malware geschützt sind, am besten offline oder ‘immutable’, denn von Angreifern verschlüsselte Backups bringen Ihnen nichts.»
     
  5. Incident- und Krisenmanagement: «Die Frage ist nicht mehr, ob Sie angegriffen werden, sondern wann. Stellen Sie sich jetzt schon – in aller Ruhe – die Frage, wie Sie auf Angriffe reagieren werden. Wissen Sie, wie Sie an Ihre Daten kommen, auch wenn Ihre Systeme verschlüsselt sind? Kommen Sie in das Gebäude, wenn die Badge-Leser nicht mehr funktionieren? Wie erreichen Sie Ihre IT-Fachkräfte und Ihre Geschäftsleitung, wenn alle Kontaktdaten im HR-System gelöscht wurden? Von den Antworten hängt ab, wie gut Sie auf eine Krise vorbereitet sind.»
     
  6. Awareness: «Die Mitarbeitenden sind die erste Verteidigungslinie. Oft liest man, sie seien die grösste Schwachstelle. Das stimmt nur für die nicht sensibilisierten Mitarbeitenden. Wenn Sie sie bezüglich der Erkennung von Phishing-Emails oder der (Nicht-)Nutzung von USB-Sticks schulen, verbessern Sie Ihre ‘Security-Posture’ massiv. Die technischen Mittel, um Organisationen und Systeme zu schützen, sind so gut geworden, dass der einfachste Weg für einen Angreifer darin besteht, mittels Phishings über kompromittierte Konten einzudringen.»

Unser Newsletter bringt relevante und interessante Inhalte zu Ihnen

Möchten Sie informiert werden, wenn wir einen neuen Beitrag aufschalten? Dann abonnieren Sie unseren SQS-Blog-Newsletter. Sie können sich jederzeit wieder abmelden.