Wenn wir über OT-Security sprechen, landen wir schnell bei Tools oder der Achtsamkeit der Mitarbeiter. Sie betonen dagegen immer wieder die Standardisierung. Warum ist diese aus Ihrer Sicht der stärkste Hebel?
Wissen Sie, Standardisierung klingt für viele erst einmal stinklangweilig, aber ich erzähle das gerne: Es ist erstens gar nicht langweilig und zweitens unbedingt notwendig, damit Themen überhaupt ins Laufen kommen. Ich bin felsenfest davon überzeugt, dass Standards der entscheidende Faktor sind, um Security wirklich in die Fläche zu bringen. Und genau in diesem Sinne sind Standards auch ein Enabler: Sie sorgen dafür, dass Security nicht als Insellösung hängen bleibt, sondern interoperabel, breit verfügbar und einfach anwendbar wird. Warum? Weil wir mit Standards drei Dinge erreichen, die für die Industrie essenziell sind: Interoperabilität – das steht für uns an erster Stelle –, eine breite Verfügbarkeit und eine einfache Anwendbarkeit. Tools und Awareness-Schulungen helfen natürlich drumherum, aber damit ein Thema wirklich industrie- und alltagstauglich wird, brauchen wir die Standardisierung. Und wir dürfen uns nicht verzetteln: Fragmentierung führt dazu, dass jeder sein eigenes Süppchen kocht. Der Markt braucht Verlässlichkeit, Durchgängigkeit und Akzeptanz – und die bekommen wir nur, wenn verschiedene Ideen am Ende gesammelt und in einen Standard gegossen werden. Wir bei PI treiben die Datendurchgängigkeit seit Jahren voran, und eine saubere Architektur ist die Grundvoraussetzung, um Security überhaupt standardisiert und sicher umsetzen zu können. Ich halte das Thema für absolut „mission critical“. Alles andere sind Insellösungen, die vielleicht lokal ein Problem lösen, aber keine umfassende Antwort auf die globalen Herausforderungen der Industrie sind.
Bezeichnen Sie also Security als „Enabler“? Das klingt fast schon positiv für ein Thema, das viele als Belastung empfinden…
Das ist ein ganz wichtiger Punkt. Ich sehe Security inzwischen immer weniger als rein regulatorische Pflicht, sondern als den Treiber für die Digitalisierung schlechthin. Das Hauptthema, das uns beschäftigt, ist ja: Wie kriege ich mehr Daten aus dem Feld heraus? Wenn ich diesen Mehrwert anbieten will, ist Security die Voraussetzung, um überhaupt sicher an diese Daten heranzukommen. Ich habe das kürzlich auf unserer PI-Konferenz mit dem Beispiel einer Toniebox illustriert. Das Geschäftsmodell dahinter funktioniert nur, weil die Box sicher vernetzt ist. Vom Use-Case her ist das für Kinder zwanzigmal besser als eine alte Kassette oder CD, aber es erfordert eben Security im Hintergrund, um das Geschäftsmodell sauber abzusichern. Wenn wir das auf die Industrie übertragen, wird klar: Security ist kein Leidensthema, sondern ermöglicht uns erst den Fortschritt bei der Digitalisierung. Sie ist der Enabler und Treiber, um voranzukommen.
Das Ziel wäre also, dass der Anwender von der Security im Idealfall gar nichts mitbekommt?
Ganz genau. Wir stecken jede Menge Expertenwissen, Grips und Know-how in den Automatismus. Am Ende sollte es idealerweise nur noch einen Haken geben: „Security ein oder aus“, wobei „ein“ natürlich der Standard sein muss. Wir bauen im Hintergrund jede Menge State Machines und Mechanismen ein, damit die Security ganz von selbst hochläuft. Wenn wir heute mit den Leuten über komplexe Krypto-Algorithmen diskutieren würden – welchen man nun für welchen Fall wählen soll –, dann würden wir die Akzeptanz im Feld schlicht nicht bekommen. Das wäre Wahnsinn. Usability ist hier absolut gesetzt. Wir Ingenieurinnen und Ingenieure müssen dafür sorgen, dass es einfach bedienbar bleibt, auch wenn die Mechanismen dahinter hochkomplex sind.
Ein großes Highlight für PI ist auch in Bezug auf Security die neue Profinet-Spezifikation V2.5. Warum haben Sie sich hier für einen Major Release entschieden?
Wir werden zur Hannover Messe 2026 dieses neue Release offiziell vorstellen. Es ist ein echter Meilenstein. Wir haben uns ganz bewusst für die Version 2.5 entschieden, um nach außen zu signalisieren: Wir haben einen richtig großen Schritt gemacht. In dieser Spezifikation führen wir Security-Applikationsklassen ein. Das Entscheidende ist: Ein Teil davon wird „mandatory“, also verpflichtend für die Zertifizierung. Wer nach Version 2.5 zertifiziert, für den ist Security kein „Kann-Thema“ mehr, sondern integraler Standard. Wir setzen damit ein klares Zeichen: PI ist der Enabler, damit der Shopfloor sicher wird. Und das Schöne ist: Trotz dieses Sprungs bleiben wir natürlich rückwärtskompatibel. In unserem Umfeld ist Kompatibilität nicht diskutabel; sie ist einfach gegeben und bietet den Anwendern die nötige Planungssicherheit.
Wo ziehen Sie eigentlich die Grenze der Verantwortung? Was gehört in den Standard und was bleibt beim Betreiber?
Wir liefern die Basis, die technischen Mechanismen, damit Security überhaupt einfach umsetzbar wird. Wir bieten der Industrie einen Werkzeugkasten mit verschiedenen Möglichkeiten an. Es ist dann die Aufgabe des Anwenders, daraus das Richtige auszuwählen. Ich vergleiche das gerne mit dem Thema Safety: Auch dort muss der Betreiber eine Risikobewertung machen und das Gefährdungsszenario analysieren. Er hat bei uns die „Qual der Wahl“, aber ich sehe das positiv, weil er sich genau das heraussuchen kann, was er für sein spezifisches Risiko braucht. Würden wir nur eine Lösung für alles vorschreiben, müssten wir das System technisch total überladen, was bei einem niedrigen Risiko völlig unwirtschaftlich wäre. Aber eines muss klar sein: Nur weil ein Profisafe-Logo auf einem Gerät klebt, ist die Maschine noch nicht automatisch sicher – man muss die Mechanismen auch richtig anwenden. Das ist bei Security exakt dasselbe. Wir liefern die Bausteine, aber die Auswahl und Dokumentation sind Anwendersache.
Wie gehen Sie mit der regulatorischen Flut um, etwa dem Cyber Resilience Act oder der NIS2?
Wir beschäftigen uns schon mit Security, seit es Profinet gibt, aber der regulatorische Rahmen erhöht natürlich den Druck und die Awareness. Wir unterstützen die Hersteller dabei, die CRA-Anforderungen zu erfüllen, indem wir unsere Basismechanismen prüfbar machen. Dazu gehört auch die Übersetzung der IEC 62443 in pragmatische Vorgaben. Die Norm ist eine anerkannte Basis. Wir unterstützen die Anwender deshalb mit konkreten Mapping-Papieren, die aufzeigen, welche normativen Anforderungen wir mit unseren PI-Basismechanismen bereits erfüllen. Wir übersetzen die Norm in pragmatische Guidelines und Beschreibungen, die für Engineering-Teams wirklich greifbar sind, damit Security am Ende nicht in Bürokratie erstickt. Wir brauchen keine starre „One-fits-all“-Lösung, sondern einen flexiblen Rahmen, der verschiedenen Bedrohungslagen gerecht wird. Letztlich muss Security einfach durch Usability überzeugen.
In der Praxis stehen wir oft vor Hybrid-Anlagen. Wie sicher sind aktuell die Übergänge zwischen Profinet, Profibus und IO-Link?
Wir verfolgen einen ganzheitlichen Security-Ansatz über alle PI-Technologien hinweg. Auch die IO-Link-Arbeitsgruppen sind längst aktiv; eine erste Guideline ist bereits draußen, die zweite in Arbeit. Wir verankern Security durchgängig in allen Mechanismen, auch im Rahmen von MTP und NOA. Was die Hybrid-Topologien angeht: Wir haben seit über zehn Jahren Aufbaurichtlinien für solche Szenarien. Das Problem ist oft weniger der Standard, sondern die Anwendung. Ich sehe manchmal, dass IT-Security-Scanner einfach blind auf OT-Netzwerke losgelassen werden. Das ist völlig unspezifisch und führt zu Meldungen, die nicht zielgerichtet sind. So kommen wir nicht voran. Man muss schon wissen, was man tut, und die OT-Security sinnvoll prüfen, anstatt einfach irgendwelche IT-Tools aus dem Internet darauf zu werfen.
Ein zentrales Thema ist dabei die Zusammenarbeit zwischen OT und IT. Wie schlägt PI hier die Brücke?
Wir merken in den Gesprächen mit unseren Kunden, dass OT und IT immer enger zusammenrücken müssen. Es geht um das Handling von Zertifikaten, PKI-Umgebungen und die allgemeine Infrastruktur. Den Leuten wird immer bewusster, dass diese Zusammenarbeit notwendig ist, damit es am Ende des Tages gut funktioniert. Wir unterstützen OT-Abteilungen dabei und schulen sie gezielt für die Kooperation mit der IT. Und ganz wichtig: Wir erfinden im stillen Kämmerlein keine eigenen Krypto-Algorithmen. Das wäre völlig kontraproduktiv. Wir nutzen das, was in der IT-Welt bewährt und standardisiert ist. Nur wenn die Schnittstellen klar, eindeutig und einfach anwendbar sind, wird sich die Technik durchsetzen.
Wie stellen Sie sicher, dass die Security-Lösungen auch über den langen Lebenszyklus einer Anlage von 10 bis 15 Jahren tragen?
Das Thema Langfristigkeit war von Anfang an ein wesentlicher Teil unserer Architektur-Diskussionen. Wir haben heute Mechanismen ausgewählt, die nach Expertenmeinung stabil sind. Aber wir wissen auch: Irgendjemand findet vielleicht irgendwann ein Problem. Deshalb ist unsere Architektur so ausgelegt, dass Mechanismen und Algorithmen langfristig austauschbar und updatebar sind. Wir stellen als PI die Mechanismen bereit, aber der Hersteller muss natürlich für die entsprechenden Updates sorgen. Wir drängen die Firmen dazu, diese auch zur Verfügung zu stellen. Security ist ein kontinuierlicher Prozess, der uns begleiten wird. Wir müssen akzeptieren, dass OT-Security jetzt einfach Standard ist.
Wenn Sie auf die letzten Jahre zurückblicken: Was ist die wichtigste Lehre für die Industrie in Bezug auf Security?
Ganz einfach: Machen! Wir haben lange genug über Security geredet. Wir als Organisation stehen im Wort und haben unsere Hausaufgaben bei den Spezifikationen Stück für Stück gemacht. Jetzt geht es um die konkrete Umsetzung. Ich möchte den Werksleitern und Projektleitern die Angst nehmen. Oft herrscht diese unbestimmte Sorge, dass das alles total schwierig und ein Riesenproblem ist. Wir sorgen dafür, dass es interoperabel und anwendbar bleibt. Man muss nicht erschrecken, sondern sich einfach einarbeiten. Security ist keine schwarze Magie, sondern ein technisches Thema, das wir gemeinsam lösen. Es wird in ein paar Jahren so „State-of-the-Art“ sein wie heute andere Basisfunktionen.
Was können die Anwender in den nächsten 12 bis 18 Monaten konkret von PI erwarten?
Das volle Spektrum. Neben dem Profinet-Release 2.5 treiben wir die Security-Zertifizierung energisch voran. Es wird neue Guidelines, Whitepaper, Schulungen, Workshops und Webinare geben. Unsere Webinare zu Security haben heute schon die höchsten Teilnehmerzahlen, das Interesse ist enorm. Wir schulen unsere weltweiten Kompetenzzentren, Testlabore und Trainingszentren, damit wir die nötigen Multiplikatoren haben. Mit über 1.000 vernetzten Experten in unseren Arbeitsgruppen haben wir eine enorme Power. Security ist für uns das Top-1-Thema. Mein Rat an die Betreiber: Nicht warten, sondern die neuen Möglichkeiten für mehr Daten und Durchgängigkeit nutzen. Wir sind bereit für den nächsten Schritt.
.jpg "Welche Hebel wirken für den erfolgreichen B2B‑Vertrieb?")