Hallo und herzlich willkommen zu einer neuen Folge vom Podcast Software Testing. Ich bin euer Host Ritschi und habe wieder eine Folge von den Software Quality Days 2024 aus Wien mitgebracht. Bei mir zu Gast war Christoph, der in einem Maschinenbauunternehmen für das Thema Qualität zuständig ist. Er zeigt uns, wie sie sich auf den Weg gemacht haben, den Cyber Resilience Act umzusetzen, welchen Stellenwert Software im Maschinenbau hat und welche Erfahrungen sie bei
der Umsetzung gemacht haben, plus ein paar Tipps, wie man sich dem Thema selbst nähert. Und jetzt viel Spaß bei der Folge. Hallo Christoph, schön, dass du da bist. Danke für die Einladung. Ja, super spannendes Thema heute. Ich freue mich total. Wir sind ja hier auf den Software Quality Days in Wien. So der erste halbe Tag ist vorbei. Du hast deinen Vortrag schon gehabt. Genau, gleich als erster um 11 Uhr. Ah ja, genau. Bist du jetzt also schon tiefenentspannt hier im Podcast.
Und als ich so deinen Abstract gelesen habe im Vorfeld, als ich mir das so angeschaut habe, hat mich das total fasziniert, weil es geht um den Cyber Resilience Act, also gerade in der Software Branche. Also, oh Gott, was müssen wir da tun und was müssen wir machen? Da gab es viel Aufruhr auch. Und dann quasi in Kombination, ihr seid ein Maschinenbauunternehmen, das sich quasi auf diesem Weg gemacht hat, das umzusetzen. Das ist klasse, da müssen wir uns mal unterhalten. Ja,
gerne, gerne. Vielleicht kannst du uns mal kurz sagen, was macht ihr denn so als Maschinenbauer? Genau, wir sind in Hallen Tirol ein Familienunternehmen in dritter Generation, zweiter, dritter Generation, gerade wechselt. Wir bauen Holzbearbeitungsmaschinen von einfachen Sägen, Hobeln, Fräsen, Überkantenanleihmaschinen, CNC-Bearbeitungszentren und automatisierten, verketteten Anlagen. Ein großer Skiersteller aus Österreich zum Beispiel ist ein Kunde von uns,
der eigentlich im Vierschichtbetrieb seine Holzkerne von den Skiern fräst. Das ist also industrielle Anwendungen. Aber wir sind da eben nicht auf einem Bereich spezialisiert und durch diese hohe Bandbreite haben wir auch viele, viele verschiedene Anforderungen. Das ist das, was die Arbeit da sehr interessant macht. Wie groß seid ihr denn? Kannst du uns da so
einen Rahmen geben? Also wir sind in Österreich ca. 850 Mitarbeiter, dann weltweit nochmal 6 bis 650 im Vertrieb, das größtenteils Tochtergesellschaften von uns sind und haben dann nochmal zwei kleine Produktion- und Entwicklungsstandorte, das auch Familienunternehmen sind, die man in unserer Gruppe mit aufgenommen hat in den letzten Jahren. Und Cyber Resilience Act, das klingt im ersten Moment jetzt nicht so naheliegend. Also ich denke, wir haben einen Hobel, den stecke ich an,
schalte ich ein, oder? Ja, wir beschäftigen uns in den letzten Jahren immer mehr mit natürlich vernetzten Maschinen untereinander bzw. auch, ich sage jetzt mal dieses Schimpfwort Cloud, was machen wir mit unseren Maschinen in der Cloud? Und in dem Zug ist natürlich Security immer ein großes Thema, weil die Maschine per se dann ja nicht stand alone ist, sondern irgendwo schon
mal am Kundennetzwerk, am Internet hängt, wenn man es jetzt einfach runtergebrochen sieht. Und bei einigen Maschinen haben wir unseren Support eigentlich komplett ausschließlich über Remote Lösungen schon, man muss nicht immer hinfahren, also bringt natürlich auch die Kunden die Vorteile. Aber Maschine steckt dauerhaft am Internet, Security-Themen, vor allem angefangen vom Betriebssystem, ist das sicher, Firewall, Antivirus-Software und und und. Ja, das ist
dann doch mehr als man denkt. Wie habt ihr euch denn dem ganzen Security-Thema sowieso genähert, auch gerade in Richtung jetzt von dem Weg Richtung Cyber Resilience Act? Ja, vielleicht mal kurz ausholen, wir sind wirklich ein klassischer Maschinenbauer, also Software ist schon das notwendige Übel. Man beschäftigt sich vielleicht nicht so intensiv mit der Software jetzt in allen Bereichen von der Firma, außer jetzt wirklich unsere Softwareentwicklung selber.
Ja, aber das Bewusstsein, Cyber Security ist schon da, man hat dafür die eigene IT viele, viele Maßnahmen jetzt in der letzten Zeit eingesetzt, Segmentierungen vom Lahn, bessere Firewalls und und und. Und ja, wo dieses Thema von Netz und Maschinen immer mehr aufkommen ist, haben wir halt mal so von uns in der Entwicklungsabteilung gesagt, hey, ihr wisst, es kommt da so eine Gesetzgebung von der EU, Cyber Resilience Act nennen sie das,
hey, lasst uns da mal schauen, ob uns das betrifft. Und haben dann ziemlich schnell so ein erstes Screening zusammen mit einer Consulting-Firma gemacht, die uns da ein bisschen unterstützt, weil es einfach doch, gerade mit den Gesetzgebungen und so weiter, dass du da sauber unterwegs bist, wenn du jetzt wirklich ein Audit machen musst oder das Self-Assessment, das muss ja sitzen. Und ja, dann haben wir also das Screening gemacht,
oh, trifft uns und wie lange haben wir Zeit. Und dann ist der erste Hammer gekommen, ja, wird 2024 geschlossen und dann 12 Monate für die ersten Maßnahmen. Und oh Gott. Und so per se die Definition, wen es betrifft, vielleicht kommen wir da noch im Detail drauf, aber ja, da werden mehrere Unternehmen in der nächsten Zeit Maßnahmen setzen müssen. Wir wissen ja alle,
die Marktpreisbildung, je mehr Nachfrage, desto größer oder höher wird der Preis. Lass uns das frühzeitig auch mit den Partnern klären, weil sonst sagen die irgendwann halt, oh nein, nicht mehr 1200 Euro am Tag, jetzt sind wir mal bei 2000 oder was, dann wird es halt richtig teuer. Was habt ihr denn bei diesem Screening, bei diesem Audit rausgefunden, was, wo ihr gesagt habt, oh, da müssen wir was tun. Ja genau, also wen betrifft der Cyber Resilience Act? Mal jedes
digitale Produkt. Und was ist ein digitales Produkt? Immer wenn die Möglichkeit besteht, mit einem anderen Gerät oder einem Netz interagieren zu können. Also nicht einmal es interagiert, sondern es kann interagieren. Also von der smarten Kaffeemaschine über die Waschmaschine, die eine App dazu hat. Ja, also es trifft eigentlich irgendwie alles,
was irgendwo eine Software drauf hat. Es gibt die Ausnahme mit Open Source, die sie noch rausnehmen, wobei man da gleich dazu sagen muss, wenn du als Unternehmen quasi Open Source Software dann bei dir einsetzt, dann bist du wieder verantwortlich für die Open Source. Also auch da wird es dann, glaube ich, langfristig Änderungen geben. Und reines Web-Post, also Web-Services, eine Website oder sowas, die jetzt nicht in einer App eingebettet ist,
die werden ja ausgeschlossen. Ja, also da seid ihr auf jeden Fall dabei. Was habt ihr da so für Schnittstellen oder für Connect-Möglichkeiten bei der Cloud? Gibt es da Support? Ja, generell, die Maschine hängt ganz normal am Netz. Wir sind gerade dabei, jetzt zu releasen. Ich hoffe, dass die Tests, die Tage jetzt gut laufen, mit Update Over There für schon mal eine ganze Maschinengeneration, um eben Bugfixes, Vulnerabilities schnell auch am Kunden
liefern zu können. Dann Cloud-Datenerhebung, Cloud-Datenverarbeitung, irgendwas mit AI wird kommen. Man muss auch in jedem Podcast mindestens einmal KI gesagt haben. Wir beschäftigen uns mit den Themen immer natürlich, was hat unser Kunde für einen Vorteil daran. Und jetzt, gerade die Konnektivität ist im Moment ja mal die eine Maschine, aber dann wird der Mensch ja immer bequemer. Warum kann ich meinen Kühlschrank fern bedienen? Das ist eine Bequemlichkeit. Und genauso
ist es bei uns dann auch bei den Maschinen. Produktivitätsvorteile hat jetzt der kleine Tischler nicht viel, aber dann vielleicht die Bequemlichkeit, im Büro zu schauen, wie weit ist die Maschine denn? Kann ich mich schon am Weg begeben zur Maschine? Oder ich kriege die Info, ach, irgendein Material geht aus. Auch das nehme ich auf den Weg gleich mit. Und solche Sachen wollen wir langfristig ausarbeiten. Da ist schon mal Konnektivität. Dann haben wir
Kleinigkeiten wie einen Messschieber, der mit Bluetooth mit der Maschine verbunden ist. Barcode Scanner, der über Wireless-Verbindungen arbeitet. Remote Support über VPN oder über Remote Support Tools. Also da haben wir in vielerlei Hinsichten schon bestehende Konnektivitäten und müssen dementsprechend auch das Ganze für uns absichern. Also betroffen seid ihr auf jeden Fall. Das habt
ihr herausgefunden und dann muss man jetzt was machen. Genau, bis es üblich ist, im Board Meeting heißt es dann, dazu Aufwand schätzen, was haben wir für Consulting-Kosten und wie viel Euro können wir dem Kunden verkaufen? Ganz normale Frage, kann sich Ihre Geschäftsleitung jetzt auch nicht damit beschäftigen, dass das ein Muss ist. Die Kalkulation haben wir dann eigentlich fertig gemacht und sind dann wieder ins Board Meeting gegangen und haben gesagt, okay, dann ist zeitgleich
noch nebenbei was aufgepoppt. NIS2 haben immer so die Meinung gehabt, der braucht uns nicht, weil wir sind ja nicht kritische Infrastruktur oder fallen da nicht rein. Jetzt gibt es aber diese kleine Umwegerweiterung. Wir sind ja nicht kritische, sondern notwendige Einrichtung, weil alles verarbeiten die Gewerbe. Ich weiß jetzt momentan noch keinen, der nicht dazu gehört. Der Becker. Der Becker, bin ich von das Krankenhaus, da muss der auch NIS2 sein, wenn der irgendwie
was mit Software mit dem Krankenhaus zusammen macht. Ganz interessant auch. Aber an das Thema des NIS. Da im Aachen ist, müssen wir uns auch beschäftigen, haben wir ja noch total lange Zeit, bis Oktober. Ja und dann heißt es, man muss ins Haus, wir werden den extern verwenden für die erste Zeit. Also ein CSUES-Service. Der wird dann sowieso wegen dem CRA uns Aufgaben geben und lassen uns aber trotzdem in der Firma frühzeitig schon mit Training der Entwicklungsteams beginnen.
Zu dem Zeitpunkt war ja noch so, dass Kaisner hat, ja ab der Verabschiedung haben wir dann 12 Monate Zeit, dieses Incidents Response Team zu bilden, weil man ja die Meldepflicht zur ENISA erfüllen müsste. Hat sich ja jetzt im Proposal dann ein bisschen geändert, das haben wir ja 21 Monate. Also ein bisschen mehr Entspannung, aber wie ich vorher schon erwähnt habe, wir sind ja nicht das einzige Unternehmen, das in nächster Zeit was machen wird. Und die Arbeitskräfte oder die
Experten sind da begrenzt am Markt. Und jetzt begeben wir uns halt voll auf diesen Weg, starten jetzt im Mai mit dem Training und den Entwicklern und Softwarearchitekten, OT-Developern, teils auch den Einkäufern, weil es ja auch diese, also in der NIS heißt es ja, die sichere Lieferkette, weil der CRA ist ja so, du kaufst eine Komponente ein, einen Frequenzumrichter aus China, günstig, und sagst dann dem Lieferanten, du, wie schaut es aus,
CRA, alles klar bei euch, erfüllst du alles? Dann sagen die, was? Worum geht es da? Jetzt habt ihr CE-Kennzeichen, jetzt müsst ihr auch den CRA erfüllen, weil das ja Teil der Konfirmitätserklärung wird. Ja, wir sind sicher, wir sind sicher. Ja, und dann beschäftigen wir uns halt mit Themen, was du jetzt eigentlich als Softwareentwickler gar nicht machen magst, eine Bombe. Wir haben uns also scherzhaft gesagt, ich will eigentlich Softwareentwickler werden,
dass ich nicht mit Excel-Tabellen arbeiten muss. Und ja, da muss man sich jetzt alle diese Maßnahmen setzen. Wir haben jetzt eine Zeitschiene gesetzt, wie es sinnvoll wäre, also gerade mal mit diesem Inzidenz-Response-Team zu starten, vor allem mit einem Cyber-Risk-Assessment starten. Erstmal, wenn ich ein Risk-Assessment gemacht habe von den Maschinen, von allen Maschinen, kann ich überhaupt, wenn einmal eine Schwachstelle gemeldet wird, überhaupt beurteilen, muss ich was machen
oder ist es egal. Jetzt habt ihr dem Entwicklungsteam gesagt, so jetzt gibt es mal ein Training für das Thema. Wie ist das so aufgenommen? Kann man sich vorstellen, das Team zuerst, da muss ich ja noch mehr machen, vor allem Themen, mit denen ich bis jetzt noch so gar nichts zu tun gehabt habe. Lustigerweise eben nicht. Lustigerweise ist das Team alle so, ja, das ist wichtig und, wie man früher schon gesagt hat, natürlich. Hey, wir müssen das oder das, Security-Sicht,
hey, hartgecodetes Passwort ist uncool. Agiler Ansatz. Ja, jetzt ist der Weile mal. Und die sind eigentlich vom Mindset schon so weit und sagen, ja, sie wollen das. Haben vieles an Vorerfahrung und Vorbildung schon durchs Studium oder was in dem Bereich. Aber natürlich jetzt noch diese Umsetzung, dass das ein fester Prozess wird. Klar hat noch keiner von ihnen ein Risk-Assessment direkt gemacht, aber das Mindset ist da. Das ist ja schön, wenn die Offenheit da ist.
Entwickler. Ah, okay. Wo ist da die Einschränkung? Dann im Management. Also, ist ja üblich, es kostet Geld. Ich kann nicht mehr verlangen für die Maschine. Man muss das halt dann wirklich sauber mal vorrechnen und sagen, okay, wenn wir das nicht haben, dann kann es sein, dass wir im ersten Schritt vielleicht die ersten Maschinen nicht verkaufen, weil die an Förderrichtlinien
hängen, die wieder diese Norm voraussetzen. Im Endeffekt ist ja dann so, weil es ja eine CEE-Konformitätserklärung ist, dann würde man halt im europäischen Bereich gar nichts verkaufen. Jetzt beginnt jetzt quasi mit diesem Weg, mit diesem Training. Gibt es schon Sachen, wo die Entwickler oder wo ihr in der Software-Edge auch schon überlegt, wie Dinge anders gemacht
werden in Zukunft vom Entwicklungsprozess her oder auch von der Umsetzung? Ja, wir haben schon seit Jahren so ein Security-Backlog, wo wir halt Sachen reinschreiben, die uns während der Entwicklung schon aufgefallen sind und sagen, oh, muss besser gemacht werden. Ist praktisch akzeptiert gewesen, auch von uns, wo wir sagen, ja, selbst wenn jetzt ein hart gekodetes Passwort da ist, was will der dann damit? Was ist der erwartete Schaden? Und das haben wir schon
so einen Backlog gestartet und der wird jetzt dann aktiver bearbeitet, bzw. auch Sachen, wo man sagt, ja, Inter-Process-Communication jetzt am PC. Ich kommuniziere von unserer Software mit der Schnittstelle zur Steuerung zum Beispiel und diese Kommunikation sollte ja mal besser verschlüsselt sein, um die Integrität zu gewährleisten. Aber was passiert, wenn es nicht ist? Ja, am Ende eine Mittelattacke oder irgendwas, was da möglich ist, aber
was ist dann die Konsequenz? Für den Kunden, sage ich mal, ist die Eintrittswahrscheinlichkeit sehr, sehr niedrig. Das passiert, also man muss ja da erstmal befangen werden oder überhaupt attackiert werden. Und was ist dann der Antrieb für den Hacker? Doch, viel Zeit zu investieren.
Ja, aber das sind für uns halt so Standards. Wenn man jetzt sagt, okay, wir müssen das machen, dann kriegen wir hoffentlich dann auch die Zeit als Entwicklungsteam, die Sachen, ja, okay, da brauchen wir drei Wochen mehr, okay. Ich meine, es ist ja schön, dass ihr euch schon mit diesen Sachen beschäftigt, dass ihr schon so einen Security-Backlog habt. Viele setzen das ja auch einfach aus und warten dann, bis irgendwie mal der erste Test, Pen-Test oder sonst irgendwas da anschlägt und sagt,
ja, hier ist ein Problem oder so. Also sehr schön, wenn ihr euch damit beschäftigt. Nutzt ihr dann auch schon irgendwelche Tools in die Richtung, wo ihr schon so Richtung Auditing, Review oder Analysen fahrt? Also glücklicherweise, wir haben ein statisches Code-Analyse-Tool. Ich habe jetzt mit dem Hersteller geredet und in den neuesten Updates oder im letzten Update waren jetzt schon ein Haufen Security-Guidelines mit drin. Denen
ist das auch bewusst, die werden das immer stärker mit einbauen. Dann haben wir schon ein bisschen gescannt am Markt, was es gibt. Also es gibt echt ganz coole fancy Tools, die richtig, richtig cool sind. Die hat dann für uns zum Beispiel jetzt nicht zu 100 Prozent funktionieren, also nicht für jede, weil wir haben jetzt eine große Windows-Welt und eine große Linux-Welt bei uns im Haus und die würde ich nur für die Linux-Welt verwenden
können. Oder es gibt auch coole Tools, die du wirklich in deine IDE mit integrierst, die dir schon beim Programmieren im Endeffekt sagen, stopp, nicht so gut das so zu machen. Oder das Package, das du jetzt da verwendet hast, hat eine Vulnerability. Fix das mit der nächsten Version. Aber jetzt kannst du konkret bis auf die statische Code-Analyse und ein paar manuelle Security- oder Pentests noch nichts Fixes im Haus an Tools haben.
Also jetzt ist ja der Zeitplan für euch mal so Trainings und so und dann gibt es den CISO bei euch, der dann auch die Aufgabe mit... Wie sieht denn so die Roadmap aus? Habt ihr euch da so ganz grob eine überlegt, wie es jetzt weitergeht? Genau, also der CISO wird jetzt mal den Fokus auf NIST 2 kriegen und wenn das einmal so am Anlaufen ist, dann kommt es halt so als Randerscheinung. Er wird übrigens dann auch gleichzeitig unser Consultant im Bereich CER sein. Ist die gleiche Firma, aber auch die
gleiche Person. Und dann fokussieren wir uns halt weiter. Also wir haben dann das Training abgeschlossen, dann geht es wirklich an das Cyber-Risk-Assessment. Und wenn das mal für die Maschinen steht, dann können wir eben starten, dieses Incident Response Team zu bilden. Da ist die große Frage, neue Kräfte holen, bestehende Kräfte verwenden. Da jetzt so wie der Tester am Markt, also dieses Einhorn ist, also wenn man es findet, dann ist er
teuer und wird es bei denen genauso sein, denke ich. Also wird man es versuchen im eigenen Team praktisch über Ausbildung, Trainings machen zu müssen. Mit dem Hintergrund, dass natürlich eine gewisse Speed in der Entwicklungsleistung langsamer wird, als was Features betrifft. Ja und das ist dann für 2025 dann unsere große Aufgabe, dass das Incident Response Team und das Cyber-Risk-Assessment dann funktioniert. Dann werden wir mal für den ersten Schritt,
der wir 21 Monate Zeit haben, mal gerüstet. Und stehen halt dann nicht nackig da.
Ja genau. Ja, ist ja ein wichtiger Widerfaktor. Merkst du denn, das fällt mir jetzt gerade ein, du hast das vorher auch gesagt, und das ist auch so eine Wahrnehmung, die ich habe, dass so in Unternehmen oder in Branchen, wo Software eher so früher eine Randentscheidung war oder gar nicht vorhanden und jetzt so ein bisschen rein diffundiert, merkst du, dass jetzt auch die Wertschätzung für das ganze Software-Thema zunimmt und die Bedeutung?
Ja, also man merkt, dass es immer wichtiger wird und dass man sich jetzt über lange Zeit über die Software unterscheiden kann von den Maschinen. Also scherzhafter, so Blechschweißen kennen mittlerweile viele Firmen aus dem fernen Osten oder sonst was. Qualität ist dann immer ein Thema, wo wir uns unterscheiden können, weil Preis geht nicht. Wir sind halt in Tirol
ist im Vergleich zu Deutschland wirklich ein Hochpreis-Standort. Also Lebenshaltehaltkosten riesig, Mieten riesig und da werden wir nie günstige Arbeitskräfte bekommen, das ist so. Also Qualität ein Thema und das nächste sind natürlich Innovationen, Features, Software. Ich sage jetzt mal, die meisten Features sind entweder mit der Software gelöst oder benötigen wir Software dazu.
Ja, alles klar. Ja, sehr spannend. Also super, danke mal für diesen Einblick. Ich finde es toll, dass ihr da auch diesen Weg geht und auch da schon vom Mindset oder von der ganzen Kultur seid, das so aufzunehmen und umzusetzen. Ich glaube, da werden viele Unternehmen jetzt auch folgen, weil es einfach notwendig ist, sich darüber Gedanken zu machen. Finde ich super, dass ihr da auch so eine führende Rolle bei euch auch einnehmt und das vorantreibt.
Also ich kann es bloß jedem, der da irgendwie auch, wenn er kein Manager ist oder sonst was empfehlen, beschäftigt sich mit dem Thema. Es wird zumundest so kommen, ob es jetzt ähnlich wie die DSKVO dann ein bisschen so in die Zahn verläuft, aber nicht mehr ganz so hoch gehandelt wird. Aber wie gesagt, es stehen ja immer noch diese jährlichen Cybersecurity oder Cyberincident-Schäden, Summen von 25,5 Billionen Euro waren geschätzterweise weltweit.
Also ich denke schon, und die Hacker werden ja, jetzt haben wir das zweite Mal das Wort KI, werden ja mit der auch immer leistungsfähiger. Erzähl das, dann kann man mehr rausholen damit. Super, danke, dass du KI auch noch mal erwähnt hast. Wir werden es auch in die Schlagwort suchen. Super, Christoph, vielen Dank, dass du dabei warst. Ich wünsche dir noch ganz viel Spaß hier auf der Konferenz und inspirierende Vorträge. Danke für die Einladung. [Musik]