Startseite » Technik »

Digitale Revolution in der Prüftechnik

Ein lebenslanges Prüfsiegel wird künftig nicht mehr ausreichen
Der TÜV braucht digitale Daten

Ob Systeme sicher sind, hängt künftig stark von ihrer IT-Sicherheit ab. Sie müssen gegenüber Cyberattacken resistent sein. Aber das reicht nicht aus. Manche Systeme verändern sich permanent durch Updates. Wie soll der TÜV sie prüfen? Er braucht Zugang zu digitalen Daten.

Johannes Näumann
Fachjournalist in Potsdam

Es ist ein Vorgang, wie er bereits 2014 normaler nicht sein konnte: in der Verwaltung eines Stahlwerks öffnet ein Mitarbeiter eine E-Mail. Er ahnt nicht, dass diese E-Mail eine genau auf ihn zugeschnittene Fälschung ist. Ihr Ziel: die Infektion seines Bürorechners mit einem Trojaner. „Mittels Spear-Phishing und ausgefeiltem Social Engineering erlangten Angreifer initialen Zugriff auf das Büronetz des Stahlwerks. Von dort aus arbeiteten sie sich sukzessive bis in die Produktionsnetze vor“, wird das Bundesamt für Sicherheit in der Informationstechnologie (BSI) später schreiben. „Die Ausfälle führten dazu, dass ein Hochofen nicht geregelt heruntergefahren werden konnte und sich in undefiniertem Zustand befand“, so das BSI in seinem Lagebericht.

Solche Ereignisse gehören heute zum Alltag. Es gibt keinen Bereich in der digital vernetzten Gesellschaft, der sich vor der Gefahr von Cyberangriffen sicher fühlen könnte. Kürzlich erläuterte Andreas Krautscheid, Hauptgeschäftsführer des Bankenverbandes in einem Interview des Berliner Tagesspiegel, dass „jede Bank jeden Tag“ von Hackern angegriffen werde.

Die Sicherheit vernetzter Systeme wird zur politischen Aufgabe

Die Sicherheit digital vernetzter Systeme, Anlagen und Produkte ist zu einer politischen Kernaufgabe geworden. Bislang fehlt allerdings eine Regulierung, die mit klaren Vorgaben, transparenten und einheitlich hohen Sicherheitsstandards für Vertrauen und Akzeptanz sorgt. Auch die TÜV-Unternehmen in Deutschland fordern eine eindeutige gesetzliche Basis. Es verwundert kaum, dass für sie die Themen Cybersecurity und Datensicherheit ganz oben auf der Agenda stehen.

Sie begleiten seit der ersten industriellen Revolution im 19. Jahrhundert den technischen Fortschritt. Durch die Digitalisierung müssen die Sicherheitskonzepte aber unter den Bedingungen von Industrie 4.0 und dem Internet of Things völlig neu gedacht werden. „Der Prüfprozess muss zukünftig um eine digitale Ebene ergänzt werden. Das heißt, in die bestehenden Normen und Standards müssen IT-Sicherheitsaspekte einfließen“, fordert auch Ulf Theike, Geschäftsführer TÜV Nord Systems.

Das betrifft zum einen den wirkungsvollen Schutz vor Cyberangriffen, zum anderen aber auch die Frage, wie mit den von digitalen Systemen generierten Daten umgegangen wird. „Es muss eine klare Regelung gefunden werden, wer, wann und zu welchem Zweck auf diese Daten zugreifen darf“, so Theike. Gleiches gilt für die Steuerungssoftware. Zukünftig könnten solche Daten beispielsweise über ein sogenanntes TrustCenter ausgetauscht werden, in dem eine neutrale dritte Instanz regelt, wer Zugriff auf welche Daten erhält. Dies könnte für mehr Vertrauen in unabhängig verifizierte Daten und eine hohe IT-Sicherheit sorgen.

Adaptive, veränderliche Systeme sind eine besondere Herausforderung

Damit Deutschland seinen Spitzenplatz als Innovationsstandort weiter ausbauen kann, ist eine digitale Sicherheitsarchitektur dringend notwendig. Das gilt auch für adaptive, individualisierbare Systeme, die immer häufiger in Produkten, Fahrzeugen oder Industrieanlagen zum Einsatz kommen. Denn: Die exakten Funktionen eines Geräts legt heutzutage nicht mehr der Hersteller fest, sondern der Kunde selbst. Jede Veränderung, die während der Nutzung vorgenommen wird, bringt eigene, bei der ursprünglichen Prüfung nicht berücksichtigte Wechselwirkungen mit sich.

Smartphones sind ein perfektes Beispiel: Sie werden am Ende der Produktionskette gemäß gültiger Normen geprüft. Nachdem das Gerät den Nutzer erreicht, wird es entsprechend persönlicher Bedürfnisse personalisiert und es werden Updates oder Apps installiert. Das Smartphone erhält Eigenschaften, die es vom Werk aus nicht hätte – und so auch neue potenzielle Gefahrenpunkte. Theoretisch erfordert eine solche Veränderung eine erneute Prüfung des Produkts.

Das Beispiel zeigt, dass die bisher betrachteten, klassischen Gefahrenfelder und auch der Prüfzeitpunkt nicht mehr ausreichen, um die Sicherheit von Produkten zu gewährleisten. Besonders bei vernetzten und adaptiven Produkten und Systemen ist eine erweiterte Sicherheitsprüfung bis in die Nutzung hinein unumgänglich. Gerade hier sind klare Regeln, Normen und Standards notwendig.

Die Dienstleistung „Prüfung“ verlagert sich in den digitalen Raum

Wenn die zu prüfenden Objekte und Prozesse sich im Zuge der Digitalisierung so nachhaltig verändern, werden sich auch die Prüfung selbst und damit die Konformitätsbewertungsstellen verändern müssen. Die Dienstleistung „Prüfung“ wird sich mehr und mehr in den virtuellen Raum verlagern. Digitale Systeme können online überwacht werden, wodurch wiederum Kapazitäten für die persönliche Betreuung und Beratung der Kunden frei werden. „In Zukunft werden Prüfungen eine intelligente Verknüpfung digitaler Prüfsysteme mit der menschlichen Expertise und Erfahrung sein“, sagt Theike. Zusätzlich wird die Transparenz der Prüfung ein großes Thema sein. Werden hierzu alle Informationen offengelegt, erhöht sich die Vertrauenswürdigkeit der Prüfinstanzen enorm. Gleichzeitig verringert sich der bürokratische Aufwand und macht Ressourcen frei.

Ganzheitliche Lösungen für Zertifizierungen digitaler Systeme gibt es bereits. „TÜV Nord ist langjähriger Zertifizierer von Informationssicherheits-Managementsystemen nach ISO/IEC 27001. Darüber hinaus wenden wir bei TÜV Nord aufgrund der zunehmenden Digitalisierung die international anerkannte Norm IEC 62443 zum Konformitätsnachweis in der Prozess- und Automatisierungsindustrie an,“ erläutert Theike. Die Norm, auch bekannt unter „Industrial Communication Networks – Networks and System Security“, besteht momentan aus mehreren Teilnormen und bildet das gesamte industrielle Spektrum ab. Sie reicht von der Organisation beziehungsweise den Prozessen über Systeme und Komponenten bis hin zu prozessualen und funktionalen Anforderungen. „Solche internationalen Standards reduzieren Handelshemmnisse, die durch unterschiedliche Zertifizierungskriterien in verschiedenen Ländern entstehen und erleichtern somit den Zugang zu neuen Märkten“, erklärt Theike. „Produkte können schneller vermarktet, Herstellungskosten gesenkt und die Sicherheit erhöht werden.“

Noch fehlt es an übergreifenden Richtlinien und Normen

Die Zertifizierung nach solchen Normen ist allerdings nach wie vor freiwillig. Und: die aktuell gültigen Normen beziehen sich entweder auf die IT-Sicherheit (Security) oder auf die funktionale Sicherheit (Safety). „Ein integrierter Ansatz, etwa als Norm oder Richtlinie, fehlt momentan“, sagt Theike. Hinzu kommt, dass die Entwicklungsgeschwindigkeit neuer Produkte mittlerweile so hoch ist, dass Sicherheitszertifikate nur sehr kurze Zeit aktuell sind.

Betroffen sind davon besonders Hersteller und Betreiber, deren Prozesse dem Produkthaftungsgesetz, der Betriebssicherheitsverordnung oder der Richtlinie für Medizinprodukte unterliegen. So werden Aufzüge momentan so geprüft, dass sie den mechanischen Sicherheitsanforderungen entsprechen, etwa der Aufzugsrichtlinie. In der Industrie 4.0 sind Aufzüge aber in vernetzte digitale Systeme eingebunden. „Künftig muss zwingend bei der Prüfung dieser Anlagen auch die digitale Sicherheit einbezogen sein“, fordert Theike. Solange dieser integrierte Ansatz fehlt, empfiehlt er den betroffenen Unternehmen und Betreibern, beispielsweise auf eine „Security4Safety-Risikobewertung“ durch TÜV Nord zurückzugreifen. Sie bildet ein ganzheitliches Risikomanagement für Produkte und Prozesse der Industrie 4.0 ab.

EU hat Vorschlag für einen „Cyber Certification Act“ gemacht

Aus Sicht aller Beteiligten – Herstellern, Betreibern, Verbrauchern und Prüforganisationen – ist es daher ein wichtiger Meilenstein, dass sich nun auch die EU intensiv um das Thema IT-Sicherheit kümmert. Im September 2017 wurde ein erster Vorschlag für einen „Cyber Certification Act“ (CCA) von der EU-Kommission präsentiert und in den Ausschüssen des EU-Parlaments behandelt. Ziel ist ein wirkungsvoller Schutz vor Cyberangriffen und eine umfassende digitale Sicherheit auf dem europäischen Binnenmarkt.

Für Ulf Theike ist besonders wichtig, dass darin die EU-Mitgliedsstaaten noch über den ursprünglichen Vorschlag der Brüsseler Kommission hinausgehen. Der Europäische Rat fordert ein risikobasiertes Zertifizierungssystem für Produkte der Informations- und Kommunikationstechnik: Je gefährlicher ein Produkt, umso höher die Prüfanforderungen. Das entspricht genau den Regeln des „New Approach“ für die Vermarktung von Produkten auf dem Binnenmarkt, der bei allen nicht-digitalen Produkten schon lange angewendet werden muss. Die Richtlinien legen ein hohes Sicherheitsniveau für bestimmte Produkte im Markt fest und schreiben ab einem bestimmten Risiko die Einbindung unabhängiger Prüforganisationen vor. „Damit werden in Europa die regulativen Grundlagen für einen integrierten Ansatz von Safety und Security gelegt“, so Theike.

Unsere Whitepaper-Empfehlung
Industrieanzeiger
Titelbild Industrieanzeiger 4
Ausgabe
4.2024
LESEN
ABO
Newsletter

Jetzt unseren Newsletter abonnieren

Tipps der Redaktion

Unsere Technik-Empfehlungen für Sie

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie

Unsere Partner

Starke Zeitschrift – starke Partner


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de