Was kommt auf Hersteller und Betreiber zu?
Cybersicherheit und die neue EUMaschinenverordnung
Im Juli 2023 ist die EU-Maschinenverordnung in Kraft getreten. Ab dann bleiben noch 42 Monate, um die neuen Vorgaben anzuwenden. Welche securityrelevanten Aspekte dabei von Bedeutung sind, zeigt der folgende Beitrag.
Bild: ©S and V Design/stock.adobe.comTechnologische Entwicklungen im Maschinenbau, allen voran die intelligente Vernetzung von Maschinen und die Verwendung von KI-Technologie, bringen auch neue Herausforderungen mit sich: Verstärkt müssen sich Unternehmen auch dem Thema der Cyberkriminalität widmen. Immer häufiger sehen sie sich Hacker-Angriffen ausgesetzt, Datendiebstahl sowie -verschlüsselung und damit einhergehende Erpressungsversuche können beträchtliche finanzielle Schäden verursachen.
Diesen Entwicklungen trägt die neue EU-Maschinenverordnung (EU) Nr. 2023/1230 Rechnung. In ihr finden sich Vorgaben zur Cybersicherheit, die Unternehmen künftig umsetzen müssen, um auch weiterhin das CE-Kennzeichen zu erhalten. Im Unterschied zur alten Maschinenrichtlinie 2006/42/EG gilt die Verordnung für alle EU-Länder und muss nicht erst in nationale Gesetze gegossen werden. Obgleich sie erst ab dem 20. Januar 2027 anzuwenden ist, stellt die neue EU-Maschinenverordnung im Bereich der Cybersecurity anspruchsvolle Vorgaben, auf die sich die Unternehmen frühzeitig vorbereiten sollten.
Hersteller in der Bringschuld
Die Verordnung nimmt vor allem die Hersteller in die Pflicht. Sie sind künftig dazu angehalten, Vorkehrungen zu treffen, um ihre Maschinen gegen Cyber-Angriffe zu sichern. Doch bedeutet dies nicht, dass damit die anderen Akteure aus der Verantwortung entlassen wären - insbesondere die Anwender werden zu einer gewissenhaften Nutzung angehalten.
Die Neuerungen im Detail
Schutz gegen Korrumpierung und größere Steuerungssicherheit
Die neuen Vorgaben zur Cybersecurity finden sich größtenteils in Anhang lll der Verordnung. Relevant sind hier vor allem folgende Aspekte:
Þ Schutz gegen Korrumpierung (Protection against corruption) (Artikel 1.1.9):
Þ Die Maschine muss so gebaut sein, dass ihre Verknüpfung mit anderen Geräten oder dem Internet zu keiner "gefährlichen Situation" führt, wie es in der Verordnung heißt. Software und Daten, die dem sicheren Betrieb der Maschine dienen, müssen zudem benannt und geschützt werden. Schließlich sind auch alle (rechtmäßigen wie unrechtmäßigen) Eingriffe in sicherheitsrelevante Software zu dokumentieren.
Þ Sicherheit und Zuverlässigkeit von Steuerungen (Artikel 1.2.1):
Auch für die Sicherung der Maschinensteuerung haben die Hersteller Sorge zu tragen. So dürfen weder im Falle von Hacker-Angriffen, noch bei versehentlichen Anwenderfehlern Gefährdungssituationen entstehen. Die Grenzen der Sicherheitsfunktionen von Maschinen müssen überdies vorab genau abgesteckt werden und vor nachträglichen Veränderungen geschützt sein. Dies gilt ausdrücklich auch für selbstlernende, d. h. KI-basierte Systeme. Die Verordnung sieht außerdem vor, dass Rückverfolgungsprotokolle zu absichtlichen oder unabsichtlichen Eingriffen bis zu fünf Jahre lang gespeichert werden und zugänglich sein müssen.
Vorgabenzu AfterSales-Pflichten und KI-Systemen
Doch hat die neue EU-Maschinenverordnung nicht nur Auswirkungen auf Herstellung und Risikoanalyse - auch Nachmarktpflichten finden sich explizit aufgeführt. Sollten Maschinen nicht mehr 'verordnungskonform' sein, sind Hersteller unverzüglich dazu aufgefordert, Korrekturmaßnahmen zu ergreifen oder aber Rückrufaktionen einzuleiten bzw. das Produkt vom Markt zu nehmen. Auch die zuständigen nationalen Behörden sind in einem entsprechenden Fall zu unterrichten.
Eine weitere Neuerung betrifft zudem Maschinen, die über Systeme mit sog. "selbstentwickelndem Verhalten" (sprich: KI-Systeme) verfügen. Sie werden künftig zu den Hochrisikomaschinen gerechnet, was das Konformitätsbewertungsverfahren deutlich aufwendiger werden lässt. So werden die Hersteller gemäß der neuen EU-Verordnung eine Baumusterprüfung oder ein umfassendes Qualitätssicherungssystem vorzuweisen haben, um die Konformität von Maschinen mit KI-Software garantieren zu können.
Welche Maßnahmen können Hersteller ergreifen?
Letztlich bleibt es den Herstellern überlassen, welche konkreten Maßnahmen zu ergreifen sind, um den Anforderungen der neuen EU-Verordnung Genüge zu leisten. Als Leitfaden kann jedoch die internationale Normenreihe IEC62443 dienen, die sich mit der IT-Sicherheit von 'Industrial Automation and Control Systems' befasst. Hervorzuheben sind hier im Besonderen die Dokumente IEC62443 4-1 (Secure product development lifecycle requirements) sowie 62443 4-2 (Technical security requirements for IACS components). Sie behandeln, welche Aspekte im Hinblick auf einen sicheren Software-Entwicklungsprozess zu beachten sind.
Ratsam erscheint zuvorderst eine Bedrohungsmodellierung. Dadurch lässt sich erkennen, auf welchen unterschiedlichen Wegen (etwa über das Bedienterminal, USB-Zugänge oder das Netzwerk) die Maschine angegriffen werden kann. Auf Grundlage eines solchen Modells kann in einem nächsten Schritt das individuelle Risiko bewertet und ein Maßnahmenplan erstellt werden.
Dabei sollten folgende Aspekte in Betracht gezogen werden:
Þ eine starke Verschlüsselung sämtlicher Netzwerkverbindungen zur Maschine.
Þ Einführung eines Identitäts- und Zugangsmanagements, das sicherstellt, dass die Anmeldung ausschließlich berechtigten Personen gestattet ist. Die Sicherheitsparameter müssen zudem so festgelegt sein, dass der Aktionsraum des Benutzers klar umrissen ist. Ein solches Least-Privilege-Prinzip sollte nicht nur für Anwender, sondern auch für die Verbindung mit anderen Maschinen oder Systemen gelten.
Þ eine genaue Protokollierung sämtlicher Anmelde- und Abmeldevorgänge durch das installierte Software-Programm. Darüber hinaus müssen alle Modifizierungen der Software protokolliert werden - ganz gleich, ob sie autorisiert (etwa in Form von Updates) oder unautorisiert (schlimmstenfalls durch Hacker-Angriffe) vorgenommen wurden. Die Speicherung der Daten sollte direkt auf der Maschine oder auf einem zentralen Server erfolgen. Auch die Bereitstellung dieser Dokumentation für Prüfstellen oder Behörden ist vom Hersteller jederzeit zu garantieren.
Þ ein Vulnerability-Management für alle installierten Software-Programme, im Zuge dessen fortlaufend mögliche Schwachpunkte (schwach geschützte Zugangscodes, riskante Netzwerkverbindungen etc.) identifiziert werden. Aufgrund der neu hinzukommenden After-Sales-Verpflichtungen sollten Hersteller auch logistisch darauf vorbereitet sein, Defizite und Mängel rasch beseitigen zu können.
Auch wenn einige Formulierungen in der neuen EU-Maschinenverordnung unter Umständen Raum für Diskussionen lassen, weisen die Vorgaben zur Cybersecurity in die richtige Richtung. Die Verordnung reagiert auf ein Problem, das die Unternehmen in den kommenden Jahren immer stärker beschäftigen wird, und nimmt Hersteller sowie Betreiber im Kampf gegen Cyberkriminalität in die Pflicht.
Zumal auf Hersteller-Seite nun möglichst frühzeitig Vorkehrungen getroffen werden sollten: Diese reichen von einer umsichtigen Risikoanalyse aufgrund von Bedrohungsmodellierungen über verlässliche Verschlüsselungsverfahren und Identitätsprüfungen bis hin zu einem fortlaufenden Vulnerability-Management, das immer auch die Anwender in die Sicherheitsmaßnahmen einbindet. Nur im Schulterschluss von Herstellern und Betreibern kann die Bekämpfung von Cyber-Kriminalität gelingen. Die Komplexität dieser Aufgabe erfordert ein planvolles Handeln, auch wenn die Verordnung erst Anfang 2027 verbindlich anzuwenden ist.
Hersteller in der Bringschuld
Die Verordnung nimmt vor allem die Hersteller in die Pflicht. Sie sind künftig dazu angehalten, Vorkehrungen zu treffen, um ihre Maschinen gegen Cyber-Angriffe zu sichern. Doch bedeutet dies nicht, dass damit die anderen Akteure aus der Verantwortung entlassen wären - insbesondere die Anwender werden zu einer gewissenhaften Nutzung angehalten.
Die Neuerungen im Detail
Schutz gegen Korrumpierung und größere Steuerungssicherheit
Die neuen Vorgaben zur Cybersecurity finden sich größtenteils in Anhang lll der Verordnung. Relevant sind hier vor allem folgende Aspekte:
Þ Schutz gegen Korrumpierung (Protection against corruption) (Artikel 1.1.9):
Þ Die Maschine muss so gebaut sein, dass ihre Verknüpfung mit anderen Geräten oder dem Internet zu keiner "gefährlichen Situation" führt, wie es in der Verordnung heißt. Software und Daten, die dem sicheren Betrieb der Maschine dienen, müssen zudem benannt und geschützt werden. Schließlich sind auch alle (rechtmäßigen wie unrechtmäßigen) Eingriffe in sicherheitsrelevante Software zu dokumentieren.
Þ Sicherheit und Zuverlässigkeit von Steuerungen (Artikel 1.2.1):
Auch für die Sicherung der Maschinensteuerung haben die Hersteller Sorge zu tragen. So dürfen weder im Falle von Hacker-Angriffen, noch bei versehentlichen Anwenderfehlern Gefährdungssituationen entstehen. Die Grenzen der Sicherheitsfunktionen von Maschinen müssen überdies vorab genau abgesteckt werden und vor nachträglichen Veränderungen geschützt sein. Dies gilt ausdrücklich auch für selbstlernende, d. h. KI-basierte Systeme. Die Verordnung sieht außerdem vor, dass Rückverfolgungsprotokolle zu absichtlichen oder unabsichtlichen Eingriffen bis zu fünf Jahre lang gespeichert werden und zugänglich sein müssen.
MaibornWolff GmbH
Dieser Artikel erschien in IT&Production 2 (März) 2024 - 07.03.24.Für weitere Artikel besuchen Sie www.it-production.com
