Die Bedrohungen aus der Cyberwelt haben in den letzten Jahren immer stärker zugenommen. Neben IT-Systemen rückt immer mehr das produzierende Umfeld als Angriffsziel in den Fokus. Dabei geht es den Angreifern neben dem Erbeuten von Geld, häufig auch um den Effekt der Zerstörung von Anlagen, getrieben von terroristischen oder sonstigen Motivationen. Mensch und Maschine, Daten und Know-how müssen verlässlich vor Gefahren, unbefugtem Zugriff und Missbrauch geschützt werden. Das sieht auch der Gesetzgeber so und steuert mit einer Reihe von Gesetzen entgegen, die wichtig sind, Unternehmen zunächst jedoch vor Herausforderungen stellen.
Orientierung im Gesetzes-Dschungel
Bei den Normen und Gesetzen für die Maschinensicherheit im industriellen Umfeld findet derzeit ein Umbruch statt. Für die Industrie im Allgemeinen und für den Maschinen- und Anlagenbau im Besonderen sind beim Thema Security drei kommende gesetzliche Vorgaben relevant. Die europäische NIS 2-Richtlinie beispielsweise fordert, dass Unternehmen gesamtheitlich ein Informationssicherheitsmanagementsystem umzusetzen haben. Mit dem Cyber Resillience Act (CRA) werden Securitymaßnahmen für Produkte mit digitalen Elementen vorgeschrieben. Darunter fallen schließlich auch die Steuerungen, die in Maschinen eingesetzt werden. Mit der neuen Maschinenverordnung (EU 2023/1230) soll der Schutz vor Korrumpierung gewährleistet werden. Gefordert werden Securitymaßnahmen für Teile der Maschine mit Einfluss auf die funktionale Sicherheit. Ausgehend von der erprobten Methodik für Dienstleistungen im Bereich Maschinensicherheit und auf der Basis der Security-Normenreihe IEC 62443 hat Pilz das Dienstleistungsangebot Industrial Security Consulting Service entwickelt, nach dessen Umsetzung Unternehmen mit Blick auf Industrial Security gut gerüstet sind und die aktuellen gesetzlichen Vorgaben erfüllen.
Unabhängig davon, dass der Gesetzgeber Industrial-Security verpflichtet, gibt es eine Reihe guter Gründe sich frühzeitig mit dem Thema zu beschäftigen und beraten zu lassen. Denn viele Abläufe und Gegebenheiten im Unternehmen sind oftmals typisch für den Betrieb von Maschinen, begünstigen jedoch Manipulationen und sollten dringend hinterfragt und verändert werden. Beispielsweise führt eine lange Lebensdauer von Maschinen häufig dazu, dass die dazugehörigen Systeme und auch Computer in die Jahre kommen und irgendwann nicht mehr den aktuellen Standards der Security entsprechen. Diese Systeme verfügen über Sicherheitslücken, die nicht mehr geschlossen werden können, weil der Anbieter keine Security-Updates mehr liefert. Auch kann der Schutz vor Schadsoftware häufig nicht auf den Endgeräten implementiert werden, da diese teilweise zu alt und deren Perfomance dadurch leiden würde, so dass es zu Ausfällen der Produktion kommen kann.
Ein Ziel, viele Aufgaben
Letztlich geht es zwar immer darum, dass der Geschäftsbetrieb und die Produktivität geschützt bleiben, doch dafür müssen Unternehmen unterschiedliche Herausforderungen meistern: Das reicht von der Identifizierung der geltenden gesetzlichen Vorschriften, die Erkennung und Behebung von Schwachstellen in Systemen, über die Sensibilisierung und Schulung der Mitarbeiter bis hin zur anschließenden Implementierung von Kontrollen. Da Security ein bewegliches Ziel ist, ist zudem eine regelmäßige Überprüfung des Industrial Security Status der Maschinen notwendig. Das Automatisierungsunternehmen Pilz hat sich auf diese Anforderungen eingestellt und für Maschinenbauer und Anwender international ein Dienstleistungsangebot aufgebaut, das ganzheitlich alle Aspekte für den Schutz von Mensch und Maschine einbezieht. Das Angebot reicht von grundlegenden Informationen und Orientierungshilfen sowie Schulungen, bis hin zum Industrial Security Consulting Service, bei dem konkrete Projekte umgesetzt werden.
Modulare Dienstleistung für mehr Security
Der Industrial Security Consulting Service setzt an Security-Schwachstellen an. Er besteht aus vier Modulen: Schutzbedarfsanalyse, Industrial-Security-Risikobewertung, Industrial-Security-Konzept und Industrial-Security-System-Verifikation.
Bei der Schutzbedarfsanalyse ermitteln die Experten von Pilz im Unternehmen den Umfang der zu schützenden Maschinen oder Anlagen sowie die Schutzziele des Systems. Im zweiten Schritt, der Risikobewertung, werden sämtliche Risiken und mit welcher Wahrscheinlichkeit sie eintreten betrachtet, und zwar für jeden Teilbereich über den kompletten Lebenszyklus des Systems hinweg. Im Anschluss werden gemeinsam mit den Kunden Lösungsansätze für Schwachstellen und mögliche Gefährdungen.
Im dritten Schritt wird ein Industrial-Security-Konzept mit Strategien und Maßnahmen zur Abwehr und Milderung von Risiken erstellt, hervorgerufen durch Angriffe, Manipulationen und Fehlbedienungen. Hinzu kommt die Erstellung von Policies, Regeln und Richtlinien für den weiteren sicheren Betrieb oder Aufbau des Systems. Im letzten Schritt, der Industrial-Security-System-Verifikation, wird die Wirksamkeit der implementierten Gegenmaßnahmen überprüft.
Vorteile auf einen Blick
Mit dem Industrial Security Consulting Service können Cyberangriffe abgemildert oder verhindert werden. Auch Security-Vorfälle, die unbeabsichtigt ausgelöst wurden, können reduziert werden. Das wiederum erhöht die Maschinenverfügbarkeit und sorgt letzten Endes für Kostenersparnis und der Wahrung der Wirtschaftlichkeit. Der ISCS sorgt jedoch vor allem dafür, dass mit entsprechenden Security-Maßnahmen die Menschen an der Maschine geschützt sind. Denn ein Security-Vorfall kann zum Hindernis von Safety-Maßnahmen werden. So sorgt beispielsweise ein Lichtgitter vor Maschinen dafür, dass der Bediener nicht in einen Gefahrenbereich übertritt. Wenn jedoch ein Angreifer Einfluss nehmen kann auf die entsprechende Steuerung und den Mechanismus, kann die Schutzfunktion des Lichtgitters nicht mehr gewährleistet werden. Aus diesem Grund braucht die Safety auch die Security, um einen umfänglichen Schutz von Mensch und Maschine zu gewährleisten.
Hier finden Sie mehr über:
