• IT & Datenschutz
  • Gesellschaft & Verantwortung

Digitalisierung: Die TÜV-Prüfung von morgen

Wie werden TÜV-Prüfungen künftig aussehen? Marc Fliehe, Leiter Digitales und IT-Sicherheit, beim Verband der TÜV e.V. (VdTÜV), beschreibt im Gespräch, wie die technische Prüfung der Zukunft ablaufen kann.

(Quelle: iStock / ipopba)

Von Industrie 4.0 über künstliche Intelligenz bis zum automatisierten Fahren: Die Digitalisierung hält Einzug in sämtliche Bereiche des Lebens. Um die Transformation erfolgreich zu gestalten, sind Sicherheit und Vertrauen die zentralen Voraussetzungen. Aber die Sicherheit hält mit der Vernetzung an vielen Stellen nicht Schritt.

Herr Fliehe, wie können Sie als Verband die Digitalisierung gestalten?

Marc Fliehe: Wir haben die Aufgabe, die Digitalisierung zu begleiten. Zugleich wollen wir als Ansprechpartner für die Politik unsere Expertise anbieten. Denn wir wollen die verschiedenen Digitalisierungsprozesse nicht sich selbst überlassen, sondern so gestalten, dass wir ihre Potenziale nutzen können – und zwar sicher nutzen können. Das ist die Voraussetzung, um in der Gesellschaft auch die notwendige Akzeptanz für die digitalen Trends zu schaffen.

 

Wie erreichen sie diese Akzeptanz?

Marc Fliehe: Wir gehen in zwei Richtungen. Zum einen machen wir uns Gedanken, wie wir mit digitalen Trends das bestehende Prüfgeschäft effizienter und komfortabler machen können. Zum anderen wollen wir auch die Digitalisierung nutzen, um in neuen Bereichen TÜV-Dienstleistungen zu entwickeln.

 

Digitale Aufgaben

Was sind die zentralen Herausforderungen der Digitalisierung im Prüfgeschäft?

Marc Fliehe: Mit dem Einzug von digitalen Technologien in die verschiedenen Produkte verändern sich die jeweiligen Waren oder Dienstleistungen. Darauf müssen wir reagieren. Denn die Funktionalität der Produkte verändert und erweitert sich. Früher wussten die Prüfer, dass sich die zu prüfenden Elemente einer Hifi-Anlage im Gehäuse befinden. Bei digitalen Produkten, etwa im Internet der Dinge (Internet of Things, IoT) trifft das nicht mehr zu. Im Gehäuse befinden sich vielleicht noch Regler und Lautsprecher. Aber die mittlerweile intelligente Funktion liegt in einer externen Cloud und wird von digitalen Algorithmen gesteuert. Diese Herausforderungen kennen wir aus der analogen Welt nicht.

 

Gibt es weitere digitalen Einflüsse?

Marc Fliehe: Ja. Die Produkte waren bisher in einem rein statischen Zustand. Sie haben sich nicht verändert, seit sie in Verkehr gebracht wurden. Digitale Anwendungen können sich durch Updates aktualisieren und damit ihre Funktionalität verändern. Damit ändert sich auch das Risiko, das von ihnen ausgeht. Mit diesen Aspekten müssen wir uns beschäftigen. Denn die Trennung von Safety und Cybersecurity, die es früher gab, existiert nicht mehr. Vielmehr gibt es Wechselwirkungen. Noch vor wenigen Jahren konnte ein Hackerangriff lediglich virtuell Dateien löschen. Heute besteht mit dem Übergriff auf Safety-Funktionalitäten eine Gefahr für Leib und Leben.

 

Welche Gefahren gehen von digitalen Produkten oder Anwendungen aus?

Marc Fliehe: Es handelt sich um neue Risiken, für die wir andere Lösungen benötigen. Denn Hacker nutzen sämtliche technologische Möglichkeiten, die ihnen zur Verfügung stehen. Wir haben es dabei mit organisierter Kriminalität zu tun, der Markt ist äußerst lukrativ. Dieser neuen Komponente muss man sich bewusst werden. Im Bereich der Security geht es um Hacker mit hoher krimineller Energie, die kreativ und vorsätzlich agieren. Das sind andere Aspekte als in klassischen Safety-Anwendungen.

 

Safety trifft Security

Sie haben die Begriffe Safety und Security verwendet. Was ist der Unterschied?

Marc Fliehe: Auf den Punkt gebracht ist Safety der Schutz des Menschen vor der Maschine und Security der Schutz der Maschine vor dem Menschen und anderen Maschinen. Es gibt ja auch automatisierte Angriffe, bei denen keine Menschen mitmischen, sondern sich Server im Internet untereinander angreifen.

 

Welche Herausforderungen entstehen bei der Kombination dieser Aufgabenbereiche?

Marc Fliehe: Wir können die Schutzziele nicht mehr unabhängig voneinander betrachten, denn es gibt eine Interaktion. Deshalb ist es heute nicht mehr ausreichend, ein IoT-Produkt nur nach Safety-Gesichtspunkten zu prüfen. Man muss für eine wertvolle Sicherheitsaussage auch die Security beachten. Dabei ergeben sich neue Fragen, etwa wie das Gerät vor dem Zugriff fremder Benutzer geschützt ist. Solche Fragen müssen ganzheitlich betrachtet werden.

 

Es geht neben der Funktion auch um die Interaktion?

Marc Fliehe: Genau. Das ist wesentlich bei IoT-Geräten. Diese Systeme werden immer offener und haben immer mehr Schnittstellen, um die Kommunikation der Maschinen und Systeme untereinander zu ermöglichen. Gleichzeitig erhöht sich auch die Zahl der Nutzer, die mit dem Gerät kommunizieren. Im Smart Home sind es die Bewohner des Gebäudes. In der produzierenden Industrie die gesamten Beteiligten einer Lieferkette, vom Zulieferer über die Hersteller bis zu den Mitarbeitern im Lager. Es wird sehr komplex.

 

Prüfungen in Echtzeit

Wie werden sich die Prüfungen vor diesem Hintergrund verändern?

Marc Fliehe: Wenn wir aus Sicht eines Prüfers denken, sollten wir auch die Aussagefähigkeit eines Prüfzertifikats berücksichtigen. Speziell der Punkt, wie lange das Sicherheitsversprechen gültig ist, das wir dem Verbraucher geben. Das betrifft vor allem die Prüfintervalle. Sind Stichtagsprüfungen noch zeitgemäß? Regelmäßige Software-Updates verändern ein Produkt über Nacht. Deshalb machen wir uns über Echtzeit-Prüfungen Gedanken, mit denen wir fortwährend und kontinuierlich die Sicherheit überwachen können.

 

Mit welchen neuen Prüfinhalten lassen sich diese Herausforderungen meistern?

Marc Fliehe: Zunächst darf der Gesetzgeber nicht länger der technologischen Entwicklung hinterherlaufen. Das Tempo der Gesetzgebung sollte sich den Innovationszyklen anpassen. Das läuft leider noch nicht synchron. Denn den sicheren Einsatz von Produkten muss man gesetzlich regeln. Hier hat der Gesetzgeber eine Schutzfunktion, die er ausüben muss, indem er bestimmte Schutzniveaus für die jeweiligen Produkte vorschreibt. Als VdTÜV beraten wir dabei gerne und weisen auf Risiken hin. Wir sehen es als unsere Aufgabe, entsprechende Sicherheitsstandards zu definieren und weiterzuentwickeln, etwa in der IoT oder bei der künstlichen Intelligenz. So erreichen wir marktspezifische Grundlagen, die nicht einzelne Organisationen willkürlich festlegen, sondern einem akzeptierten gesellschaftlichen Standard entsprechen – im Idealfall mit internationaler Anerkennung. Dann hat man eine Referenz geschaffen, die sich zertifizieren lässt. Und die Innovationen, die tagtäglich geschaffen werden, lassen sich in der Breite nutzen. Für Gesellschaft, Wirtschaft und Wissenschaft, Medizin und viele weitere Bereiche.

 

Viele Unternehmen nutzen vernetzte Systeme bereits, etwa zur Fernwartung ihrer Anlagen. Ist auch eine räumlich getrennte TÜV-Prüfung denkbar?

Marc Fliehe: Selbstverständlich müssen wir uns überlegen, wie die Prüfung der Zukunft aussieht. Wir wollen die TÜV-Prüfung von morgen gestalten. Aber das kommt immer auf die Branche oder die Systeme an, die man prüfen will. Es gibt mit Sicherheit Bereiche, wo unsere Dienstleistungen komplett digital erbracht werden können. In anderen Bereichen ist das dagegen nicht möglich, weil der gesetzliche Rahmen fehlt oder die Prüfmethoden nicht vorhanden sind. Aber wir entwickeln uns weiter und weite Teile der Prüfung können auch digital erbracht werden. Etwa bei Aufzügen, hier spielt das Thema Predictive Maintenance eine Rolle. Bei Industrieanlagen gibt es die Fernwartung bereits. Wir können über verschiedene Software-Systeme den Zustand von Anlagen überwachen – und kurzfristig aktuelle Daten generieren, um sie für unsere Prüfungen zu verwenden.

 

Wären auch kombinierte Prüfungen denkbar? Etwa eine Prüfung der Hardware vor Ort und der Software aus der Distanz?

Marc Fliehe: Das ist genau die Richtung, in die sich die TÜV-Prüfung entwickelt. Bestimmte Aspekte können in jedem Fall virtuell und ortsunabhängig erbracht werden. Ein Prüfer sollte aber auch vor Ort sein können, um als Ansprechpartner zu fungieren. Aber grundsätzlich ist das ein Modell, mit dem man effizient prüfen könnte.

 

Bei Prüfungen aus der Distanz entstehen zusätzliche Daten. Wem gehören diese Informationen?

Marc Fliehe: Das wird juristisch stark diskutiert. Ich denke, die Antworten stehen noch aus, denn es gibt unterschiedliche Rechtsauffassungen. Aber dabei sollten wir den Grundsatz der Transparenz verfolgen. Damit meine ich nicht, dass die ausgetauschten oder erhobenen Daten transparent sein sollen. Es muss vielmehr klar sein, welche Daten von wem erhoben werden. Und der Nutzer muss dieser Datenermittlung zustimmen. Er muss nachvollziehen können, welche Daten der Hersteller erhält, welche der Betreiber – und welche der Prüfer.

 


Marc Fliehe studierte Politik, Philosophie und Psychologie (M.A.) und war vor seiner beruflichen Station als Bereichsleiter IT-Sicherheit beim Digitalverband Bitkom unter anderem für das Bundesamt in der Sicherheit in der Informationstechnik tätig (BSI). Heute leitet der 36-Jährige beim Verband der TÜV e.V. (VdTÜV) den Digitalbereich. Dort ist er für die Themen IoT, Künstliche Intelligenz, Datenschutz und IT-Sicherheit verantwortlich. Er ist unter anderem als CISSP (ISC)² und als Common Criteria-Evaluator durch das BSI zertifiziert und vertritt den TÜV zu Digitalisierungsthemen in relevanten nationalen und internationalen Gremien. 

Einen Kommentar schreiben

* Pflichtfeld

Keine Kommentare