Die Digitalisierung, Neuentwicklungen wie Künstliche Intelligenz oder Autonome Maschinen sowie Anforderungen an Cyber-Sicherheit und Safety haben aus Sicht der EU eine Überarbeitung der seit 2006 geltenden Maschinenrichtlinie 2006/42/EG notwendig gemacht. Ziel dabei ist, die grundlegenden Sicherheits- und Gesundheitsschutzanforderungen für Maschinen in der EU zu harmonisieren.
Die neue EU-Verordnung über Maschinenprodukte wurde mit großer Mehrheit angenommen und tritt am 14. Januar 2027 in Kraft. Damit gilt eine Übergangszeit von dreieinhalb Jahren bis zu ihrer zwingenden Anwendung. Es wird empfohlen, sich bereits jetzt über die genauen Anforderungen und die spezifischen Normen und Standards zu informieren, die für den jeweiligen Anwendungsbereich relevant sind.
Safety und Security als große Ziele der EU-Maschinenverordnung
Für Maschinenhersteller und -betreiber birgt die EU-Maschinenverordnung 2023 neue Herausforderungen. Sie erfordert von Herstellern, Systemintegratoren und Betreibern die Erfüllung von Pflichten zur sicheren Herstellung, Inbetriebnahme, Bedienung und Instandhaltung von Maschinen und dazugehörigen Produkten. Safety und Security gehen dabei Hand in Hand: Safety bezieht sich auf den Schutz von Menschen, Maschinen und der Umwelt vor Risiken und Schäden. Industrial Cyber Security bezieht sich auf die Schutzmaßnahmen und Strategien, die darauf abzielen, kritische industrielle Infrastrukturen und Systeme vor Cyberangriffen zu sichern.
Schnittstellen gibt es auch zwischen Maschinenherstellern und Maschinenbetreibern: Sobald der Hersteller die sichere Maschine übergeben hat, ist der Betreiber für ihre Sicherheit verantwortlich. Ebenso werden Einführer und Händler in die Pflicht genommen, ausschließlich konforme Produkte zu vertreiben.
OT-Security Standards und Good Practice-Konzepte
„Ziel ist eine ganzheitliche Herangehensweise, um Menschen, Maschinen und die Umwelt mithilfe von Sicherheitsmaßnahmen und -strategien vor Risiken und Schäden zu schützen“, erklärt Herbert Dirnberger, Industrial Cyber Security Experte bei IKARUS, den Security for Safety-Ansatz. Um die Sicherheitsintegrität von industriellen Automatisierungs- und Steuerungssystemen sicherzustellen, gilt es Schutzmaßnahmen zu implementieren, die sicherheitskritische Prozesse vor unbeabsichtigten Fehlern, technischen Ausfällen, menschlichem Fehlverhalten, aber auch vor Cyber-Angriffen schützen.
Für die praktische Herangehensweise empfiehlt Herbert Dirnberger einen klaren Fokus und die Orientierung an Good Practices: „Setzen Sie auf homogene Standards, beispielsweise mit OPC UA (Open Platform Communications Unified Architecture) mit TLS-Verschlüsselung, einem offenen Kommunikationsstandard, um Informationen zwischen Geräten, Maschinen und Systemen sicher auszutauschen. Nutzen Sie sichere Echtzeitprotokolle wie Profisafe, CIP Safety, FsoE oder Safetynet-p und erlauben Sie Freiheitsgrade bei der Produktauswahl. Folgen Sie darüber hinaus bewährten Industrial Cyber Security Konzepten wie Defense in Depth oder Secure by Design, z.B. nach IEC 62443.“
Wichtige Aspekte beim Schutz von Maschinen und Anlagen vor Cyberangriffen
- Risikobewertung
In der für die EU-Maschinenverordnung erforderlichen Risikobewertung sind auch mögliche zukünftige Risiken – beispielsweise durch autonomes Verhalten, Softwareinstallationen oder -Updates – zu berücksichtigen. Zudem müssen Risiken abgesichert werden, die aus vorsätzlichen oder unbeabsichtigten Manipulationen, also aus Cyber-Angriffen ebenso wie aus menschlichem Fehlverhalten, entstehen können. - Sicherheitsmaßnahmen
Angemessene Sicherheitsmaßnahmen umfassen beispielsweise die Verwaltung von Zugriffsrechten, die Speicherung von Log-Dateien, die Einrichtung von Backup-Systemen sowie die Bestimmung geeigneter Speicherorte. Der Hersteller muss bereits im Vorfeld zukünftige Anforderungen berücksichtigen, die sich aus der späteren Verwendung und Systemintegration ergeben. Auch müssen Maßnahmen zum Schutz vor bewussten böswilligen Handlungen Dritter sowie vor unbeabsichtigtem Fehlverhalten von Mitarbeitenden getroffen werden. - Normen und Standards
Für industrielle Netzwerke, Automatisierungs- und Steuerungssysteme sind insbesondere die Normen der IEC 62443-Serie relevant. Sie beschreiben beispielsweise den Prozess der Risikoanalyse und definieren Anforderungen an die sichere Entwicklung und Integration, Systemarchitektur, Sicherheitsfunktionen sowie den sicheren Betrieb solcher Systeme. - Schulung und Sensibilisierung
Mitarbeiter sollten regelmäßig geschult und für Cyber-Security-Risiken sensibilisiert werden, um potenzielle Schwachstellen erkennen und angemessen darauf reagieren zu können. Moderne Technologien, die speziell für den Einsatz in industriellen Systemen entwickelt wurden, können Betriebe dabei unterstützen, sämtliche Assets, Protokolle und Kommunikationsvorgänge in ihren industriellen Netzwerken sichtbar und sicherer zu machen.
OT-Sicherheit priorisieren und integrieren
Industrial Cyber Security wird immer wichtiger, da einerseits die Menge und Schwere der Cyber-Bedrohungen steigt und andererseits Regularien wie die EU-NIS2-Richtlinie und die EU-Maschinenverordnung eine angemessene Sicherheit in der Industrie fordern. Eine enge Zusammenarbeit zwischen Automatisierungstechniker*innen, Netzwerktechniker*innen, OT- und IT-Sicherheitsexpert*innen ist entscheidend, um die Herausforderungen der heutigen Industriewelt zu bewältigen.
Das könnte sie auch interessieren:
Wer kümmert sich um die Sicherheit in der OT?
IoT- und OT-Sicherheitslücken: 3 Tipps um vorzubeugen
Cyber Threat Intelligence für OT und kritische Infrastrukturen
Quellen:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32023R1230
https://www.tuvsud.com/en/press-and-media/2023/may/important-changes-for-manufacturers-and-operators
https://www.produktentwicklung.ihk.de/produktmarken/ce-kennzeichnung/leitfaden-eu-maschinenverordnung-5549614