Die neue Maschinenverordnung (MVO) 2023/1230 der EU adressiert Hersteller von Maschinen und Produkten. Die NIS-2 ist eine Betreiber-Richtlinie, die auch Hersteller in die Pflicht nehmen wird. Der Cyber-Resilience-Act (CRA) trifft Produktehersteller und der zukünftige AI-Act adressiert Anbieter sowie Anwender von künstlicher Intelligenz. Und Maschinen bauen wollen wir auch weiterhin noch!
Die NIS-2 muss bis zum 17. Oktober 2024 in das nationale NISG 2024 überführt werden und es sieht derzeit danach aus, dass der Termin haltbar ist. Die MVO gilt ab 20. Jänner 2027. Der CRA wird vorrausichtlich ab dem ersten Quartal 2027 anwendbar sein und der AI-Act wird noch dieses Jahr erwartet. Als Novum in der Maschinensicherheit sieht die MVO in Anhang III als grundlegende Sicherheits- und Gesundheitsschutzanforderung vor, dass Hardware-Bauteile, Software und Daten angemessen gegen unbeabsichtigte oder vorsätzliche Korrumpierung zu schützen sind. Steuerungen müssen so beschaffen sein, dass sie böswilligen Versuchen Dritter, eine Gefährdungssituation hervorzurufen, standhalten können. Bevor das erfüllt werden kann, bedarf es erst transparenter Informationen über Assets und Risiken. Der Referentenentwurf des NISG 2024 vom 3. April erfordert in §32 geeignete und verhältnismäßige technische, operative und organisatorische Risikomanagementmaßnahmen. Risikoanalysen und Sicherheitskonzepte sind Teile davon. Es gilt zu bedenken, dass es Netzwerke nicht nur in der Office-IT gibt, sondern meist auch in der Produktion und – nicht zu vergessen – auch in Maschinen. Zudem gibt es zu betrachtende Bedrohungen nicht nur aus dem Internet, sondern auch der physische Zugang vor Ort ist ein potenzieller Angriffsvektor. Wer sich in den vergangenen Jahren bereits mit Safety-Risikoanalysen beschäftigt hat, wird erstaunt sein, wie umfangreich und komplex eine Security-Risikobetrachtung erst sein kann, wenn wir potenzielle Bedrohungen und Schwachstellen auf unterschiedlichsten Ebenen in unseren Maschinen bewerten müssen. Die Gefahren sind nicht so greifbar wie quetschende Zahnräder, scharfe Kanten oder heiße Oberflächen. Und: Wie sollte uns ein kleiner Sensor weh tun? Ein böswilliger Dritter könnte
ihn beispielsweise einfach durch Einschleusen oder Platzieren eines Evil Twins »spoofen«, damit die generierten – vielleicht sogar sicherheits - relevanten – Werte manipulieren und so eine Gefahr hervorrufen. Ob Fernwartung, Schnittstellen, Hardware, Software oder Parameter – wo immer ein Zugang unbetrachtet offenliegt, da wird auch ein Weg gefunden werden, diesen auszunutzen, zu manipulieren und so möglicherweise zu einer gefährlichen Situation zu führen.
Sollten wir daher all diese Potenziale zukünftig aus unseren Maschinen verbannen? Im Gegenteil! Der Datenaustausch ist und wird immer wichtiger und auch erforderlich sein, um Parameter für den eigenen Betriebsprozess zu aggregieren, die Lieferkette mit nötigen Informationen zu versorgen oder Fernwartungen weiterhin zu ermöglichen. Wer dies nicht anbietet, verliert den Anschluss. Cybersicherheit ermöglicht hierbei nicht nur einen Marktvorsprung, sondern diese Prozesse schaffen auch robuste Netzwerke und Produkte – nicht nur gegen Cybervorfälle.
erschienen in der Austromatisierung | Ausgabe 03-2024 | Mai 2024