Interview mit Constant Kohler, Experte für die Entwicklung von Cybersicherheitsnormen

‍Constant, können Sie kurz Ihre Rolle bei Siemens erläutern und wie Sie an der Entwicklung von Normen beteiligt sind?

Constant Kohler: Natürlich! Ich arbeite in Brüssel und meine Rolle bei Siemens konzentriert sich hauptsächlich auf die Entwicklung von Normen und Vorschriften, insbesondere im Bereich der Cybersicherheit (sowohl auf europäischer als auch auf internationaler Ebene). Bevor ich zu Siemens kam, arbeitete ich fünf Jahre lang im Managementzentrum von CEN und CENELEC, den europäischen Normungsgremien. Dort habe ich die Welt der Normen und ihrer Prozesse und Inhalte kennengelernt. Dadurch konnte ich Kenntnisse in verschiedenen Bereichen wie Cybersicherheit, künstliche Intelligenz und Blockchain oder dem weiten Feld der Elektrotechnik erwerben. Heute bin ich für die Entwicklung von Normen zuständig, insbesondere für das Cyber Resilience Act (CRA) und den Digital Product Passport (DPP). In dieser Funktion beteilige ich mich an der Arbeit von Ausschüssen auf europäischer Ebene (CEN, CENELEC) und auch auf internationaler Ebene (ISO, IEC).

Warum ist es für ein Unternehmen wie Siemens so wichtig, sich an der Entwicklung von Normen zu beteiligen?

Constant Kohler: Für Siemens ist die Entwicklung von Normen wichtig, weil sie gleiche Bedingungen für die verschiedenen Akteure in einem bestimmten Sektor schaffen. Normen sorgen für Klarheit und Konsistenz, insbesondere wenn sie zur Unterstützung europäischer Vorschriften entwickelt werden. Es ist in der Tat wichtig, Normen zu entwickeln, die mit den Rechtsvorschriften übereinstimmen und gleichzeitig den spezifischen Bedürfnissen eines Sektors entsprechen. Dies ist besonders in sich schnell entwickelnden Sektoren wie der Cybersicherheit von Bedeutung, wo wir uns ständig an neue Rechtsvorschriften und technologische Entwicklungen anpassen müssen. Daher muss sichergestellt werden, dass die Normen an unsere Bedürfnisse (für unsere Produkte und Systeme) angepasst sind und gleichzeitig den bestmöglichen Sicherheitslevel gewährleisten - nicht nur für unsere Produkte und Systeme, sondern letztlich für das gesamte Ökosystem.

Sie sagten, dass die Entwicklung einer Norm mehrere Jahre dauern kann. Können Sie uns mehr über diesen Prozess erzählen?

Constant Kohler: Ja, die Entwicklung einer Norm dauert im Allgemeinen zwei bis drei Jahre. Alles beginnt auf nationaler Ebene, wo Organisationen wie der NBN Experten benennen, die an den Aktivitäten europäischer oder internationaler technischer Ausschüsse (TCs) teilnehmen. Diese TCs bringen eine Reihe von Experten zusammen, darunter Vertreter der Industrie, KMU, Gesetzgeber, Akademiker, Vertreter der Zivilgesellschaft, usw. Die Arbeitsgruppen (WGs), die unter der Leitung der TCs arbeiten, sind ebenfalls sehr vielfältig und setzen sich aus Experten mit unterschiedlichem Hintergrund zusammen. Der Zweck der WGs besteht darin, auf Konsensbasis zu arbeiten, was bedeutet, dass es innerhalb einer WG keine Abstimmungen gibt, aber das Ziel ist immer, sicherzustellen, dass alle Mitglieder mit den zu entwickelnden Normen und technischen Spezifikationen einverstanden sind.

Das Arbeitstempo der Arbeitsgruppen ist in der Regel sehr hoch, manchmal finden mehrere Sitzungen pro Monat statt, vor allem wenn diese Arbeitsgruppen Normen zur Unterstützung der europäischen Vorschriften entwickeln. Eine der größten Herausforderungen ist die Kombination verschiedener Fachbereiche (z. B. Technik, Recht, Verfahren), insbesondere in Bereichen wie der Cybersicherheit, wo sich die Bedrohungen ständig ändern und ein breites Spektrum an Fähigkeiten erforderlich ist, um sicherzustellen, dass die Normen den Anforderungen der Europäischen Kommission entsprechen. Darüber hinaus müssen die Arbeitsgruppen immer kürzere Fristen einhalten, die von der Europäischen Kommission vorgegeben werden (z. B. für die CRA oder das DPP). Eine Norm, deren Entwicklung früher drei Jahre dauerte, muss heute in weniger als anderthalb oder zwei Jahren fertiggestellt werden.

Was sind die wichtigsten Vorteile für ein Unternehmen wie Siemens, das sich aktiv an der Entwicklung von Normen beteiligt?

Constant Kohler: Es gibt viele Vorteile. Erstens erhalten wir dadurch einen frühzeitigen Einblick in künftige Normen, was uns hilft, unsere Produkte und Prozesse proaktiv anzupassen. Zweitens haben wir so die Möglichkeit, direkt an der Entwicklung von Normen mitzuwirken, was ein strategischer Vorteil sein kann. Normen definieren die gesetzlichen Anforderungen, die Produkte erfüllen müssen. Unternehmen, die sich aktiv an der Entwicklung von Normen beteiligen, haben die Möglichkeit, diese Anforderungen aus technischer Sicht zu gestalten, was ihnen einen klaren Vorteil auf dem Markt verschaffen kann.

Welche Rolle spielt Europa bei Normen ? Sind wir Vorreiter oder folgen wir internationalen Trends?

Constant Kohler: Die Europäische Union steht in der Tat an der Spitze der Gesetzgebung zur Cybersicherheit. Das zeigen Initiativen wie der Cyber Resilience Act und die NIS2-Richtlinie, die Unternehmen zu strengeren Sicherheitsmaßnahmen für ihre IT-Produkte und -Systeme verpflichten. Was Europa möglicherweise von anderen Ländern unterscheidet, ist der risikobasierte Ansatz. Das bedeutet, dass Unternehmen Maßnahmen ergreifen müssen, die auf die spezifischen Risiken zugeschnitten sind, denen sie ausgesetzt sind, und nicht eine Standardlösung. Dies gibt den Unternehmen ein gewisses Maß an Flexibilität, um den besten Ansatz und die besten technischen Lösungen für ihre spezifische Situation und die mit ihrer Funktionalität oder ihrem Betriebsumfeld verbundenen Risiken zu wählen. Dieser Ansatz ermöglicht es, Produkte oder Informationssysteme auf die am besten geeignete Weise zu sichern.

Auf internationaler Ebene entwickeln auch andere Regionen wie die Vereinigten Staaten, China und Indien ihre eigenen Rechtsvorschriften. Einige Regionen lassen sich von der Europäischen Union inspirieren, wie es bei der RGPD der Fall war. Daher ist die Frage der Harmonisierung von Vorschriften für Unternehmen wie Siemens, die weltweit tätig sind, besonders wichtig. In dieser Hinsicht helfen europäische oder internationale Normen bei der Harmonisierung von Vorschriften. Deshalb engagiert sich Siemens auch in der Normenentwicklung.‍

Welche Rolle spielen Sie bei der Entwicklung spezifischer Normen? Können Sie uns ein konkretes Beispiel nennen?

Constant Kohler: Ein Projekt, an dem ich vor kurzem mitgewirkt habe, war die Entwicklung der Normenreihe EN 18031, in der die Cybersicherheitsanforderungen für Funkanlagen definiert sind. Diese Norm wurde als Reaktion auf die europäische Funkausrüstungsrichtlinie (RED) entwickelt. Das Interessante an dieser Norm ist, dass sie für eine breite Palette von Produkten gilt, von vernetzten Zahnbürsten bis hin zu industriellen Automatisierungssystemen. Neben den technischen Beiträgen war ich vor allem an der Überprüfung der Normen anhand der Anforderungen der Europäischen Kommission beteiligt, d. h. an der Analyse des technischen Inhalts aus rechtlicher Sicht. Dazu gehörte die Überprüfung des technischen Inhalts, aber auch die Erstellung von Berichten, in denen der Ansatz der Norm, ihre Anwendbarkeit und die Erfüllung der Anforderungen der Europäischen Kommission erläutert werden. ‍

Was sind Ihre persönlichen Erfahrungen mit der Arbeit in diesen internationalen Arbeitsgruppen?

Constant Kohler: Die Zusammenarbeit in diesen Arbeitsgruppen ist sehr intensiv, aber auch sehr lohnend. Wir arbeiten mit Menschen aus verschiedenen Ländern, Sektoren und Disziplinen zusammen, was ein sehr vielfältiges Arbeitsumfeld schafft. Das kann manchmal eine Herausforderung sein, vor allem, wenn die Teilnehmer aus unterschiedlichen Bereichen kommen und nicht unbedingt dieselbe Sprache sprechen. So können beispielsweise Ingenieure und Juristen Probleme aus sehr unterschiedlichen Blickwinkeln angehen, und es kann schwierig sein, eine gemeinsame Sprache zu finden. Aber das ist es auch, was diese Arbeit so lohnend macht. Es geht immer darum, Kompromisse zu finden und Brücken zwischen verschiedenen Sichtweisen zu bauen, was zu einem reichen Ideenaustausch führt.

Was ich besonders schätze, ist, dass alle Experten in diesen Arbeitsgruppen ein gemeinsames Ziel haben: Normen zu entwickeln, die allgemein anwendbar sind und dazu beitragen, das Sicherheitsniveau in Europa und im Rest der Welt zu erhöhen. Die Atmosphäre ist im Allgemeinen sehr kollegial und konstruktiv, selbst wenn es Meinungsverschiedenheiten gibt.

Gibt es Herausforderungen bei der Teilnahme an diesen Ausschüssen?

Constant Kohler: Auf jeden Fall, es gibt viele Herausforderungen. Eine der größten ist das Arbeitstempo, das erheblich zugenommen hat. Wie ich schon sagte, werden die Fristen für die Entwicklung von Normen immer kürzer, und das bedeutet immer mehr Sitzungen. Während wir früher vielleicht eine Plenarsitzung pro Jahr hatten, treffen sich die Arbeitsgruppen jetzt mehrmals im Monat. So kann es schwierig sein, diese Verpflichtungen neben meinen anderen Aufgaben zu bewältigen.

Außerdem erfordert die Entwicklung von Normen immer mehr Spezialwissen. Technisches Fachwissen reicht nicht mehr aus; auch rechtliche und sogar geopolitische Aspekte müssen berücksichtigt werden! Darüber hinaus sind neben den "hard skills" die "soft skills" besonders wichtig und werden geschätzt (Ideen klar formulieren, sie "verkaufen", Experten überzeugen usw.).

Was gefällt Ihnen an der Arbeit in diesen Arbeitsgruppen besonders gut?

Constant Kohler: Für mich ist es eine sehr lohnende Erfahrung. Es ist nicht nur eine intellektuelle Herausforderung, sondern auch eine einzigartige Gelegenheit, mit unglaublichen Experten aus der ganzen Welt zusammenzuarbeiten. Man lernt ständig neue Dinge. Das Netzwerk, das man durch die Teilnahme an diesen Ausschüssen aufbaut, ist von unschätzbarem Wert. Man lernt von anderen, kann aber auch sein eigenes Fachwissen weitergeben und die Zukunft der Branche beeinflussen.

Darüber hinaus ist es sehr befriedigend zu wissen, dass unsere Arbeit direkte Auswirkungen auf die Sicherheit und Zuverlässigkeit der weltweit verwendeten Produkte hat. Normen helfen den Unternehmen nicht nur bei der Einhaltung von Gesetzen, sie sorgen auch dafür, dass die Verbraucher Produkte, die sie kaufen, vertrauen können.

Wenn Sie auf Ihre bisherige Karriere in der Normenentwicklung zurückblicken, was ist einer Ihrer größten Erfolge?

Constant Kohler: Eines der Projekte, auf die ich am meisten stolz bin, ist mein Beitrag zur Norm EN 18031. Es war ein sehr komplexes Projekt, sowohl technisch als auch logistisch, da die Fristen sehr eng waren (18 Monate). Aber es war auch sehr befriedigend zu sehen, wie alle Experten zusammenarbeiteten, um die Norm rechtzeitig fertig zu stellen.

Was dieses Projekt für mich besonders machte, war meine Rolle als Brückenbauer zwischen den technischen Experten und den rechtlichen Anforderungen der Europäischen Kommission. Meine Aufgabe war es, dafür zu sorgen, dass die Norm nicht nur technisch solide ist, sondern auch mit den geltenden Rechtsvorschriften übereinstimmt. Das war eine Herausforderung, aber auch eine sehr lohnende Erfahrung.