Spot an für Security!

Die Normen­land­schaft rückt neben der Maschi­nen­si­cher­heit die Indus­trial Security in den Blick­punkt. Denn mit der Digi­ta­li­sie­rung und Vernet­zung ändern sich derzeit die Rahmen­be­din­gungen. Wir zeigen, was die wich­tigsten Ände­rungen der Normen 2023 für Maschi­nen­her­steller und ‑betreiber bedeuten.

Die Anlage hat eine CE-Kenn­zeich­nung. Die darin verbauten Sicher­heits­kom­po­nenten erfüllen die Anfor­de­rungen des erfor­der­li­chen Perfor­mance Level (PLr) nach EN ISO 13849–1 oder des erfor­der­li­chen Safety Inte­grated Level (SIL) nach EN IEC 62061. Die Anlage kann funk­tional sicher gestaltet werden. Das gute Gefühl, das damit einher­geht, gerät jedoch ins Wanken. Denn Maschinen haben immer mehr digi­tale Elemente, die neue Anfor­de­rungen an die Sicher­heit stellen: Könnte jemand von außen meiner Soft­ware schaden? Könnte jemand den Zugang zur Maschine erhalten, der nicht auto­ri­siert ist, und Ände­rungen an der Program­mie­rung vornehmen?

Die Normen­or­ga­ni­sa­tionen ISO und IEC haben reagiert und wollen diese und ähnliche Sorgen aus dem Weg räumen: Sie rüsten nach und defi­nieren derzeit mit aktua­li­sierten Normen neue Anfor­de­rungen für Produkte, Maschinen und Anlagen, die die Indus­trial Security in den Fokus rücken. Auch die neue Maschi­nen­ver­ord­nung, die die Maschi­nen­richt­linie ablösen wird, schließt daran an. Und nicht nur das: Mit dem ersten Entwurf des Cyber Resi­li­ence Act ist eine EU-Verord­nung in Vorbe­rei­tung, die eigens Anfor­de­rungen an die Cyber­se­cu­rity für alle Kompo­nenten- sowie Maschi­nen­her­steller und Betreiber von Maschinen und Anlagen stellt. Doch eins nach dem anderen …

EN IEC 62061 – Security als Sicher­heits­aspekt

Die EN IEC 62061 ist neben der EN ISO 13849 die wohl wich­tigste Norm der funk­tio­nalen Sicher­heit. Die Norm legt die Anfor­de­rungen fest und enthält Empfeh­lungen für die Gestal­tung, die Inte­gra­tion und die Vali­die­rung von sicher­heits­re­le­vanten Steue­rungs­sys­temen (SCS) für Maschinen. 2022 in aktua­li­sierter Form ver­öffentlicht, legt sie auch Security als Sicher­heits­aspekt fest: Die Norm gibt vor, dass sowohl „absicht­liche Angriffe auf die Hard­ware, Anwen­dungs­pro­gramme und zuge­hö­rige Soft­ware als auch unbe­ab­sich­tigte Ereig­nisse, die auf mensch­li­ches Versagen zurück­zu­führen sind“, im Sicher­heits­le­bens­zy­klus und während des gesamten Lebens­zy­klus der Maschine oder Anlage zu berück­sich­tigen sind. Diese dürfen die Inte­grität der Sicher­heit nicht nach­teilig beein­flussen.

Normen geben es vor: Security rückt in den Fokus.

ISO 13849–1 – sicher­heits­be­zo­gene Soft­ware

Die über­ar­bei­tete Version der ISO 13849–1 liegt im finalen Entwurf vor. Ihre Veröf­fent­li­chung wird in der ersten Jahres­hälfte erwartet. Ein wich­tiger Aspekt betrifft die Anfor­de­rungen bezüg­lich Soft­ware und Manage­ment der funk­tio­nalen Sicher­heit – also wie Daten inner­halb der Soft­ware von Maschinen geschützt sind. Es sind verschie­dene Soft­ware-Typen abge­deckt, beispiels­weise sicher­heits­be­zo­gene Embedded Soft­ware (SRESW), sicher­heits­be­zo­gene Anwen­dungs­soft­ware (SRASW) oder Soft­ware zur Para­me­trie­rung. Die Norm hält Verbes­se­rungs­vor­schläge bereit, wie diese mit den Anfor­de­rungen für die Program­mier­spra­chen mit einge­schränktem („Limited Varia­bi­lity Language“, LVL) oder unein­ge­schränktem Sprach­um­fang („Full Varia­bi­lity Language“, FVL) verknüpft werden können. Der Zeit­punkt der Harmo­ni­sie­rung zur EU-Norm EN ISO 13849–1 ist noch nicht abzu­sehen, ebenso wenig wie eine Antwort auf die Frage, ob es eine Über­gangs­frist nach der Veröf­fent­li­chung der Norm im Amts­blatt geben wird und wie lange diese sein wird.

Die neue Maschi­nen­ver­ord­nung – finaler Entwurf

Das Euro­päi­sche Parla­ment und der Rat der Euro­päi­schen Union haben sich über eine finale Version der neuen Maschi­nen­ver­ord­nung geei­nigt. Die Veröf­fent­li­chung steht kurz bevor. Ist die Verord­nung veröf­fent­licht, haben die Normen­gre­mien 42 Monate Zeit, um die anwend­baren Normen an die neuen Vorgaben anzu­passen. Also auch harmo­ni­sierte Normen zu schaffen, die es uns erleich­tern, eine Konfor­mität mit der Verord­nung zu errei­chen. „Das ist jede Menge Arbeit“, erzählt Klaus Dürr, Vice Presi­dent Stan­dards Group bei Pilz. „Das beinhaltet auch den Bereich ‚Protec­tion against corrup­tion‘, in dem die Maschi­nen­ver­ord­nung Anfor­de­rungen an die Cyber­se­cu­rity fest­legt und Vorgaben für die Lebens­phasen einer Maschine macht. Dadurch dürfen die Sicher­heits­funk­tionen nicht beein­träch­tigt werden.“ Ein beispiel­hafter Auszug aus dem Entwurf: „Die Maschine […] ist so zu konstru­ieren und zu bauen, dass der Anschluss eines anderen Geräts an die Maschine […] über eine Funk­tion des ange­schlos­senen Geräts selbst oder über ein entferntes Gerät, das mit der Maschine […] kommu­ni­ziert, nicht zu einer Gefah­ren­si­tua­tion führt.“

Cyber Resi­li­ence Act – eine eigene EU-Verord­nung

Der erste Entwurf des Cyber Resi­li­ence Act richtet sich unter anderem an Hersteller von Produkten und Maschinen mit digi­talen Elementen, sei es Soft- oder Hard­ware, aber auch an Betreiber. Neben umfas­senden Vorgaben zum Thema Indus­trial Security fordert die Rechts­vor­schrift, dass die Produk­tei­gen­schaften wie auch die Maschine oder Anlage ein ange­mes­senes Cyber­si­cher­heits­ni­veau haben, was auf der Grund­lage einer Risi­ko­be­wer­tung zu veri­fi­zieren ist. Mit einer Veröf­fent­li­chung der EU-Verord­nung ist in zwei bis drei Jahren zu rechnen.

Die große Frage: „Wie?“

Die Frage, wie all diese kommenden norma­tiven Anfor­de­rungen an Security von der inter­na­tio­nalen Indus­trie gut und effi­zient umge­setzt werden können, bleibt. Denn die Heraus­for­de­rungen, die neuen Anfor­de­rungen in bestehenden sowie neuen Entwick­lungs- und Herstel­lungs­pro­zessen zu berück­sich­tigen, sind entspre­chend groß. „Wir empfehlen frühes Handeln“, sagt Arndt Christ, Vice Presi­dent Customer Support Inter­na­tional bei Pilz. „Für unsere Kunden bleiben wir welt­weit am Ball. Meine Mitar­beiter beant­worten rund um die Uhr Fragen – zu unserem Produkt­port­folio, aber auch gene­rell zu Frage­stel­lungen, wie Maschinen und Anlagen secure entwi­ckelt und betrieben werden können. Oder wie Security-Anfor­de­rungen über­haupt iden­ti­fi­ziert werden.“ Dafür erwei­tert Pilz aktuell auch sein Dienst­leis­tungs­an­gebot.


Gleich weitersagen!


Hat Ihnen der Artikel gefallen?

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Durchschnittliche Bewertung)
Loading...

Vielen Dank!


Schreiben Sie einen Kommentar

Die E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.