Zunahme von Cyberangriffen, Security-Vorgaben der neuen Maschinenverordnung und Schutz vor Manipulationen – für die Industrie wächst der Druck, sich mit Industrial Security auseinanderzusetzen. Doch wo anfangen? Und wie umsetzen? In Deutschland startet Pilz den Industrial Security Consulting Service.
Mit der Digitalisierung und Vernetzung steigt die Gefahr, dass Maschinen von Security-Vorfällen betroffen sind. Nicht immer sind es gezielte Angriffe von außen, auch Manipulationen von innen können Maschinen schaden. Der Gesetzgeber hat die Bedeutung der Security erkannt. Das schlägt sich z. B. in der neuen Maschinenverordnung nieder: Seit jeher müssen Maschinenbauer, um Maschinen in Europa einführen zu können, das Konformitätsbewertungsverfahren durchlaufen, an dessen Ende die CE-Kennzeichnung steht. Gemäß der neuen Regelung müssen Maschinenbauer nachweisen, dass ihre Maschinen nicht nur funktional sicher sind, sondern auch gegen Manipulationen geschützt sind. Damit gilt: Security ist künftig eine gesetzliche Vorgabe!
Neue gesetzliche Vorgaben für Security
Bei den Normen und Gesetzen für die Maschinensicherheit im industriellen Umfeld findet derzeit ein Umbruch statt. Getrieben wird er durch die Themen Security und Künstliche Intelligenz (KI). Für die Industrie im Allgemeinen und für den Maschinen- und Anlagenbau im Besonderen sind beim Thema Security drei neue bzw. kommende gesetzliche Vorgaben relevant: die EU-Richtlinie NIS 2, die neue Maschinenverordnung und der Cyber Resilience Act.
EU-Richtlinie NIS 2
Im Vergleich zur Vorgänger-Richtlinie betrifft NIS 2 nun mehr Unternehmen, erweitert die Pflichten und sieht strengere Sanktionen vor. Unternehmen, die keine Maßnahmen ergreifen, drohen empfindliche Strafen.
Cyber Resilience Act
Der Cyber Resilience Act richtet sich an Hersteller von Produkten mit digitalen Elementen. Diese sollen nur noch Produkte in Verkehr bringen dürfen, die ein angemessenes Cybersicherheitsniveau gewährleisten. Die Verordnung soll Ende 2024 verbschiedet werden.
EU-Maschinenverordnung
Die Maschinenverordnung ersetzt ab Januar 2027 die bisherige Maschinenrichtlinie und macht, im Unterschied zur Vorgängerin, Cybersecurity verpflichtend. In der Verordnung ist das Schutzziel Security unter „Protection against corruption“ in die „Essential health and safety requirements EHSR“ aufgenommen worden.
Auf der anderen Seite ist das Thema Security für viele Unternehmen Neuland: Wissen fehlt, damit fehlen auch Strategien; Zuständigkeiten sind häufig nicht geregelt. Was also tun?
„Die neue Maschinenverordnung ist ein guter Anlass für Maschinenbauer und ‑betreiber, sich mit dem Thema Industrial Security auseinanderzusetzen“, erklärt Bernd Eisenhuth, Senior Consultant Business Areas bei Pilz. Denn nun werde erstmals eine konkrete Anforderung gestellt und ein Rahmen vorgegeben.
Weil Maschinen künftig nicht mehr nur safe, sondern auch secure sein müssen, bieten Eisenhuth und sein Team zunächst in Deutschland die Dienstleistung an, Unternehmen beim Thema Industrial Security zu beraten und zu unterstützen. Im nächsten Jahr wird das Angebot dann weltweit zur Verfügung stehen.
Erprobte Methodik aus der Maschinensicherheit
Ausgehend von der erprobten Methodik für Dienstleistungen im Bereich Maschinensicherheit und auf der Basis der Security-Normenreihe IEC 62443 hat Pilz das Dienstleistungsangebot Industrial Security Consulting Service entwickelt, nach dessen Umsetzung Unternehmen mit Blick auf Industrial Security gut gerüstet sind und die aktuellen gesetzlichen Vorgaben erfüllen.
Modulare Dienstleistung für den Schutz von Mensch und Maschine
Das Dienstleistungsangebot besteht zu Beginn aus den Modulen Schutzbedarfsanalyse, Industrial-Security-Risikobewertung, Industrial-Security-Konzept und Industrial Security System-Verification. Die Schutzbedarfsanalyse ist der erste Schritt auf dem Weg zur Industrial Security. Sie dient der Ermittlung der geltenden Normen und Vorschriften, der Feststellung des Umfangs der zu schützenden Maschine oder Anlage sowie der Ermittlung der Schutzziele des Systems. Bernd Eisenhuth erklärt, was Kunden in diesem ersten Schritt erwarten können:
Ähnlich wie im Bereich Maschinensicherheit folgt dann eine Risikobeurteilung. Hier geht es um die Ermittlung sämtlicher Risiken für jeden Teilbereich über den kompletten Lebenszyklus des Systems hinweg. Schwachstellen und mögliche Gefährdungen werden dokumentiert. Die Pilz Experten und Expertinnen diskutieren das Ergebnis und mögliche Lösungsansätze mit dem Kunden:
Im dritten Schritt erstellen die Experten und Expertinnen von Pilz ein Industrial-Security-Konzept. Darin sind mögliche Strategien zur Abwehr bzw. Milderung von Gefährdungen beschrieben. Konkret werden Workflows für Gegenmaßnahmen erarbeitet und es wird geprüft, welche Einzelmaßnahmen Sinn ergeben – von der Benutzerauthentifizierung über physikalische Schutzmaßnahmen bis zum Back-up und zur Datenwiederherstellung. Hinzu kommt die Erstellung von Policies, Regeln und Richtlinien für den weiteren „sicheren“ Betrieb des Systems über den gesamten Lebenszyklus hinweg:
Der vierte und letzte Schritt ist die Industrial Security System-Verification. Damit wird die Wirksamkeit der implementierten Gegenmaßnahmen überprüft und in einem Testbericht werden die Ergebnisse inklusive eventueller Abweichungen festgehalten. Der Kunde erhält die Gewissheit, dass die Konzepte und Maßnahmen auch in der Praxis greifen.
Der Industrial Security Consulting Service von Pilz erweitert die bisher auf die funktionale Sicherheit fokussierte sicherheitstechnische Betrachtung von Maschinen hin zu einer ganzheitlichen Betrachtung von Safety und Security. Maschinenbauer und Anwender erhalten von Pilz ein Dienstleistungsangebot, das alle Aspekte für den Schutz von Mensch und Maschine berücksichtigt.
Industrial Security Consulting Service
Pilz baut sein Dienstleistungsportfolio im Bereich Industrial Security aus und ergänzt so die bereits angebotenen Schulungen in diesem Bereich. Das Dienstleistungsangebot „Industrial Security Consulting Service“ startet im Herbst zunächst in Deutschland. Weitere Informationen erhalten Interessenten unter industrialsecurity@pilz.com.
Konkret stellen Anwender damit die Verfügbarkeit und Integrität ihrer Maschinen und ihres Systems sicher, damit die Integrität der Maschine, der Prozesse und letztlich des Endprodukts gewährleistet ist.
Bernd Eisenhuth hat aber noch eine ganz persönliche Motivation: „Unser größter Ansporn ist stets der Schutz des Menschen, denn ohne Industrial Security können Maßnahmen zur funktionalen Sicherheit ausgehebelt werden. Kein Mensch soll durch Automation verletzt werden.“