Pilz Deutsch­landSecurity by Design: Die neue Pflicht für Maschi­nen­her­steller

Welche Ände­rungen bringt die neue EU-Maschi­nen­ver­ord­nung 2023/1230 (MVO) im Hinblick auf Security und Cyber­si­cher­heit?

Die MVO bringt erst­mals verbind­liche Anfor­de­rungen für digi­tale Sicher­heit an Maschinen. Zum einen müssen IT-Schnitt­stellen so gestaltet sein, dass sie keine gefähr­li­chen Situa­tionen durch externe Verbin­dungen verur­sa­chen – also beispiels­weise über Authen­ti­fi­zie­rungs­me­cha­nismen verfügen und so Schutz vor unbe­fugtem Zugriff sicher­stellen. Zum anderen werden auch KI-basierte Funk­tionen recht­lich erfasst und Maschinen mit „selbst­ler­nendem Verhalten“ in Sicher­heits­funk­tionen als Hoch­ri­si­ko­pro­dukte einge­ordnet. Zwar wird der Begriff „Cyber­se­cu­rity“ nicht direkt genannt, doch die Verord­nung fordert umfas­sende Security-Maßnahmen.

Wie bewerten Sie die Bedeu­tung von Security-Aspekten in der neuen Verord­nung für Maschi­nen­her­steller und ‑betreiber?

Security ist kein optio­nales Extra mehr, sondern ein verbind­li­cher Bestand­teil der Maschi­nen­si­cher­heit. Für Hersteller bedeutet das, sich intensiv mit Fragen der digi­talen Absi­che­rung ausein­an­der­zu­setzen: Wie kommu­ni­ziert die Maschine mit ihrer Umge­bung? Wer darf auf welche Schnitt­stellen zugreifen? Und viel­leicht noch wich­tiger: Wie wird die Maschine robuster gegen unbe­ab­sich­tigte Zugriffe und Ände­rungen? Also wie werden Wartung, Updates oder Ände­rungen an Maschi­nen­pro­grammen sicher gere­gelt?

Auch für Betreiber ergeben sich neue Anfor­de­rungen. Es muss defi­niert werden, wer an der Maschine arbeiten darf, wer physi­schen Zugang erhält und wer berech­tigt ist, über digi­tale Schnitt­stellen Verän­de­rungen am Bear­bei­tungs­pro­zess vorzu­nehmen. Die Verord­nung schafft hier erst­mals einen verbind­li­chen recht­li­chen Rahmen – und das ist ein wich­tiger Schritt, um einheit­liche Stan­dards in der Praxis zu etablieren.

Natür­lich haben sich viele Premi­um­her­steller bereits mit diesen Themen beschäf­tigt. Doch gerade im unteren Preis­seg­ment war Security bislang oft zweit­rangig – der Fokus lag eher auf Kosten als auf Prozessen. Die gesetz­liche Vorgabe zwingt jetzt alle Betei­ligten, sich mit dem Thema ausein­an­der­zu­setzen. Das schafft Klar­heit und macht unsere Systeme lang­fristig robuster gegen­über Cyber­be­dro­hungen.

Welche konkreten Anfor­de­rungen stellt die neue Maschi­nen­ver­ord­nung an die IT-Sicher­heit von Maschinen und Anlagen?

Die MVO fordert eine deut­lich höhere digi­tale Robust­heit. Maschinen müssen so konzi­piert sein, dass unbe­ab­sich­tigte oder unbe­fugte Eingriffe – etwa durch Fehl­be­die­nung oder Cyber­an­griffe – verhin­dert werden. Dazu gehören klare Berech­ti­gungs­kon­zepte, Benut­zer­rollen, Pass­wort­schutz und die lücken­lose Proto­kol­lie­rung sicher­heits­re­le­vanter Vorgänge.

Beson­ders im Fokus stehen die Schnitt­stellen, d. h. welche Schnitt­stellen bieten die Maschinen und welche möchte man zulassen. Es muss defi­niert sein, welche Zugriffe – ob lokal oder remote – erlaubt sein sollen, wer etwa Firm­ware aufspielen oder Rezep­turen verän­dern darf. Ziel ist es, Mani­pu­la­tionen zu verhin­dern und die Inte­grität der Systeme dauer­haft zu sichern.

Wie sollten Unter­nehmen mit dem Thema „Schutz vor Mani­pu­la­tion durch unbe­fugte Zugriffe“ umgehen, das in der Verord­nung explizit adres­siert wird?

Zunächst müssen Unter­nehmen ein klares Zugriffs­ma­nage­ment beschreiben und umsetzen, um Mani­pu­la­tionen zu verhin­dern. Dazu gehören ein sinn­volles Rollen­kon­zept und ein geeig­netes Authen­ti­fi­zie­rungs­ver­fahren. Statt einer Viel­zahl indi­vi­du­eller Pass­wörter sollten Maschinen in zentrale Sicher­heits­in­fra­struk­turen – beispiels­weise über Single Sign-On – einge­bunden werden. Einheit­liche Stan­dards fehlen noch, aber durch­dachte Konzepte sind jetzt Pflicht.

Welche Rolle spielen Soft­ware-Updates und Fern­zu­griffe im Kontext der neuen Sicher­heits­an­for­de­rungen?

In der Praxis laufen Maschinen teil­weise mit jahr­zehn­te­alter Soft­ware, weil sie noch zuver­lässig funk­tio­nieren. Die neue Maschi­nen­ver­ord­nung fordert hier ein Umdenken: Hersteller müssen Maschinen so gestalten, dass Soft­ware-Updates einfach möglich sind, ohne die Stabi­lität zu gefährden. Das erhöht die Resi­lienz und schafft die Grund­lage für lang­fris­tige Sicher­heit.

Zudem stehen wir vor einem Span­nungs­feld: Auf der einen Seite braucht es Fern­zu­griffe, um Wartung und Support effi­zient zu gestalten und die Produk­ti­vität hoch­zu­halten. Auf der anderen Seite müssen genau diese Zugänge gegen unbe­fugte Eingriffe geschützt werden. Die bisher oft offenen IoT-Schnitt­stellen müssen künftig gezielt abge­si­chert werden – durch klare Zugriffs­kon­zepte, Proto­kol­lie­rung sowie tech­ni­sche Schutz­maß­nahmen.

Die Heraus­for­de­rung liegt darin, beides zu ermög­li­chen: Flexi­bi­lität im Betrieb und Sicher­heit im Zugriff. Die neue Verord­nung gibt dafür den Rahmen vor – jetzt ist es an den Unter­nehmen, diesen mit durch­dachten Lösungen zu füllen.

Welche typi­schen Schwach­stellen oder Miss­ver­ständ­nisse begegnen Ihnen bei der Bera­tung von Maschi­nen­her­stel­lern in Bezug auf Security?

Viele Maschi­nen­her­steller haben sich bislang kaum oder gar nicht mit dem Thema Security ausein­an­der­ge­setzt – oder fühlen sich schlichtweg nicht dafür zuständig. Oft höre ich Aussagen wie: „Die Einbin­dung der Maschine in die IT-Umge­bung ist Aufgabe des Betrei­bers – damit hat der Maschi­nen­her­steller nichts zu tun.“ Dabei wird über­sehen, dass die Voraus­set­zungen für eine sichere Inte­gra­tion bereits im Design der Maschine geschaffen werden müssen. Mecha­nismen, Schnitt­stellen und Schutz­maß­nahmen müssen von Anfang an mitge­dacht, doku­men­tiert und imple­men­tiert werden. Genau deshalb finden sich entspre­chende Anfor­de­rungen jetzt auch in der neuen Maschi­nen­ver­ord­nung wieder.

Ein weiteres weit­ver­brei­tetes Miss­ver­ständnis ist die Annahme, Security ließe sich – ähnlich wie Safety – einmalig in die Maschine „einbauen“ und sei damit für die gesamte Lebens­dauer abge­deckt. Während sich bei Safety über regel­mä­ßige Prüfungen die Funk­ti­ons­fä­hig­keit nach­weisen lässt, ist Security einem ganz anderen Rhythmus unter­worfen: Bedro­hungs­sze­na­rien entwi­ckeln sich dyna­misch, neue Schwach­stellen treten oft erst im laufenden Betrieb zutage und erfor­dern konti­nu­ier­liche Anpas­sungen. Cyber­se­cu­rity ist kein Zustand, sondern ein fort­lau­fender Prozess. Ein „build and forget“ wird es in diesem Bereich niemals geben.

Welche Maßnahmen empfehlen Sie zur Erfül­lung der neuen Security-Vorgaben?

Ein wich­tiger Schritt ist die Schu­lung des Perso­nals. Gut infor­mierte Mitar­beiter sind die effek­tivste Fire­wall. Wer die grund­le­genden Zusam­men­hänge von Schnitt­stellen, Rech­te­ver­wal­tung oder Update-Notwen­dig­keiten nicht kennt, kann Systeme auch nicht „secure“ auslegen und konzi­pieren. Security beginnt also nicht bei der Technik, sondern vor allem beim Verständnis – und das lässt sich nur durch gezielte Weiter­bil­dung schaffen.

Aus tech­ni­scher Sicht empfehle ich die Einfüh­rung eines rollen­ba­sierten Zugriffs- und Zugangs­ma­nage­ments. Ergän­zend wird als Grund­lage für die Risi­ko­ana­lyse eine Topo­lo­gie­dar­stel­lung aller Steue­rungs­kom­po­nenten der Anlage benö­tigt. Auf dieser Basis gilt es zu bewerten, welche Schnitt­stellen erfor­der­lich sind, wie diese funk­tio­nieren und wie sie über­wacht werden können. Wo möglich, sollten nicht benö­tigte Schnitt­stellen deak­ti­viert oder abschaltbar gestaltet werden.

Welche Heraus­for­de­rungen haben Unter­nehmen bei der Umset­zung der neuen Verord­nung bis zum 20. Januar 2027?

Der Anwen­dungs­be­reich und die meisten Anfor­de­rungen der neuen Maschi­nen­ver­ord­nung entspre­chen inhalt­lich der bishe­rigen Maschi­nen­richt­linie. Unter­nehmen, die bereits gut aufge­stellt sind, müssen sich bis zum Stichtag am 20. Januar 2027 keine großen Sorgen machen – insbe­son­dere, wenn sie keine Hoch­ri­si­ko­ma­schinen herstellen oder keine neuen Rollen wie Impor­teur oder Händler über­nehmen.

Neu zu berück­sich­tigen ist der verpflich­tende Schutz vor Mani­pu­la­tion und unbe­fugtem Zugriff – also Aspekte der Cyber­si­cher­heit. Zukünftig fallen mehr Maschi­nen­typen in die Kate­gorie der Hoch­ri­si­ko­ma­schinen und werden damit baumus­ter­prüf­pflichtig, ebenso wenn KI in sicher­heits­re­le­vanten Funk­tionen zum Einsatz kommt.

Die größte Heraus­for­de­rung sehe ich im unter­schied­li­chen Verständnis und in den Erwar­tungs­hal­tungen zwischen Herstel­lern und Betrei­bern. Die Umset­zung der neuen Anfor­de­rungen wird nur im engen Dialog und durch ein gemein­sames Verständnis von Aufgaben, Pflichten und tech­ni­schen Möglich­keiten gelingen.

Welche Rolle spielt Security im Kontext aktu­eller EU-Regu­la­rien wie CRA und MVO?

Sowohl CRA als auch MVO verfolgen das Ziel, die Cyber­si­cher­heit von Maschinen und vernetzten Produkten in Europa syste­ma­tisch zu stärken. Unter­nehmen müssen künftig beide Regel­werke parallel berück­sich­tigen – auch Entwick­lungs­pro­zesse sind entspre­chend anzu­passen. Wenn die EU mehrere Verord­nungen mit direktem Bezug zur Cyber­si­cher­heit auf den Weg bringt, zeigt das doch deut­lich, wie ernst dieses Thema auf oberster poli­ti­scher Ebene genommen wird und welchen wirt­schaft­li­chen Stel­len­wert es mitt­ler­weile einnimmt. Mein klarer Appell lautet daher: Früh­zeitig in Security-by-Design inves­tieren.