Mit Security-Expertise für die Zukunft gewappnet

Artikel vom 16. Januar 2025
Zertifizierungen

Nachhaltigkeit und Digitalisierung haben derzeit einen großen Einfluss auf die Industrie. Damit steigen die Anforderungen an die funktionale Sicherheit und die Industrial Security. Auch der Gesetzgeber hat dies erkannt und verändert die Gesetzeslage. Für die Industrie im Allgemeinen und für den Maschinen- und Anlagenbau im Besonderen sind drei neue gesetzliche Vorgaben relevant: Die EU-Richtlinie NIS 2, die Maschinenverordnung und der Cyber Resilience Act. Der Automatisierungsexperte Pilz gibt Orientierung zur Gesetzeslage und unterstützt Unternehmen dabei, ihre Maschinen und Anlagen im Hinblick auf Security abzusichern.

Das Dienstleistungsangebot »ISCS« besteht aus vier Modulen (Bild: Pilz).

Das Dienstleistungsangebot »ISCS« besteht aus vier Modulen (Bild: Pilz).

Gegenstand von Security-Vorfällen sind nicht mehr nur IT-Systeme, sondern immer häufiger auch das produzierende Umfeld (Operational Technology − OT). Unternehmen, Maschinen und Produkte – auf jeder Ebene kommen unterschiedliche Herausforderungen und unterschiedliche gesetzliche Rahmenbedingungen auf Maschinenbauer und -betreiber zu.

Drei neue bzw. kommende gesetzliche Vorgaben sind dabei besonders relevant. Die europäische NIS-2-Richtlinie beispielsweise fordert, dass Unternehmen gesamtheitlich ein Informationssicherheitsmanagementsystem umzusetzen haben. Mit dem Cyber Resilience Act (CRA) werden Security-Maßnahmen für Produkte mit digitalen Elementen vorgeschrieben. Darunter fallen schließlich auch die Steuerungen, die in Maschinen eingesetzt werden. Konkreter sind die Security-Vorgaben bereits bei Maschinen und Anlagen: Die Maschinenverordnung (EU 2023/1230) macht Security ab Januar 2027 zum Schutzziel. Damit soll der Schutz vor Korrumpierung gewährleistet werden. Gefordert werden Security-Maßnahmen für Teile der Maschine mit Einfluss auf die funktionale Sicherheit. Der neue Weg zur CE-Kennzeichnung wirft für Maschinenbauer und -betreiber eine Reihe neuer Fragestellungen auf, denn sie werden ihre bisherigen Sicherheitskonzepte für Safety und Security überarbeiten müssen.

Pilz, als Experte für sichere Automatisierung, hat daher sein Dienstleistungsangebot um die Themen der Industrial Security erweitert. Mit der Qualifizierung zum »Certified Expert for Security in Automation (CESA)« bietet das Unternehmen bereits seit letztem Jahr einen zweitägigen Expertenlehrgang an, der den Teilnehmenden kompaktes Security-Wissen auf dem aktuellen Stand der Normenlage vermittelt. Darüber hinaus werden praktische Maßnahmen zur Risikominderung behandelt, zum Beispiel Zugangskontrolle, Erhöhung der Netzwerksicherheit mit technischen Mitteln sowie organisatorische Maßnahmen zur Verminderung von Security-Risiken.

Security-Herausforderungen

Unabhängig davon, dass der Gesetzgeber zu Industrial Security verpflichtet, gibt es eine Reihe guter Gründe, sich frühzeitig mit dem Thema zu beschäftigen und beraten zu lassen, denn viele Abläufe und Gegebenheiten im Unternehmen sind oftmals typisch für den Betrieb von Maschinen, begünstigen jedoch Manipulationen und sollten dringend hinterfragt sowie verändert werden.

Beispielsweise führt eine lange Lebensdauer von Maschinen häufig dazu, dass die dazugehörigen Systeme und auch Computer in die Jahre kommen und irgendwann nicht mehr den aktuell geforderten Standards der Security entsprechen. Diese Systeme verfügen über Sicherheitslücken, die nicht mehr geschlossen werden können, weil der Anbieter keine Security-Updates mehr liefert. Auch kann der Schutz vor Schadsoftware häufig nicht auf den Endgeräten implementiert werden, da diese teilweise zu alt sind und deren Performance dadurch leiden würde, sodass es zu Ausfällen in der Produktion kommen könnte.

Vier Module für mehr Security

Der neue »Industrial Security Consulting Service (ISCS)« von Pilz setzt an solchen Security-Schwachstellen an. Er besteht aus vier Modulen: Schutzbedarfsanalyse, Industrial-Security-Risikobewertung, Industrial-Security-Konzept und Industrial-Security-Systemverifikation.

Bei der Schutzbedarfsanalyse ermittelt der Safety- und Security-Spezialist im Unternehmen den Umfang der zu schützenden Maschinen oder Anlagen sowie die Schutzziele des Systems. Im zweiten Schritt, der Risikobewertung, werden sämtliche Risiken und mit welcher Wahrscheinlichkeit sie eintreten betrachtet, und zwar für jeden Teilbereich über den kompletten Lebenszyklus des Systems hinweg. Im Anschluss werden gemeinsam mit den Kunden Lösungsansätze für Schwachstellen und mögliche Gefährdungen besprochen.

Im dritten Schritt erstellt der Safety- und Security-Spezialist ein Industrial-Security-Konzept mit Strategien und Maßnahmen zur Abwehr und Milderung von Risiken, hervorgerufen durch Angriffe, Manipulationen und Fehlbedienungen. Hinzu kommt die Erstellung von Policies, Regeln und Richtlinien für den weiteren sicheren Betrieb oder für den Aufbau des Systems. Im letzten Schritt, der Industrial-Security-Systemverifikation, wird die korrekte Umsetzung der implementierten Gegenmaßnahmen überprüft.

Mit diesem neuen Dienstleistungsangebot erweitert Pilz die sicherheitstechnische Betrachtung von Maschinen hin zu einer ganzheitlichen Betrachtung von Safety und Security. Ausgehend von der erprobten Methodik für Dienstleistungen im Bereich funktionaler Maschinensicherheit und auf der Basis der Security-Normenreihe IEC 62443 wurde das Dienstleistungsangebot entwickelt, nach dessen Umsetzung Unternehmen mit Blick auf Industrial Security gut gerüstet sind und die aktuellen gesetzlichen Vorgaben erfüllen.

Safety und Security

Bei der konkreten Umsetzung an der Maschine macht künftig eine gemeinsame Betrachtung von Safety und Security Sinn. Am Ende gilt: ohne Security keine Safety und ohne Safety kein Schutz des Menschen. Ein wichtiger Baustein ist ein Identification and Access Management (IAM), das Berechtigungen und Zugänge in einem Unternehmen klar regelt. Dazu gehören organisatorische Maßnahmen und Vorgaben genauso wie passende Sicherheitsfunktionen. Ein Zugangsberechtigungssystem wie »PITreader« von Pilz stellt dabei den passenden Produktbaustein dar. Damit können Anwender die Anforderungen bezüglich Mitarbeiterschutz, Haftungsschutz, höchstmöglicher Produktivität sowie des Schutzes ihrer Daten bewältigen. Den Zugriff auf Automatisierungsnetzwerke von außen abzusichern ist Aufgabe der industriellen Firewall »SecurityBridge«. Sie überwacht den Datenverkehr zwischen PC und Steuerung und reduziert so die Angriffsfläche für Hackerangriffe und Manipulation.

Pilz ist überzeugt, dass nur eine ganzheitliche Betrachtung von Safety und Security einen Schutz von Mensch und Maschine gewährleisten kann. Ob und in welcher Tiefe sich ein Unternehmen mit Security auseinandersetzen will, ist nicht länger Ermessenssache des Unternehmens. Im Maschinenbau ist Security in Form von Industrial Security nicht allein Aufgabe der IT, sondern integraler Bestandteil der Konzeption und Konstruktion. Security im Nachhinein zu implementieren ist immer aufwendig und bedeutet meist Einbußen bei Anwenderfreundlichkeit, Funktionalität und Produktivität.

Vorteile auf einen Blick

Mit dem »Industrial Security Consulting Service« können Cyberangriffe abgemildert oder verhindert werden. Auch Security-Vorfälle, die unbeabsichtigt ausgelöst wurden, können reduziert werden. Das wiederum erhöht die Maschinenverfügbarkeit und sorgt letzten Endes für Kostenersparnis sowie der Wahrung der Wirtschaftlichkeit.

Der »ISCS« sorgt jedoch vor allem dafür, dass mit entsprechenden Security-Maßnahmen die Menschen an der Maschine geschützt sind, denn ein Security-Vorfall kann zum Hindernis von Safety-Maßnahmen werden. So sorgt beispielsweise ein Lichtgitter vor Maschinen dafür, dass das Bedienpersonal nicht in einen Gefahrenbereich übertritt. Wenn jedoch ein Cyber-Angriff Einfluss auf die entsprechende Steuerung und den Mechanismus nehmen kann, ist die Schutzfunktion des Lichtgitters nicht mehr gewährleistet. Aus diesem Grund braucht die Safety auch die Security, um einen umfänglichen Schutz von Mensch und Maschine zu gewährleisten.

Teilen
PDF-Download
Weiterempfehlen
Drucken
Anzeige
Logo Pilz GmbH & Co. KG
Infos zum Unternehmen
Pilz GmbH & Co. KG
Felix-Wankel-Str. 2
D-73760 Ostfildern

0711 3409-0

Firmenprofil ansehen