CMSE + CESA: Warum ich beides mache – und was Betreiber davon haben

Von /

Ein neues Sicherheitsumfeld – und was CESA bedeutet

Ich arbeite seit vielen Jahren mit Betreibern an Maschinensicherheit: Prüfungen, Abnahmen, Retrofits, Dokumentation. Lange Zeit war die Welt klar getrennt: Safety war „Maschinenwelt“, Security war „IT/Netzwerk“.

Seit NIS2 ist diese Trennung in der Praxis vorbei. Betreiber müssen Cyberrisiken heute nicht nur „irgendwie“ berücksichtigen, sondern sie werden abgefragt, bewertet und nachgewiesen. Und es wird eher strenger – durch den Cyber Resilience Act (CRA) und die EU-Maschinenverordnung.

Darum habe ich die CESA-Zertifizierung gemacht:
CESA steht für Certified Expert for Security in Automation – also Industrial/OT-Security speziell für Maschinen und Automatisierung (nicht allgemeine Büro-IT). Es geht um die Sicherheit von Steuerungen, Netzen, Fernwartung und allem, was im Betrieb wirklich läuft.

Warum ich mich darauf eingelassen habe

Security ist nicht „ein bisschen IT“. Es ist breiter und komplexer als klassische Maschinensicherheit, weil es neben Technik auch Angreifer, Netzwerke, Zugriffswege, Lieferketten, Prozesse und Menschen umfasst. Der Lernaufwand war für mich spürbar – und ehrlich gesagt auch nötig.

Aber genau das ist der Punkt: Dieses Thema ist unausweichlich. Für Betreiber, für Integratoren, für Hersteller – und für jeden, der Maschinen plant, betreibt oder umbaut. Fernwartung, Dienstleisterzugänge und vernetzte Steuerungen sind Alltag. Damit ist Security kein Extra mehr, sondern Teil des sicheren Betriebs.

Warum ich diese Kombi für wertvoll halte

Ich bin seit 2015 CMSE (Certified Machinery Safety Expert) und habe mich seitdem zweimal rezertifiziert. Ich komme aus der Praxis der Maschinensicherheit – nicht aus Folien.

Mit CESA kommt jetzt die zweite Hälfte dazu: OT-Security für Automatisierung. Also genau die Themen, die im Betrieb ständig auftauchen: Fernwartung, Dienstleisterzugänge, Segmentierung, Betriebsregeln, Nachweise.

Der entscheidende Punkt ist: Die neue EU-Maschinenverordnung zieht Security in die Safety-Welt hinein. Im CESA-Skript wird das als „Schutz vor Korrumpierung“ beschrieben – Security mit Schwerpunkt auf funktionaler Sicherheit.
Und es wird sehr konkret: Es geht um Software und Daten, die die Safety der Maschine beeinflussen können.

Genau diese Schnittstelle ist der Punkt, an dem Betreiber heute Zeit und Geld verlieren: Abnahmen werden zäh, Audits werden unangenehm – und im schlimmsten Fall steht die Anlage.

Was Betreiber davon praktisch haben

Ich sehe im Alltag: Viele Betriebe haben jemanden, der Safety kann, oder jemanden, der Security kann. Was oft fehlt, ist jemand, der beides zusammenbringt, ohne dass daraus ein neues Projekt-Chaos entsteht.

Mit CMSE + CESA kann ich genau das liefern:

  • Safety sauber: Risikobeurteilung, PL/SIL-Denke, Validierung, Abnahmefähigkeit
  • Security praktikabel: Maßnahmen, die im laufenden Betrieb funktionieren (nicht „IT-Wunschliste“)
  • und vor allem: klare Regeln an den Stellen, wo es wirklich wehtut:
    • Fernwartung geregelt (wer darf wann, wie, mit Freigabe, mit Protokoll)
    • Dienstleisterzugänge kontrolliert
    • Segmentierung so, dass ein Vorfall nicht gleich alles mitreißt
    • Nachweise, die man im Audit auch zeigen kann

Im CESA-Skript sind solche Maßnahmen sehr greifbar beschrieben, z. B. Multi-Faktor-Authentifizierung für den Zugriff auf sicherheitsrelevante Steuerungssysteme (z. B. über VPN).

Wie ich das in Projekten mache

Ich arbeite bewusst pragmatisch. Meist startet es mit einem OT-Security Quick Check:

  • Ist-Aufnahme: Was hängt wirklich dran, wer hat Zugriff, wo sind die Übergänge IT/OT?
  • Top-Risiken und Quick Wins
  • priorisierte Maßnahmenliste und klare nächste Schritte

Wenn es mehr braucht, folgt ein Evidence Pack: Zonen/Kommunikationsmodell, Remote-Access-Regeln, Mindestprozesse (Change/Config, Patch/Vuln, Incident) – plus Doku, die nicht nur hübsch ist, sondern im Alltag nutzbar.

Und wenn ohnehin ein Retrofit oder eine Abnahme ansteht, ist das ideal: Dann wird Security dort ergänzt, wo sie wirklich zählt – an den safety-relevanten Schnittstellen.

Meine CESA-Urkunde

CESA certificate (Certified Expert for Security in Automation) issued to André Pohlann.
CESA – Certified Expert for Security in Automation (certificate).

Fazit

Seit NIS2 ist klar: Betreiber müssen OT-Security ernst nehmen – und mit CRA und EU-Maschinenverordnung wird das nicht einfacher. Für mich war es deshalb der logische Schritt, meine Arbeit so aufzustellen, dass sie diese Realität abdeckt.

CMSE + CESA ist dafür eine sehr praktische Kombination:
Maschinensicherheit sauber machen und die relevanten OT-Security-Risiken an den richtigen Stellen absichern – mit Ergebnissen, die in Abnahme und Audit tragen.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

Nach oben scrollen