Statement von Pilz-Geschäftsführer Thomas Pilz
Die Zukunft der sicheren Automation
Bild: Pilz GmbH & Co. KGIn Punkto Sicherheit, kommt einiges auf die Industrie zu. So findet etwa bei den Normen und Gesetzen für die Sicherheit im industriellen Umfeld derzeit ein Umbruch statt. Getrieben wird dieser durch die Themen Security und Künstliche Intelligenz (KI). Für den Maschinen- und Anlagenbau sind beim Thema Security drei neue bzw. kommende gesetzliche Vorgaben relevant: Die EU-Richtlinie NIS 2, die neue Maschinenverordnung und der Cyber Resilience Act.
Mehr Pflichten, mehr Sanktionen
Die EU-Richtlinie NIS (Netz- und Informationssicherheit) zur Stärkung der Cybersicherheit galt bislang für Anbieter im Bereich kritische Infrastrukturen. Sie mussten mit Blick auf die Security angemessene Sicherheitsvorkehrungen treffen und gravierende Cybersicherheitsvorfälle melden. Der Nachfolger NIS 2 trat Anfang 2023 in Kraft und muss bis Herbst 2024 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Die Richtlinie gilt jetzt auch für den Maschinenbau und die Automobilindustrie - für Unternehmen mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von mehr als 10Mio.?. Europaweit sind laut VDMA rund 9.000 Unternehmen betroffen. Sie müssen künftig nachweisen, dass sie technische, operative und organisatorische Security-Maßnahmen ergreifen. Dazu gehört zunächst die Risikoanalyse von bestehenden Systemen auch in Produktionsumgebungen. Dann folgen die Ausarbeitung und Umsetzung spezifischer Prozesse und Maßnahmen wie Passwortschutz oder Verschlüsselung sowie, Weiterbildung und Schulung von Mitarbeitern. Cybersicherheitsvorfälle müssen innerhalb von 24 Stunden den zuständigen Behörden gemeldet werden. Neu ist auch die ausdrückliche Einbeziehung von Lieferketten. Zusammengefasst betrifft NIS 2 nun mehr Unternehmen, erweitert die Pflichten und sieht strengere Sanktionen vor. Unternehmen, die keine Maßnahmen ergreifen, drohen empfindliche Strafen.
Security für den gesamten Produktlebenszyklus
Im September 2022 hat die EU-Kommission einen Entwurf für eine Verordnung vorgelegt, die die Cybersicherheit von Produkten erhöhen soll. Dieser Cyber Resilience Act richtet sich an Hersteller von Produkten mit digitalen Elementen. Damit ist sowohl Hard- als auch Software (bzw. Firmware) gemeint. Die Verordnung bezieht sich hierbei sowohl auf Consumer- als auch auf Industrieprodukte, z.B. Maschinensteuerungen. Laut der Verordnung dürfen nur noch Produkte in Verkehr gebracht werden, die ein angemessenes Cybersicherheitsniveau gewährleisten. Des Weiteren werden Hersteller verpflichtet, Kunden über Sicherheitslücken so schnell wie möglich zu informieren und diese zu schließen. Die Verordnung betrifft also den gesamten Lebenszyklus eines Produktes. Das bedeutet, dass Hersteller nun auch über den üblichen Gewährleistungszeitraum hinaus Softwareupdates anbieten müssen, um auch zukünftige Bedrohungen abzuwehren. Es ist davon auszugehen, dass die Verordnung Ende 2024 verabschiedet wird.
Die dritte neue gesetzliche Security-Vorgabe ist die Maschinenverordnung der EU. Ihre Veröffentlichung steht kurz bevor. Da sie eine Verordnung ist, muss sie nicht erst in nationales Recht übertragen werden. Maschinenhersteller haben 42 Monate Zeit, die neuen Anforderungen zu erfüllen. Die Maschinenverordnung ersetzt die bisherige Maschinenrichtlinie und macht - im Unterschied zur Vorgängerin - Cybersecurity verpflichtend. War die Maschinenrichtlinie eine reine Betrachtung der Safety, wurde in der Verordnung das Schutzziel Security unter "Protection against corruption" in die "Essential health and safety requirements EHSR" mit aufgenommen: Die Sicherheitsfunktionen der Maschine dürfen durch unbeabsichtigte oder vorsätzliche Verfälschung nicht beeinträchtigt werden. Bisher ist bekannt, dass ein Erfüllen der Vorgaben aus dem Cyber Resilliance Act zu einer Konformitätsvermutung für die Maschinenverordnung führt.
Wer muss sich um was kümmern?
Welche Bedeutung haben die gesetzlichen Vorgaben nun? Anhand des Sektors Stromerzeugung lassen sich die Zusammenhänge gut darstellen: Bislang war nur der Stromversorger von der NIS-Richtlinie zur betroffen. Mit NIS 2 müssen künftig auch Maschinenbauer, etwa Hersteller von Windkraftanlagen, die Vorgaben erfüllen. Die Maschinenbauer benötigen etwa Automatisierungslösungen, Steuerungen oder Sensoren. Ab einer bestimmten Größe fallen also auch Hersteller von elektrischen Komponenten unter NIS 2. Und da auch die Berücksichtigung der Lieferanten vorgeschrieben wird, muss sich auch ein Unternehmen wie Pilz um sichere Lieferketten kümmern und Anforderungen an ihre Lieferanten stellen. NIS 2 deckt also die komplette Lieferkette ab. Seit jeher müssen Maschinenbauer, um Maschinen in Europa einführen zu können, das Konformitätsbewertungsverfahren durchlaufen an dessen Ende die CE-Kennzeichnung steht. Jetzt, mit der neuen Maschinenverordnung, müssen Maschinenbauer nachweisen, dass ihre Maschinen auch gegen Manipulationen geschützt sind. Und schließlich unterliegt der Hersteller der elektrischen Komponenten den künftigen Vorgaben des geplanten Cyber Resilience Acts.
Zusammenfassend ist zu sagen: Ob und in welcher Tiefe sich ein Unternehmen mit Security auseinandersetzen will, ist nicht länger Ermessenssache des Unternehmens. Es wird zur gesetzlichen Vorgabe. Unternehmen tun gut daran, sich baldmöglichst mit NIS 2 zu beschäftigen und eine ganzheitliche Security-Betrachtung für das Unternehmen durchzuführen. Dazu gehört etwa der Aufbau eines Managementsystems für Informationssicherheit (ISMS) mit Zertifizierung nach ISO27001.
Im Maschinenbau ist Security nicht allein Aufgabe der IT, sondern integraler Bestandteil der Konzeption und Konstruktion. Die Sicherheit im Nachhinein zu implementieren ist aufwändig und bedeutet meist Einbußen bei Anwenderfreundlichkeit, Funktionalität und Produktivität. Für Hersteller von Produkten mit digitalen Elementen steht mit der Normenreihe IEC62443 eine gute Orientierung bereit. In der untergeordneten Norm IEC62443-4-1 werden z.B. Anforderungen an einen sogenannten Security-Development-Lifecycle-Prozess beschrieben. Die EU ist bei der Security-Gesetzgebung vorgeprescht. Aber es laufen bereits Abstimmungen mit anderen Ländern. So wird sich z.B. Australien vermutlich an die europäischen Normen anlehnen. Es ist also eine weltweite Harmonisierung bei Industrial Security zu erwarten.
Safety für neue Standards
Für die sichere, herstellerübergreifende Vernetzung für industrielle Anlagen hat sich die Industrie auf OPC UA geeinigt. Dieses Kommunikationsprotokoll stellt eine nach IEC62541 standardisierte Schnittstelle für die Kommunikation zwischen verschiedenen Datenquellen in der Industrie bereit. Als Mitglied der OPC Foundation ist Pilz sowohl im Lenkungskomitee als auch in technischen Arbeitskreisen der FLC-Gruppe (Field Level Communication) aktiv. Unser Augenmerk liegt dabei auf der Arbeitsgruppe, in der es um Safety over OPC UA geht. Dabei bringt Pilz sein Knowhow über den Einsatz der Pub/Sub-Technologie in Verbindung mit den Anforderungen von funktional sicheren Feldbusprotokollen ein. Im Vergleich zur klassischen Master/Slave-Architektur können bei Pub/Sub Daten direkt zwischen Teilnehmern ausgetauscht werden. Das erlaubt es, OPC UA auch für anspruchsvolle, verteilte Automatisierungsaufgaben einzusetzen. Die Arbeit rund um die funktionale Sicherheit kommt gut voran. Hand in Hand mit Prüfbehörden arbeitet die Gruppe an Testspezifikation und Testsystemen sowie die Zertifizierung von Kommunikations-Stacks für OPC UA Safety. Die Version 1.05 ist bereits frei gegeben.
Auf Sensorebene ist die Automatisierung bereits einen großen Schritt weiter in Sachen Offenheit. Hier steht das Kommunikationsprotokoll IO-Link Safety kurz vor der kommerziellen Verfügbarkeit. Die Punkt-zu-Punkt Kommunikation bietet viele Vorteile wie etwa Vereinfachungen bei der Installation (z.B. durch standardisierte Verkabelung und den Wegfall von Parallel-Verdrahtungen), eine automatisierte und Tool-unterstützte Parametrierung sowie erweiterte Diagnosemöglichkeiten. Um IO-Link auch für sicherheitsrelevante Automatisierungsaufgaben einsetzen zu können, hat Pilz in der Community intensiv an der entsprechenden Extension mit den dazugehörigen Tests und Zertifizierungen gearbeitet. Die ersten marktreifen Sensoren werden wir auf der SPS im November vorstellen. Ziel ist es, ein komplettes System, also Sensoren, Aktoren plus Master-Module, anzubieten.
Sicherheit wird dynamisch
Was bedeutet die weitere Digitalisierung für den Schutz von Mensch und Maschine? Die dynamischen Situationen in den künftigen Produktionsumgebungen müssen mit Blick auf die Sicherheit geprüft und freigegeben werden. Deswegen arbeitet Pilz im Projekt Fluide Produktion der Arena 2036 mit Partnern an der Implementierung eines Produktionskonzeptes, bei dem sich Anlagen in ortsflexible Module zerlegen lassen, um so ganz nach Bedarf dynamische Einheiten bilden und wieder auflösen zu können. Ein zentraler Fokus liegt dabei auf der Rolle des Menschen als aktivem Gestalter seiner Produktionsumgebung. Damit wächst auch der Bedarf nach dynamischer Sicherheit, also einer flexibleren Anpassung der Sicherheitsfunktionen. Ein weiteres Schlagwort ist "Sicherheit zur Echtzeit". Denkbar ist, dass sich verschiedene Maschinen - oder allgemein Assets - künftig Sicherheitseinrichtungen teilen. Diese Shared Safety erprobt Pilz mit der Forschungsinitiative SmartFactory KL. Eine klassische CE-Kennzeichnung als Ergebnis eines analogen Konformitätsbewertungsverfahrens scheidet bei einem solchen Verständnis von Sicherheit aus. Informationen zu allen beteiligten Assets müssen zur Laufzeit aktuell verfügbar sein, Stichworte dazu sind Digitales Typenschild und Verwaltungsschale.
Security für den gesamten Produktlebenszyklus
Im September 2022 hat die EU-Kommission einen Entwurf für eine Verordnung vorgelegt, die die Cybersicherheit von Produkten erhöhen soll. Dieser Cyber Resilience Act richtet sich an Hersteller von Produkten mit digitalen Elementen. Damit ist sowohl Hard- als auch Software (bzw. Firmware) gemeint. Die Verordnung bezieht sich hierbei sowohl auf Consumer- als auch auf Industrieprodukte, z.B. Maschinensteuerungen. Laut der Verordnung dürfen nur noch Produkte in Verkehr gebracht werden, die ein angemessenes Cybersicherheitsniveau gewährleisten. Des Weiteren werden Hersteller verpflichtet, Kunden über Sicherheitslücken so schnell wie möglich zu informieren und diese zu schließen. Die Verordnung betrifft also den gesamten Lebenszyklus eines Produktes. Das bedeutet, dass Hersteller nun auch über den üblichen Gewährleistungszeitraum hinaus Softwareupdates anbieten müssen, um auch zukünftige Bedrohungen abzuwehren. Es ist davon auszugehen, dass die Verordnung Ende 2024 verabschiedet wird.
Die dritte neue gesetzliche Security-Vorgabe ist die Maschinenverordnung der EU. Ihre Veröffentlichung steht kurz bevor. Da sie eine Verordnung ist, muss sie nicht erst in nationales Recht übertragen werden. Maschinenhersteller haben 42 Monate Zeit, die neuen Anforderungen zu erfüllen. Die Maschinenverordnung ersetzt die bisherige Maschinenrichtlinie und macht - im Unterschied zur Vorgängerin - Cybersecurity verpflichtend. War die Maschinenrichtlinie eine reine Betrachtung der Safety, wurde in der Verordnung das Schutzziel Security unter "Protection against corruption" in die "Essential health and safety requirements EHSR" mit aufgenommen: Die Sicherheitsfunktionen der Maschine dürfen durch unbeabsichtigte oder vorsätzliche Verfälschung nicht beeinträchtigt werden. Bisher ist bekannt, dass ein Erfüllen der Vorgaben aus dem Cyber Resilliance Act zu einer Konformitätsvermutung für die Maschinenverordnung führt.
Pilz GmbH & Co. KG
Dieser Artikel erschien in Industrial Security Report 7 2023 - 27.07.23.Für weitere Artikel besuchen Sie
