Der Cyber Resilience Act und die neue Maschinenverordnung fordern, dass in Zukunft Maschinen und Automatisierungskomponenten über den gesamten Lebenszyklus Secure by Design sind, um Security und Safety zu gewährleisten.

Der Cyber Resilience Act und die neue Maschinenverordnung fordern, dass in Zukunft Maschinen und Automatisierungskomponenten über den gesamten Lebenszyklus Secure by Design sind, um Security und Safety zu gewährleisten. (Bild: Summit Art Creations - stock.adobe.com)

Noch mehr Bürokratie oder notwendiger Bestandteil: Hersteller von vernetzbaren Maschinen, Modulen, Software oder Komponenten müssen voraussichtlich spätestens ab 2027 nachweisen, dass ihre Produkte 'Secure by Design' sind. Damit will die EU das Sicherheitsniveau gegen ständig zunehmende Cyber-Angriffe auch in der Produktion erhöhen. Was verbirgt sich dahinter und wie können sich Hersteller auf die neuen Pflichten vorbereiten?

Cyber-Angriffe mit Schadsoftware richteten sich in der Vergangenheit vor allem gegen IT-Systeme von Behörden und Unternehmen. Aber seit einigen Jahren werden immer mehr Angriffe auf die Produktion selbst, die Operation Technology (OT), beobachtet. Bei einer Umfrage für den '2022 State of Operational Technology and Cybersecurity Report' von Fortinet verzeichneten bereits 93 Prozent der befragte OT-Unternehmen in den USA und Europa mindestens einen Angriff. 78 Prozent wurden sogar mehr als dreimal angegriffen.

Dr. Matthias Meyer, Bereichsleiter Softwaretechnik und IT-Sicherheit, beim Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM
Zitat

Hier hat der Markt nicht gegriffen und eine Regulierung für mehr Security ist absolut sinnvoll und notwendig.

Dr. Matthias Meyer, Bereichsleiter Softwaretechnik und IT-Sicherheit, beim Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM
(Bild: Fraunhofer IEM)

Die Verletzbarkeit der Fertigungen wächst seit Jahren durch den Trend zur Vernetzung der Produktionsmittel deutlich an. Auf der einen Seite erhöht die digitale Transformation die Produktivität und senkt die Kosten – auf der anderen Seite bietet sie immer mehr Einfallstore für Angreifer. Im Gegensatz zur IT-Welt ist die OT aber nicht besonders gut auf diese Bedrohungslage vorbereitet, weil bis vor wenigen Jahren Maschinen keine Verbindung nach außen hatten.

Regulierung für mehr Security ist notwendig

„Hier hat der Markt nicht gegriffen und eine Regulierung für mehr Security ist absolut sinnvoll und notwendig“, bekräftigt Dr. Matthias Meyer, Bereichsleiter Softwaretechnik und IT-Sicherheit, beim Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM in Paderborn. Das Institut forscht zu Safety und Security by Design und unterstützt Hersteller dabei, Secure by Design über den gesamten Lebenszyklus ihrer Produkte umzusetzen.

maschinenbau-Gipfel Salon
(Bild: mi-connect)

Kommen Sie zum Maschinenbau-Gipfel Salon!

Der Maschinenbau-Gipfel ist richtungsweisend und impulsgebend für die gesamte Branche. Damit Sie nicht ein ganzes Jahr auf spannende Diskussionen verzichten müssen, laden wir Sie zu unserem Networking-Format "Maschinenbau-Gipfel Salon" mit anschließendem Catering ein – live vor Ort oder digital.

 

Der nächste Maschinenbau-Gipfel Salon findet am 19. November in Präsenz oder digital in unserer Community-App statt. Das Thema: "Datenökosysteme - Wie der Datenaustausch die Wettbewerbsfähigkeit des Maschinenbaus steigert."

 

Weitere Informationen gibt es hier!

Funktionale Sicherheit und Security gehören zusammen

Eine klare Erkenntnis: Funktionale Sicherheit und die Angriffs- und Informationssicherheit sind untrennbar miteinander verknüpft. Die 2027 in Kraft tretende neue Maschinenverordnung verlangt zusätzlich zur funktionalen Sicherheit auch einen Schutz vor 'Korrumpierung', eine Umschreibung für Cyber-Angriffe und Manipulationsversuche von außen.

Voraussichtlich im gleichen Jahr wird auch der Cyber Resilience Act (CRA) vollumfänglich greifen, der alle Hersteller von Produkten mit digitalen Komponenten in die Haftung nimmt, von der Waschmaschine über Steuerungen bis zu Maschinen und Fertigungslinien.

„Wir begleiten Hersteller mit einem leichtgewichtigen Einstieg und unterstützen sie dabei, eine Bedrohungs- und Gefahrenanalyse für ihre Produkte durchzuführen und sich der Risiken bewusst zu werden“, beschreibt Dr. Matthias Meyer das Vorgehen. „Darin liegt ein hohes Erkenntnispotenzial, denn wer die Bedrohungen und Gefahren kennt, kann informiert Gegenmaßnahmen ergreifen und die nächsten Schritte planen.”

CIA-Regel für die Produktion: Höheres Gut Verfügbarkeit

Für den Security-Experten müssen Unternehmen IT-Spezialisten und Produktentwickler in einem sehr frühen Stadium zusammenbringen. Dabei gelten die Ziele der CIA-Regel, Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit). „Gerade die Verfügbarkeit ist in der Fertigung ein höheres Gut als in der IT, weil auch kurze Ausfälle der Automatisierung reale Gefahren für Bediener oder die Prozessstabilität nach sich ziehen können“, bekräftigt Dr. Matthias Meyer.

Die Normenreihe IEC 62443 befasst sich mit der Cybersecurity sogenannter 'Industrial Automation and Control Systems' (IACS). „Auch diese Norm lässt aber Spielraum“, weiß Dr. Markus Fockel, stellvertretender Abteilungsleiter Sichere IoT-Systeme am Fraunhofer IEM. Er führt zahlreiche Schulungen und Workshops mit Industriepartnern durch und begleitet konkrete Projekte.

„Wir bauen in Projekten auf bestehende Prozesse bei den Unternehmen auf und ermutigen unsere Partner, Dinge einfach anzufangen. Optimieren kann man später immer.“

Dr. Markus Fockel, stellvertretender Abteilungsleiter Sichere IoT-Systeme am Fraunhofer IEM
Zitat

Wir ermutigen unsere Partner, Dinge einfach anzufangen. Optimieren kann man später immer.

Dr. Markus Fockel, stellvertretender Abteilungsleiter Sichere IoT-Systeme am Fraunhofer IEM
(Bild: Fraunhofer IEM)

Automatisierungshersteller setzen Secure by Design bereits um

Komponentenhersteller und Systemanbieter der Automatisierungstechnik haben den Trend bereits vor einigen Jahren erkannt. So setzt sich Siemens seit vielen Jahren für Cybersicherheit ein. Das Unternehmen hat die Initiative 'Charter of Trust' zur Förderung der Cybersicherheit ins Leben gerufen und engagiert sich nachdrücklich für die Gewährleistung der Cyberresilienz in Siemens-eigenen Produkten, Lösungen und Dienstleistungen.

Auch Bosch Rexroth hat den Automatisierungsbaukasten ctrlX Automation nach Secure by Design Prinzipien konzipiert. „Der Administrator des Geräts hat die Möglichkeit, Anwendern des Automatisierungssystems feingranular nur die für ihre jeweilige Tätigkeit mindestens erforderliche Zugriffs- und Berechtigungsebene zu gewähren“, hebt Michael Langfinger, Product Owner Cyber Security ctrlX Automation bei Bosch Rexroth hervor.

“Unsere Hardware verfügt über ein integriertes Hardware-Security-Modul zur Zertifikatsverwaltung und es wird beispielsweise erkannt, ob ein Gehäuse geöffnet wurde.“

Michael Langfinger, Product Owner Cyber Security ctrlX Automation bei Bosch Rexroth
Zitat

Jedes Long-Term-Service (LTS) Release erhält sechs Jahre lang Security Updates.

Michael Langfinger, Product Owner Cyber Security ctrlX Automation bei Bosch Rexroth
(Bild: Bosch Rexroth)

Maschinenhersteller und Systemintegratoren können Secure by Design aber nicht einfach an die Komponentenhersteller delegieren, warnt Dr. Markus Fockel: „Auch wenn die Komponenten ab Werk Secure by Default sind, müssen OEMs dafür sorgen, dass sie diese Sicherheit nicht durch eigene Veränderungen umwerfen.“

Security Updates für die Nutzungsphase

Secure by Design endet nicht bei der Auslieferung des Produkts an den Kunden. Vielmehr trägt der Hersteller auch während der Nutzungsphase Verantwortung, die spätestens mit dem Cyber Resilience Act der EU einen Gesetzescharakter bekommt. „Unternehmen müssen ansprechbar für Leute sein, die etwas zu sagen haben und Schwachstellen erkannt haben“, appelliert Dr. Matthias Meyer. „Unternehmen sollten solche Hinweisgeber nicht verklagen, sondern honorieren, denn sie wollen helfen.“

Einige Hersteller wie Pilz oder Sick haben bereits ein Security Incident Management etabliert. Die Anbieter von Automatisierungstechnik ermuntern auf ihren Webseiten Sicherheitsexperten, unabhängige Forscher, Kunden und andere Akteure dazu, Sicherheitsprobleme bei den Produkten und Lösungen zu melden. Danach startet ein Prozess, bei dem weitere Aktivitäten gemeinsam besprochen und abgestimmt werden.

Auch Bosch Rexroth stellt Anwendern von ctrlX Automation regelmäßig Updates zur Verfügung. „Jedes Long-Term-Service (LTS) Release erhält sechs Jahre lang Security Updates. Die Installation erfolgt beispielsweise lokal oder remote“, beschreibt Michael Langfinger Secure by Design in der Nutzungsphase.

Wissen, was die Industrie bewegt!

Newsletter-Produktion

Alles zu Industrie 4.0, Smart Manufacturing und die ganze Welt der Technik.

Newsletter gratis bestellen!

Keine Haken setzen, sondern sichere Produkte entwickeln

Es ist keine Frage mehr, ob Secure by Design Pflicht wird, sondern nur noch wann genau. Der Cyber Resilience Act wird kommen. Für Dr. Markus Fockel vom Fraunhofer IEM ist es keine Option, darauf zu warten, dass andere den Unternehmen sagen, was sie zu tun haben: „Am besten ist es, jetzt anzufangen, Erfahrungen zu sammeln und Prozesse für Secure by Design einzuführen. Dabei geht es nicht darum, auf Konformitätschecklisten Haken zu setzen, sondern sichere Produkte zu entwickeln und die Kunden optimal zu schützen.“ Secure by Design ist ganz offensichtlich mehr als zusätzliche Bürokratie und gehört bei zeitgemäßen Produkten untrennbar dazu.

Aktuelle Meldungen aus der Industrie

Energiekrise, Lieferengpässe, Fachkräftemangel: Die Industrie steht vor vielen Herausforderungen. Alle Meldungen aus Maschinenbau und Co finden Sie in unserem News-Blog. Hier klicken!

Sie möchten gerne weiterlesen?