Der Fachblog für CE-Kennzeichnung

Stichwort „Cyber Security“ - Was müssen Maschinenhersteller und -betreiber beachten?

Erstellt von Laura Heissenbüttel am 28.01.21 11:55

Die digitale Transformation betrifft bereits viele Teile unseres Lebens. Auch in der Arbeitswelt ist sie angekommen und stellt die Hersteller und Betreiber von Maschinen vor neue Herausforderungen. Das Stichwort heißt „Cyber Security“. Der Begriff steht für den Schutz der Software von Maschinen und Anlagen, zum Beispiel vor Hackerangriffen aus dem Internet.Arbeiter an einer Maschine© Gorodenkoff/stock.adobe.com

Es gibt unterschiedliche Möglichkeiten, durch die ein Hacker oder eine Schadsoftware den Weg zur Maschinensoftware findet. Einer davon geht ganz einfach durch das Internet, wenn die Maschine mit diesem verbunden ist. Auch Hardware, wie USB-Sticks, können eine Schadsoftware einschleppen, wenn diese vorher (möglicherweise unbeabsichtigt) auf dem Datenträger installiert wurde. Ebenso stellen externe Geräte, wie Smartphones oder Tablets, ein Risiko dar, wenn sie mit einer schädlichen Software belastet sind und dann mit einer Maschine oder Anlage vernetzt werden. Aber auch Systemeinbrüche, die nicht unbedingt von Dritten ausgelöst werden müssen, können zu einem Fehlverhalten der Maschine oder Anlage führen.

Es ist längst keine Seltenheit mehr, dass Maschinen und Anlagen mit dem Internet vernetzt werden und so den oben genannten Gefahren ausgesetzt sind. Trotzdem stellt die Sicherheit vor Hackerangriffen keine Gefährdung nach Maschinenrichtlinie dar und wird somit nicht in der Risikobeurteilung berücksichtigt. Vielmehr handelt es sich bei dem Eingriff durch Dritte um eine Straftat. Dennoch muss diese Gefahr zum Schutz aller beteiligten Arbeiter ausgeschlossen werden. Deshalb sollte das Thema (im besten Fall) genau wie andere Gefährdungen bereits in der Konstruktionsphase der Maschine bedacht werden, sodass eine inhärent sichere Techniklösung und die passenden ergänzenden Schutzmaßnahmen ausgewählt und in Bezug auf Cybersicherheit überprüft werden können.

Die Gefahren, die von einer betroffenen Software ausgehen, kann beispielsweise die Steuerung einer Maschine oder implementierte Automatisierungsprozesse betreffen. Durch die angegriffene Software wird die Maschine unberechenbar, möglicherweise auch unkontrollierbar. Sie agiert anders als vorgesehen und es können schwerwiegende Gefahren für die Maschinenführer oder andere Arbeiter entstehen. Eine weitere Gefahr und ein Grund für den Einsatz von Schadsoftware ist die Betriebsspionage oder auch Erpressung und Sabotage. Hier stehen weniger die Maschinen, sondern sensible Daten des Unternehmens im Fokus des Hackerangriffs oder der eingeschleußten Software. 

Ein Beispiel für den Einsatz einer Schadsoftware im Industrieumfeld ist das Programm Stuxnet. Das Schadprogramm wurde speziell entwickelt, vermutlich 2007 erstmals eingesetzt und erst 2010 entdeckt. Die Schadsoftware (Malware) griff das System zur Überwachung und Steuerung (SCADA-System) an, um unbemerkt das damalige iranische Atomprogramm zu behindern. Bei der Urananreicherungsanlage bei Natanz wurden durch Stuxnet letztlich die Frequenzumrichter der Zentrifugen beschädigt.

Richtlinien_17.1Handlungsempfehlungen zur Cyber Security finden sich beispielsweise in der „DIN EN IEC 62443-4-1 - IT-Sicherheit für industrielle Automatisierungssysteme Teil 4-1: Anforderungen an den Lebenszyklus für eine sichere Produktentwicklung“, sowie die „ISO/TR 22100-4:2018-12 - Sicherheit von Maschinen - Zusammenhang mit ISO 12100 - Teil 4: Leitlinien für Maschinenhersteller zur Berücksichtigung der damit verbundenen IT-Sicherheits- (Cybersicherheits-) Aspekte“. Letztere beinhaltet konkrete Empfehlungen für die Auswahl der geeigneten Komponenten und die Entwicklung und Konstruktion der Gesamtmaschine. Auch für die Betriebsanleitung finden sich in der ISO/TR22100-4 Hinweise in Bezug auf die Cyber Security. Hinzu kommt die „DIN EN 61508-1:2011-02 - Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme - Teil 1: Allgemeine Anforderungen“ für den Bereich Funktionale Sicherheit.

Zwar ist das Thema Cyber Security für die Maschinensicherheit von besonderer Bedeutung, es soll aber auf keinen Fall von der Vernetzung von Maschinen oder Anlagen mit dem Internet abschrecken. Das Internet bietet viele Möglichkeiten für die Entwicklung von Produktionsprozessen oder bei der Modernisierung von Anlagen und kann so einen echten Mehrwert bieten. Wie überall in der Arbeitswelt sollte dabei aber das Thema Sicherheit nicht vergessen werden.  

Wir informieren Sie regelmäßig über Themen rund um die Maschinensicherheit. Dazu müssen Sie nur unseren CE-CON Newsletter abonnieren und schon halten wir Sie auf dem Laufenden!

Jetzt für den Newsletter anmelden!

 

Weitere Informationen zum Thema Cybersicherheit finden Sie hier: 

VDMA: Profilierung von IT-Sicherheitsstandards für den Maschinen- und Anlagenbau

BMWI: IT-Sicherheit für die Industrie 4.0  (Studie im Auftrag des Bundesministeriums für Wirtschaft und Energie)

Themen: Arbeitssicherheit, Funktionale Sicherheit

Jetzt den Blog-Newsletter abonnieren!