Schutz für Unternehmen, Maschinen und Produkte
Industrial Security ganzheitlich denken
Ziel der Industrial Security ist es, die Verfügbarkeit von Maschinen und Anlagen, sowie die Integrität und Vertraulichkeit von maschinellen Daten und Prozessen zu gewährleisten. Neben den wirtschaftlichen Aspekten spielen die normativen Vorgaben eine immer größere Rolle. Was bedeutet das für Unternehmen, Maschinen und Produkte?
NIS 2: Die komplette Lieferkette im Blick
Das IT-Sicherheitsgesetz, die bisherige nationale Umsetzung der NIS 1, galt vorwiegend für kritische Infrastruktur und Anbieter relevanter digitaler Dienste. NIS 2 erweitert die Sektoren beispielsweise um das herstellende/produzierende Gewerbe, darunter auch Maschinenbau und Hersteller von elektrischen Ausrüstungen.
NIS 2 am Beispiel: Mit NIS 2 müssen künftig auch Maschinenbauer, wie etwa der Hersteller von Windkraftanlagen, die Vorgaben erfüllen. Er wiederum benötigt etwa Automatisierungslösungen, Steuerungen oder Sensoren z.B. von Pilz. Ab einer bestimmten Größe fallen auch Hersteller von elektrischen Komponenten unter das Gesetz. Und weil es auch die Berücksichtigung der Lieferanten vorschreibt, muss sich auch ein Unternehmen wie Pilz um sichere Lieferketten kümmern und Anforderungen an ihre Lieferanten stellen. NIS 2 deckt also die komplette Lieferkette ab.
Gegenstand von Security-Vorfällen sind nicht mehr nur IT-Systeme, sondern immer häufiger auch das produzierende Umfeld (OT). Unternehmen, Maschinen und Produkte. Dabei kommen auf jeder Ebene unterschiedliche Herausforderungen sowie gesetzliche Rahmenbedingungen auf Maschinenbauer und -betreiber zu.
NIS 2: Mehr Pflichten für Unternehmen
Die Richtlinie für Netz- und Informationssystemsicherheit 2 EU 2022/2555 (NIS 2) verpflichtet künftig deutlich mehr Unternehmen, Risikomanagementmaßnahmen für die Cybersicherheit zu ergreifen. Beispiele dafür sind Risikoanalysen und Sicherheitskonzepte für Informationssysteme, den Schutz der Lieferkette und die Sicherheit des Personals. Ebenso zählen Konzepte für die Zugriffskontrolle und das Management von Anlagen hinzu, sowie verpflichtende Schulungen für das Management. Die Richtlinie wurde Ende 2022 durch das Europäische Parlament und den Rat der EU verabschiedet und muss bis 18.10.2024 in nationales Recht überführt werden, in Deutschland etwa durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG). Unternehmen tun gut daran, sich baldmöglichst mit NIS 2 zu beschäftigen und eine umfassende Security-Betrachtung für das Unternehmen durchzuführen. Dazu gehört beispielsweise der Aufbau eines Managementsystems für Informationssicherheit (ISMS). Hilfreich ist in diesem Zusammenhang eine Zertifizierung nach der Informationssicherheits-Norm ISO27001.
Die neue Maschinenverordnung: Ohne Security kein CE
Konkreter sind die Security-Vorgaben bereits bei Maschinen und Anlagen: Die neue Maschinenverordnung umfasst nun auch das Schutzziel Security. Der neue Weg zur CE-Kennzeichnung wirft für Maschinenbauer und -betreiber eine Reihe neuer Fragen auf, denn sie werden ihre bisherigen Sicherheitskonzepte für Safety und Security überarbeiten müssen. Pilz, als Experte für sichere Automatisierung, hat daher sein Dienstleistungsangebot um die Themen der Industrial Security erweitert. Mit der Qualifizierung zum 'CESA - Certified Expert for Security in Automation' bietet das Unternehmen bereits seit letztem Jahr einen zweitägigen Expertenlehrgang an, der den Teilnehmern kompaktes Security-Wissen auf dem aktuellen Stand der Normenlage vermittelt. Darüber hinaus werden praktische Maßnahmen zur Risikominderung behandelt, wie Zugangskontrolle, Erhöhung der Netzwerk-Sicherheit mit technischen Mitteln sowie organisatorische Maßnahmen zur Verminderung von Security-Risiken.
Das Dienstleistungsangebot Industrial Security Consulting Service (ISCS) erweitert die sicherheitstechnische Betrachtung von Maschinen hin zu einer ganzheitlichen Betrachtung von Safety und Security. Es wurde ausgehend von der erprobten Methodik für Dienstleistungen im Bereich funktionaler Maschinensicherheit und auf der Basis der Security-Normenreihe IEC62443 entwickelt, nach dessen Umsetzung Unternehmen mit Blick auf Industrial Security gut gerüstet sind und die aktuellen gesetzlichen Vorgaben erfüllen. ISCS besteht aus vier Modulen: Schutzbedarfsanalyse, Industrial-Security-Risikobewertung, Industrial-Security-Konzept und Industrial-Security-System-Verifikation.
Safety und Security gehen Hand in Hand
Auch bei der konkreten Umsetzung an der Maschine macht künftig eine gemeinsame Betrachtung von Safety und Security Sinn. Am Ende gilt: ohne Security keine Safety und ohne Safety kein Schutz des Menschen. Ein wichtiger Baustein ist ein Identification and Access Management (I.A.M.), das Berechtigungen und Zugänge in einem Unternehmen klar regelt. Dazu gehören organisatorische Maßnahmen und Vorgaben genauso wie passende Sicherheitsfunktionen. Ein Zugangsberechtigungssystem wie PITreader von Pilz stellt dabei den passenden Produkt-Baustein dar. Damit können Anwender die Anforderungen bezüglich Mitarbeiterschutz, Haftungsschutz, Produktivität sowie des Schutzes ihrer Daten meistern. Den Zugriff auf Automatisierungsnetzwerke von außen abzusichern ist Aufgabe der Industrial Firewall SecurityBridge von Pilz. Sie überwacht den Datenverkehr zwischen PC und Steuerung und reduziert so die Angriffsfläche für Hacker und Manipulation.
Security über den kompletten Produkt-Lebenszyklus
Neben Betrachtung des Unternehmens und der Maschinen ist es unbedingt erforderlich, auch Security-Maßnahmen direkt in den Geräten (wie etwa Steuerungen) zu implementieren. Im September 2022 hat die Europäische Kommission einen Entwurf für eine Verordnung vorgelegt, die die Cybersicherheit von Produkten erhöhen soll. Dieser Cyber Resilience Act (CRA) richtet sich an Hersteller von Produkten mit digitalen Elementen (Hard- und Software), die in der Lage sind, mit anderen Produkten zu kommunizieren. Betroffen sind Produkte sowohl aus dem B2C-Bereich, wie Smartphones oder Staubsaugerroboter, als auch aus dem B2B-Bereich, wie Steuerungen und Sensoren, aber auch reine Softwareprodukte wie Betriebssysteme.
Wie groß die Auswirkungen des CRA tatsächlich sein werden, hängt davon ab, welche Kriterien am Ende für die Einstufung der Produkte angelegt werden. Laut CRA dürfen nur noch Produkte in Verkehr gebracht werden, die ein angemessenes Cybersicherheitsniveau gewährleisten - und zwar über den gesamten Lebenszyklus. Security beginnt also in der Produkt-Entwicklung. Seit einigen Jahren richtet Pilz seine Entwicklungsprozesse daher auch an der IEC62443-4-1 'Security for industrial automation and control systems - Part 4-1: Secure product development lifecycle requirements' aus und entwickelte beispielsweise die SecurityBridge nachweislich 'secure'.
Security ist jetzt gesetzliche Vorgabe!
Pilz ist überzeugt, dass nur eine ganzheitliche Betrachtung von Safety und Security einen Schutz von Mensch und Maschine gewährleisten kann. Ob und in welcher Tiefe sich ein Unternehmen mit Security auseinandersetzen will, ist nicht länger Ermessenssache. Inzwischen ist es eine gesetzliche Vorgabe! Im Maschinenbau ist Security in Form von Industrial Security nicht allein Aufgabe der IT, sondern integraler Bestandteil der Konzeption und Konstruktion. Security im Nachhinein zu implementieren ist immer aufwändig und bedeutet meist Einbußen bei Anwenderfreundlichkeit, Funktionalität und Produktivität.
Die neue Maschinenverordnung
Im Rahmen der funktionalen Sicherheit von Maschinen kommt der Maschinenrichtlinie 2006/42/EG eine besondere Bedeutung zu. Im vergangenen Juni neu als Maschinenverordnung veröffentlicht, wurden die Vorgaben auf den aktuellen Stand der Technik gebracht. Im Unterschied zur Maschinenrichtlinie nimmt die Maschinenverordnung unter anderem das Schutzziel Security mit auf als 'protection against corruption'. Security-Vorfälle dürfen die Sicherheitsfunktionen der Maschine nicht beeinträchtigen.
Ziel der Industrial Security ist es, die Verfügbarkeit von Maschinen und Anlagen, sowie die Integrität und Vertraulichkeit von maschinellen Daten und Prozessen zu gewährleisten. Neben den wirtschaftlichen Aspekten spielen die normativen Vorgaben eine immer größere Rolle. Was bedeutet das für Unternehmen, Maschinen und Produkte?
NIS 2: Die komplette Lieferkette im Blick
Das IT-Sicherheitsgesetz, die bisherige nationale Umsetzung der NIS 1, galt vorwiegend für kritische Infrastruktur und Anbieter relevanter digitaler Dienste. NIS 2 erweitert die Sektoren beispielsweise um das herstellende/produzierende Gewerbe, darunter auch Maschinenbau und Hersteller von elektrischen Ausrüstungen.
NIS 2 am Beispiel: Mit NIS 2 müssen künftig auch Maschinenbauer, wie etwa der Hersteller von Windkraftanlagen, die Vorgaben erfüllen. Er wiederum benötigt etwa Automatisierungslösungen, Steuerungen oder Sensoren z.B. von Pilz. Ab einer bestimmten Größe fallen auch Hersteller von elektrischen Komponenten unter das Gesetz. Und weil es auch die Berücksichtigung der Lieferanten vorschreibt, muss sich auch ein Unternehmen wie Pilz um sichere Lieferketten kümmern und Anforderungen an ihre Lieferanten stellen. NIS 2 deckt also die komplette Lieferkette ab.
Gegenstand von Security-Vorfällen sind nicht mehr nur IT-Systeme, sondern immer häufiger auch das produzierende Umfeld (OT). Unternehmen, Maschinen und Produkte. Dabei kommen auf jeder Ebene unterschiedliche Herausforderungen sowie gesetzliche Rahmenbedingungen auf Maschinenbauer und -betreiber zu.
NIS 2: Mehr Pflichten für Unternehmen
Die Richtlinie für Netz- und Informationssystemsicherheit 2 EU 2022/2555 (NIS 2) verpflichtet künftig deutlich mehr Unternehmen, Risikomanagementmaßnahmen für die Cybersicherheit zu ergreifen. Beispiele dafür sind Risikoanalysen und Sicherheitskonzepte für Informationssysteme, den Schutz der Lieferkette und die Sicherheit des Personals. Ebenso zählen Konzepte für die Zugriffskontrolle und das Management von Anlagen hinzu, sowie verpflichtende Schulungen für das Management. Die Richtlinie wurde Ende 2022 durch das Europäische Parlament und den Rat der EU verabschiedet und muss bis 18.10.2024 in nationales Recht überführt werden, in Deutschland etwa durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG). Unternehmen tun gut daran, sich baldmöglichst mit NIS 2 zu beschäftigen und eine umfassende Security-Betrachtung für das Unternehmen durchzuführen. Dazu gehört beispielsweise der Aufbau eines Managementsystems für Informationssicherheit (ISMS). Hilfreich ist in diesem Zusammenhang eine Zertifizierung nach der Informationssicherheits-Norm ISO27001.
Die neue Maschinenverordnung: Ohne Security kein CE
Konkreter sind die Security-Vorgaben bereits bei Maschinen und Anlagen: Die neue Maschinenverordnung umfasst nun auch das Schutzziel Security. Der neue Weg zur CE-Kennzeichnung wirft für Maschinenbauer und -betreiber eine Reihe neuer Fragen auf, denn sie werden ihre bisherigen Sicherheitskonzepte für Safety und Security überarbeiten müssen. Pilz, als Experte für sichere Automatisierung, hat daher sein Dienstleistungsangebot um die Themen der Industrial Security erweitert. Mit der Qualifizierung zum 'CESA - Certified Expert for Security in Automation' bietet das Unternehmen bereits seit letztem Jahr einen zweitägigen Expertenlehrgang an, der den Teilnehmern kompaktes Security-Wissen auf dem aktuellen Stand der Normenlage vermittelt. Darüber hinaus werden praktische Maßnahmen zur Risikominderung behandelt, wie Zugangskontrolle, Erhöhung der Netzwerk-Sicherheit mit technischen Mitteln sowie organisatorische Maßnahmen zur Verminderung von Security-Risiken.
Das Dienstleistungsangebot Industrial Security Consulting Service (ISCS) erweitert die sicherheitstechnische Betrachtung von Maschinen hin zu einer ganzheitlichen Betrachtung von Safety und Security. Es wurde ausgehend von der erprobten Methodik für Dienstleistungen im Bereich funktionaler Maschinensicherheit und auf der Basis der Security-Normenreihe IEC62443 entwickelt, nach dessen Umsetzung Unternehmen mit Blick auf Industrial Security gut gerüstet sind und die aktuellen gesetzlichen Vorgaben erfüllen. ISCS besteht aus vier Modulen: Schutzbedarfsanalyse, Industrial-Security-Risikobewertung, Industrial-Security-Konzept und Industrial-Security-System-Verifikation.
Safety und Security gehen Hand in Hand
Auch bei der konkreten Umsetzung an der Maschine macht künftig eine gemeinsame Betrachtung von Safety und Security Sinn. Am Ende gilt: ohne Security keine Safety und ohne Safety kein Schutz des Menschen. Ein wichtiger Baustein ist ein Identification and Access Management (I.A.M.), das Berechtigungen und Zugänge in einem Unternehmen klar regelt. Dazu gehören organisatorische Maßnahmen und Vorgaben genauso wie passende Sicherheitsfunktionen. Ein Zugangsberechtigungssystem wie PITreader von Pilz stellt dabei den passenden Produkt-Baustein dar. Damit können Anwender die Anforderungen bezüglich Mitarbeiterschutz, Haftungsschutz, Produktivität sowie des Schutzes ihrer Daten meistern. Den Zugriff auf Automatisierungsnetzwerke von außen abzusichern ist Aufgabe der Industrial Firewall SecurityBridge von Pilz. Sie überwacht den Datenverkehr zwischen PC und Steuerung und reduziert so die Angriffsfläche für Hacker und Manipulation.
Security über den kompletten Produkt-Lebenszyklus
Neben Betrachtung des Unternehmens und der Maschinen ist es unbedingt erforderlich, auch Security-Maßnahmen direkt in den Geräten (wie etwa Steuerungen) zu implementieren. Im September 2022 hat die Europäische Kommission einen Entwurf für eine Verordnung vorgelegt, die die Cybersicherheit von Produkten erhöhen soll. Dieser Cyber Resilience Act (CRA) richtet sich an Hersteller von Produkten mit digitalen Elementen (Hard- und Software), die in der Lage sind, mit anderen Produkten zu kommunizieren. Betroffen sind Produkte sowohl aus dem B2C-Bereich, wie Smartphones oder Staubsaugerroboter, als auch aus dem B2B-Bereich, wie Steuerungen und Sensoren, aber auch reine Softwareprodukte wie Betriebssysteme.
Wie groß die Auswirkungen des CRA tatsächlich sein werden, hängt davon ab, welche Kriterien am Ende für die Einstufung der Produkte angelegt werden. Laut CRA dürfen nur noch Produkte in Verkehr gebracht werden, die ein angemessenes Cybersicherheitsniveau gewährleisten - und zwar über den gesamten Lebenszyklus. Security beginnt also in der Produkt-Entwicklung. Seit einigen Jahren richtet Pilz seine Entwicklungsprozesse daher auch an der IEC62443-4-1 'Security for industrial automation and control systems - Part 4-1: Secure product development lifecycle requirements' aus und entwickelte beispielsweise die SecurityBridge nachweislich 'secure'.
Security ist jetzt gesetzliche Vorgabe!
Pilz ist überzeugt, dass nur eine ganzheitliche Betrachtung von Safety und Security einen Schutz von Mensch und Maschine gewährleisten kann. Ob und in welcher Tiefe sich ein Unternehmen mit Security auseinandersetzen will, ist nicht länger Ermessenssache. Inzwischen ist es eine gesetzliche Vorgabe! Im Maschinenbau ist Security in Form von Industrial Security nicht allein Aufgabe der IT, sondern integraler Bestandteil der Konzeption und Konstruktion. Security im Nachhinein zu implementieren ist immer aufwändig und bedeutet meist Einbußen bei Anwenderfreundlichkeit, Funktionalität und Produktivität.
Die neue Maschinenverordnung
Im Rahmen der funktionalen Sicherheit von Maschinen kommt der Maschinenrichtlinie 2006/42/EG eine besondere Bedeutung zu. Im vergangenen Juni neu als Maschinenverordnung veröffentlicht, wurden die Vorgaben auf den aktuellen Stand der Technik gebracht. Im Unterschied zur Maschinenrichtlinie nimmt die Maschinenverordnung unter anderem das Schutzziel Security mit auf als 'protection against corruption'. Security-Vorfälle dürfen die Sicherheitsfunktionen der Maschine nicht beeinträchtigen.
Pilz GmbH & Co. KG
Dieser Artikel erschien in SPS-MAGAZIN 3 (HMI) 2024 - 11.04.24.Für weitere Artikel besuchen Sie www.sps-magazin.de
