Themenfeld Security

Komponenten der funktionalen Sicherheit (Safety) leisten einen entscheidenden Beitrag zum Schutz von Leben und Gesundheit bei der Arbeit an Maschinen und Anlagen. Sie sorgen dafür, dass gefährliche Zustände vermieden oder im Ernstfall beherrscht werden. So kann beispielsweise eine sichere Zuhaltung verhindern, dass eine Schutztür zu einem Gefahrenbereich geöffnet wird, solange ein Risiko für Personen besteht

Damit solche Sicherheitsfunktionen zuverlässig wirken, müssen jedoch auch die beteiligten sicherheitsrelevanten Steuerungskomponenten robust und gegen mögliche Angriffe geschützt sein. Neben der klassischen funktionalen Sicherheit rückt daher zunehmend auch der Schutz vor Manipulation und unbefugten Eingriffen, die Korrumpierung, in den Fokus. Eine Steuerung muss nicht nur gegen zufällige Ausfälle, sondern auch gegen gezielte Angriffe geschützt sein, wenn dadurch eine gefährliche Situation entstehen kann.

Sicherheitsfunktionen könnten beispielsweise deaktiviert, verändert oder in ihrer Wirksamkeit eingeschränkt werden. So ist z.B. das gezielte Passivieren von Schutzfunktionen, die unzulässige Veränderung von Prozessparametern wie Geschwindigkeiten oder Kräften, oder ein unbeabsichtigter bzw. unerwarteter Maschinenanlauf als Folge einer Korrumpierung der sicherheitsrelevanten Steuerungskomponenten denkbar.

Sicherheitsrelevante Komponenten sind deshalb konsequent an ihre technische Umgebung anzupassen. Dazu zählen insbesondere Netzwerke, Schnittstellen, Kommunikationsprotokolle sowie externe Zugriffsmöglichkeiten. Geeignete Maßnahmen umfassen unter anderem Zugriffskontrollen, Authentifizierung, Verschlüsselung, Netzwerksegmentierung sowie die Härtung von Systemen und Geräten.

Diese Anforderungen finden sich so auch in den europäischen Rechtsvorschriften wieder. Die EU-Maschinenverordnung 2023/1230 fordert, dass Maschinen so konstruiert und gebaut werden, dass ihre Sicherheitsfunktionen gegen Korrumpierung geschützt sind.
Sie müssen auch beabsichtigten und unbeabsichtigten Fremdeinflüssen standhalten können, einschließlich vernünftigerweise vorhersehbarer böswilliger Versuche Dritter.

Ergänzend dazu stellt der Cyber Resilience Act Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen über ihren gesamten Lebenszyklus. Hersteller sind unter anderem verpflichtet, Sicherheitslücken zu minimieren, geeignete Schutzmaßnahmen zu implementieren und Schwachstellen kontinuierlich zu überwachen und zu beheben.

Im Zusammenspiel verdeutlichen beide Regelwerke, dass funktionale Sicherheit (Safety) und Cybersicherheit (Security) nicht mehr getrennt betrachtet werden können. Vielmehr ist ein integrierter Ansatz erforderlich (Safety und Security), der bereits in der Entwicklung beginnt und sich über den gesamten Lebenszyklus von Maschinen und Anlagen erstreckt.

Schwerpunktthemen

Aktuelle Bedrohungen durch kritische Schwachstellen in Industriesteuerungen

• Aktuelle Schwachstellen an Arbeitsmitteln und in Industriesteuerungen
• Bekannte Probleme und Technologische Lösungen zu Industrial Security
• Kommunikation zu Schwachstellen und Schwachstellenmanagement

Europäische und nationale Regelwerke zu Industrial Security

• Betriebssicherheitsverordnung (BetrSichV)
• Arbeitsmittelbenutzungsverordnung (AMBV)
• Maschinenverordnung (MVO) Verordnung (EU) 2023/1230 des Europäischen Parlaments und des Rates
• Cybersecurity Act (CSA) Rechtsakt zur Cybersicherheit
• Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates
• NIS-2-Richtlinie, Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates
• Cyber Resilience Act (CRA) Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnung (EU) 2019/1020
• Technische Regeln Betriebssicherheit

Empfehlungen und Regelwerke des BSI (Bundesamt für Sicherheit in der Informationstechnik)