Industrial Security umfasst nicht nur den Schutz von Daten, sondern gewährleistet gleichzeitig die Integrität von Sicherheitsfunktionen und ‑maßnahmen. Fährt beispielsweise ein Fertigungsmitarbeiter eine Anlage hoch, obwohl er dazu nicht autorisiert ist, stellt das bereits einen Security-Vorfall da. Diese vielleicht ungewollte Manipulation gefährdet die Sicherheit anderer Mitarbeiterinnen und Mitarbeiter. Umso wichtiger ist es, Sicherheit ganzheitlich zu denken – denn sie spielt auch bei Haftungsfragen eine zentrale Rolle.
Verglichen mit dem greifbaren Thema der Maschinensicherheit erscheint Industrial Security auch heute noch eher abstrakt. Viele verbinden damit in erster Linie Cyberangriffe von außen, doch Security ist bis in die kleinste Maschine einer Fertigung relevant. Security umschließt Safety, stellt deren Integrität und damit den Schutz von Mensch und Maschine sicher. Mit der neuen europäischen Maschinenverordnung werden Security-Maßnahmen ab 2025 zudem verpflichtend. Doch schon heute tragen Unternehmer Sorge für die Sicherheit von Personal, Maschine und Daten.
Verwantwortung übernehmen
Versäumt es das Management, bei der Gestaltung der Arbeit allgemeine organisatorische Maßnahmen und Anordnungen zu treffen, kann es dafür haftbar gemacht werden. Auf Missstände wie Beinahe-Unfälle oder das Eintreten neuer Risiken am Arbeitsplatz müssen geeignete Maßnahmen folgen. Regelmäßige Kontrollen zeigen den Handlungsbedarf rechtzeitig auf. Ein Beispiel zur Veranschaulichung: Ein Mitarbeiter öffnet eine Schutztür und bringt damit die Maschine zum Stillstand. Der Fertigungsprozess wird unterbrochen und es entsteht ein wirtschaftlicher Schaden. Eigentlich hatte der Mitarbeiter gar keine Berechtigung zum Öffnen der Schutztür, aber durch fehlende Arbeitsanweisungen wusste er davon nichts und der Zugang zur Anlage wurde nicht klar geregelt. In diesem Fall wurde die Aufgabe also an eine nicht qualifizierte Person delegiert und die Arbeitsanweisungen waren nicht vorhanden oder unvollständig. Für die Folgen haftet deshalb die Unternehmensführung.
Ein rundum sicherer Arbeitsplatz
Hand in Hand mit dem Haftungsschutz geht der Mitarbeiterschutz: Der Betreiber einer Maschine oder Anlage ist verantwortlich für den Schutz seiner Mitarbeiterinnen und Mitarbeiter und muss entsprechende Maßnahmen ergreifen. Ist beispielsweise eine Maschine durch eine Schutztür abgesichert, der Zugang aber nicht geregelt, kann beispielsweise eine Reinigungskraft in den Gefahrenbereich der Maschine gelangen und sich verletzen. In diesem Beispiel reicht die Sicherheitseinrichtung nicht aus. Im Zuge einer Gefährdungsbeurteilung wären potenzielle Gefahrenquellen rechtzeitig identifiziert worden: Ist der Zugang zur Maschine ausreichend geschützt? Welche Qualifikation benötigen die Mitarbeiterinnen und Mitarbeiter an der Maschine und für welche Arbeitsschritte sind sie dann autorisiert?
Manipulation verhindern
Ein dritter Bereich, der zunehmend an Relevanz gewinnt, ist der Datenschutz. Damit wird Security wie eingangs erwähnt häufig assoziiert und die Sorge ist groß, dass ein Angreifer in das OT-Netz eines Unternehmens gerät. Das kann zum Beispiel passieren, weil ein USB-Stick mit Schadsoftware bewusst oder unbewusst an einer Maschine verwendet wurde. Gibt es innerhalb der Produktion keine Segmentierung, können Hacker so nicht nur diese eine Maschine, sondern die gesamte Fertigung lahmlegen. Das ist der „worst case“, aber auch aus der Perspektive des Datenschutzes ist dieser Vorfall heikel. Daten und Know-how müssen vor Angriffen von außen wie vor der Gefährdung aus dem Unternehmen heraus geschützt werden.
Alle drei beschriebenen Szenarien sind nicht nur aus Haftungsgründen relevant, sie haben auch einen großen Einfluss auf die Produktivität eines Unternehmens. Was können Unternehmer also tun, um auf der sicheren Seite zu sein? Sicherheitsvorkehrungen müssen regelmäßig hinterfragt und an die aktuellen Gegebenheiten angepasst werden. Eine ganzheitliche Risikoanalyse zeigt mögliche Schwachstellen auf und umfasst sowohl Safety als auch Industrial Security. Auf der Basis der Analyse können passende Maßnahmen ergriffen und die Maschinen gegebenenfalls nachgerüstet werden.
Zugänge klar regeln
Für die genannten Fallbeispiele kann ein um fassendes Identity and Access Management, also die Regelung von Zugängen und Zutritten, eine adäquate Lösung darstellen. Wird ein Zugangsberechtigungssystem PITreader eingesetzt, erhalten nur autorisierte Personen auf einem RFID-Schlüssel ihre individuellen Berechtigungen für die Maschinen oder Anlagen, an denen sie Arbeiten durchführen. Erst wenn sie sich an der Maschine autorisieren, indem sie ihren Schlüssel an PITreader stecken, erhalten sie den gewünschten Zugang. Die Berechtigungen können zentral vergeben und verwaltet werden. Kommt es doch zu einem Sicherheitsvorfall oder einer Manipulation, kann über das System auch nachvollzogen werden, wer zuletzt an der Maschine gearbeitet hat.
Angreifer aussperren
Sollen Maschinen vor unautorisierten Zugriffen und Manipulation geschützt werden, bietet außerdem eine industrielle Firewall wie SecurityBridge von Pilz Schutz. Sie kontrolliert die Datenkommunikation innerhalb eines industriellen Automatisierungsnetzwerks. Um den Datenfluss einer Fertigung zu schützen, können darüber hinaus schalt- und aktivierbare Produkte eine passende Maßnahme sein. So regelt die aktivierbare USB‑2.0‑Host-Schnittstelle des Bedienelements PIT oe USB das manipulations sichere Einspielen von Programmen, das Abziehen von Daten sowie den Anschluss einer Tastatur oder Computermaus. Wird das Bedienelement mit dem Zugangsberechtigungssystem PITreader kombiniert, erfolgt die Aktivierung nur bei entsprechender Berechtigung.
Diese Maßnahmen können einfach in eine Industrieanwendung integriert oder auch nachgerüstet werden. Damit trägt das Industrial Access Management zu mehr Industrial Security bei und stellt die Integrität der Maschinensicherheit sicher. Gleichzeitig kann sich die Unternehmensführung auf dieses ganzheitliche Sicherheitskonzept verlassen und übernimmt so die Verantwortung für das Unternehmen und seine Mitarbeiterinnen und Mitarbeiter.