Umfas­sender Service für Indus­trial Security

Zunahme von Cyber­an­griffen, Security-Vorgaben der neuen Maschi­nen­ver­ord­nung und Schutz vor Mani­pu­la­tionen – für die Indus­trie wächst der Druck, sich mit Indus­trial Security ausein­an­der­zu­setzen. Doch wo anfangen? Und wie umsetzen? In Deutsch­land startet Pilz den Indus­trial Security Consul­ting Service.

Mit der Digi­ta­li­sie­rung und Vernet­zung steigt die Gefahr, dass Maschinen von Security-Vorfällen betroffen sind. Nicht immer sind es gezielte Angriffe von außen, auch Mani­pu­la­tionen von innen können Maschinen schaden. Der Gesetz­geber hat die Bedeu­tung der Security erkannt. Das schlägt sich z. B. in der neuen Maschi­nen­ver­ord­nung nieder: Seit jeher müssen Maschi­nen­bauer, um Maschinen in Europa einführen zu können, das Konfor­mi­täts­be­wer­tungs­ver­fahren durch­laufen, an dessen Ende die CE-Kenn­zeich­nung steht. Gemäß der neuen Rege­lung müssen Maschi­nen­bauer nach­weisen, dass ihre Maschinen nicht nur funk­tional sicher sind, sondern auch gegen Mani­pu­la­tionen geschützt sind. Damit gilt: Security ist künftig eine gesetz­liche Vorgabe!

Neue gesetz­liche Vorgaben für Security

Bei den Normen und Gesetzen für die Maschi­nen­si­cher­heit im indus­tri­ellen Umfeld findet derzeit ein Umbruch statt. Getrieben wird er durch die Themen Security und Künst­liche Intel­li­genz (KI). Für die Indus­trie im Allge­meinen und für den Maschinen- und Anla­genbau im Beson­deren sind beim Thema Security drei neue bzw. kommende gesetz­liche Vorgaben rele­vant: die EU-Richt­linie NIS 2, die neue Maschi­nen­ver­ord­nung und der Cyber Resi­li­ence Act.

EU-Richt­linie NIS 2

Im Vergleich zur Vorgänger-Richt­linie betrifft NIS 2 nun mehr Unter­nehmen, erwei­tert die Pflichten und sieht stren­gere Sank­tionen vor. Unter­nehmen, die keine Maßnahmen ergreifen, drohen empfind­liche Strafen.

Cyber Resi­li­ence Act

Der Cyber Resi­li­ence Act richtet sich an Hersteller von Produkten mit digi­talen Elementen. Diese sollen nur noch Produkte in Verkehr bringen dürfen, die ein ange­mes­senes Cyber­si­cher­heits­ni­veau gewähr­leisten. Die Verord­nung soll Ende 2024 verb­schiedet werden.

EU-Maschi­nen­ver­ord­nung

Die Maschi­nen­ver­ord­nung ersetzt ab Januar 2027 die bishe­rige Maschi­nen­richt­linie und macht, im Unter­schied zur Vorgän­gerin, Cyber­se­cu­rity verpflich­tend. In der Verord­nung ist das Schutz­ziel Security unter „Protec­tion against corrup­tion“ in die „Essen­tial health and safety requi­re­ments EHSR“ aufge­nommen worden.

Auf der anderen Seite ist das Thema Security für viele Unter­nehmen Neuland: Wissen fehlt, damit fehlen auch Stra­te­gien; Zustän­dig­keiten sind häufig nicht gere­gelt. Was also tun?

„Die neue Maschi­nen­ver­ord­nung ist ein guter Anlass für Maschi­nen­bauer und ‑betreiber, sich mit dem Thema Indus­trial Security ausein­an­der­zu­setzen“, erklärt Bernd Eisen­huth, Senior Consul­tant Busi­ness Areas bei Pilz. Denn nun werde erst­mals eine konkrete Anfor­de­rung gestellt und ein Rahmen vorge­geben.

Weil Maschinen künftig nicht mehr nur safe, sondern auch secure sein müssen, bieten Eisen­huth und sein Team zunächst in Deutsch­land die Dienst­leis­tung an, Unter­nehmen beim Thema Indus­trial Security zu beraten und zu unter­stützen. Im nächsten Jahr wird das Angebot dann welt­weit zur Verfü­gung stehen.

Erprobte Methodik aus der Maschi­nen­si­cher­heit

Ausge­hend von der erprobten Methodik für Dienst­leis­tungen im Bereich Maschi­nen­si­cher­heit und auf der Basis der Security-Normen­reihe IEC 62443 hat Pilz das Dienst­leis­tungs­an­gebot Indus­trial Security Consul­ting Service entwi­ckelt, nach dessen Umset­zung Unter­nehmen mit Blick auf Indus­trial Security gut gerüstet sind und die aktu­ellen gesetz­li­chen Vorgaben erfüllen.

Hier klicken, um den Inhalt von Vimeo anzu­zeigen.
Erfahren Sie mehr in der Daten­schutz­er­klä­rung von Vimeo.

Bernd Eisen­huth, Senior Consul­tant Busi­ness Areas bei Pilz, erklärt, warum es jetzt wichtig ist, sich um Indus­trial Security an der Maschine zu kümmern.

Modu­lare Dienst­leis­tung für den Schutz von Mensch und Maschine

Das Dienst­leis­tungs­an­gebot besteht zu Beginn aus den Modulen Schutz­be­darfs­ana­lyse, Indus­trial-Security-Risi­ko­be­wer­tung, Indus­trial-Security-Konzept und Indus­trial Security System-Veri­fi­ca­tion. Die Schutz­be­darfs­ana­lyse ist der erste Schritt auf dem Weg zur Indus­trial Security. Sie dient der Ermitt­lung der geltenden Normen und Vorschriften, der Fest­stel­lung des Umfangs der zu schüt­zenden Maschine oder Anlage sowie der Ermitt­lung der Schutz­ziele des Systems. Bernd Eisen­huth erklärt, was Kunden in diesem ersten Schritt erwarten können:

Hier klicken, um den Inhalt von Vimeo anzu­zeigen.
Erfahren Sie mehr in der Daten­schutz­er­klä­rung von Vimeo.

Bernd Eisen­huth erklärt, wie die Schutz­be­darfs­ana­lyse des Security Consul­ting Service von Pilz abläuft.

Ähnlich wie im Bereich Maschi­nen­si­cher­heit folgt dann eine Risi­ko­be­ur­tei­lung. Hier geht es um die Ermitt­lung sämt­li­cher Risiken für jeden Teil­be­reich über den kompletten Lebens­zy­klus des Systems hinweg. Schwach­stellen und mögliche Gefähr­dungen werden doku­men­tiert. Die Pilz Experten und Exper­tinnen disku­tieren das Ergebnis und mögliche Lösungs­an­sätze mit dem Kunden:

Hier klicken, um den Inhalt von Vimeo anzu­zeigen.
Erfahren Sie mehr in der Daten­schutz­er­klä­rung von Vimeo.

Nur wenn man das Scha­dens­ausmaß (Schutz­be­darfs­ana­lyse) und die Risi­ko­aus­prä­gung kennt, kann man entspre­chende Gegen­maß­nahmen fest­legen. Bernd Eisen­huth verdeut­licht die Abhän­gig­keiten.

Im dritten Schritt erstellen die Experten und Exper­tinnen von Pilz ein Indus­trial-Security-Konzept. Darin sind mögliche Stra­te­gien zur Abwehr bzw. Milde­rung von Gefähr­dungen beschrieben. Konkret werden Work­flows für Gegen­maß­nahmen erar­beitet und es wird geprüft, welche Einzel­maß­nahmen Sinn ergeben – von der Benut­zer­au­then­ti­fi­zie­rung über physi­ka­li­sche Schutz­maß­nahmen bis zum Back-up und zur Daten­wie­der­her­stel­lung. Hinzu kommt die Erstel­lung von Poli­cies, Regeln und Richt­li­nien für den weiteren „sicheren“ Betrieb des Systems über den gesamten Lebens­zy­klus hinweg:

Hier klicken, um den Inhalt von Vimeo anzu­zeigen.
Erfahren Sie mehr in der Daten­schutz­er­klä­rung von Vimeo.

Im Indus­trial-Security-Konzept geht es um Stra­te­gien und Gegen­maß­nahmen. Die Details erläu­tert Bernd Eisen­huth im Video.

Der vierte und letzte Schritt ist die Indus­trial Security System-Veri­fi­ca­tion. Damit wird die Wirk­sam­keit der imple­men­tierten Gegen­maß­nahmen über­prüft und in einem Test­be­richt werden die Ergeb­nisse inklu­sive even­tu­eller Abwei­chungen fest­ge­halten. Der Kunde erhält die Gewiss­heit, dass die Konzepte und Maßnahmen auch in der Praxis greifen.

Hier klicken, um den Inhalt von Vimeo anzu­zeigen.
Erfahren Sie mehr in der Daten­schutz­er­klä­rung von Vimeo.

Der vierte und letzte Schritt des Security Consul­ting Service ist die Veri­fi­zie­rung. Bernd Eisen­huth vermit­telt, was hier geschieht.

Der Indus­trial Security Consul­ting Service von Pilz erwei­tert die bisher auf die funk­tio­nale Sicher­heit fokus­sierte sicher­heits­tech­ni­sche Betrach­tung von Maschinen hin zu einer ganz­heit­li­chen Betrach­tung von Safety und Security. Maschi­nen­bauer und Anwender erhalten von Pilz ein Dienst­leis­tungs­an­gebot, das alle Aspekte für den Schutz von Mensch und Maschine berück­sich­tigt.

Indus­trial Security Consul­ting Service

Pilz baut sein Dienst­leis­tungs­port­folio im Bereich Indus­trial Security aus und ergänzt so die bereits ange­bo­tenen Schu­lungen in diesem Bereich. Das Dienst­leis­tungs­an­gebot „Indus­trial Security Consul­ting Service“ startet im Herbst zunächst in Deutsch­land. Weitere Infor­ma­tionen erhalten Inter­es­senten unter industrialsecurity@pilz.com.

Konkret stellen Anwender damit die Verfüg­bar­keit und Inte­grität ihrer Maschinen und ihres Systems sicher, damit die Inte­grität der Maschine, der Prozesse und letzt­lich des Endpro­dukts gewähr­leistet ist.

Bernd Eisen­huth hat aber noch eine ganz persön­liche Moti­va­tion: „Unser größter Ansporn ist stets der Schutz des Menschen, denn ohne Indus­trial Security können Maßnahmen zur funk­tio­nalen Sicher­heit ausge­he­belt werden. Kein Mensch soll durch Auto­ma­tion verletzt werden.“


Gleich weitersagen!


Hat Ihnen der Artikel gefallen?

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Durchschnittliche Bewertung)
Loading...

Vielen Dank!


Schreiben Sie einen Kommentar

Die E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.