INDUSTRIELLE AUTOMATION 2/2024

Weitere Magazine

Info

CYBERSECURITY IN DER AUTOMATION RISK MANAGEMENT WEITERDENKEN Arbeiten Maschinen, Anlagen und Systeme vernetzt, sind sie reaktionsschneller, flexibler und effizienter. Zunehmend digitalisiert werden sie aber auch anfälliger für Manipulationen. Mit dem Enhanced Risk Assessment (ERA) finden Industriebetriebe die richtige Balance zwischen Leistungssteigerung sowie Safety und Security. Erfahren Sie in diesem Beitrag, wie das gelingt. Industrieanlagen werden immer häufiger aus der Ferne überwacht, gesteuert und gewartet. Der Zugriff erfolgt über Netzwerkanschlüsse. Sind diese veraltet oder ungesichert, werden sie zu Schlupflöchern für Cyberkriminalität. Etwa die Hälfte aller deutschen Unternehmen erlebte 2023 einen Hackerangriff. Besonders vulnerabel sind digital vernetzte Systeme während Wartungsarbeiten und der Inbetriebnahme, wenn die Sicherheitseinrichtungen nicht vollständig aktiv sind. Die Folgen können gestörte Produktionsabläufe und ungeplante Anlagenstillstände sein. Löst eine Funktion einer Anlage im Anforderungsfall nicht aus, fällt dies in der Regel schnell auf. Daten werden jedoch oft unbemerkt abgegriffen und unter anderem zur Industriespionage genutzt. Das verursacht jährlich Schäden in Milliardenhöhe. Doch Cyberkriminelle kosten Unternehmen nicht nur Wettbewerbsvorteile und Geld. Auch die Sicherheit ihrer Mitarbeitenden ist in Gefahr. Unerwartete Maschinenbewegungen, ausgelöst durch manipulierte Steuerbefehle, können das Bedienpersonal schwer verletzen. Werden verunreinigte Chargen oder veränderte Rezepturen nicht entdeckt, steht zudem die Gesundheit der Verbraucher auf dem Spiel. IT-SICHERHEIT ALLEIN IST NICHT GENUG Um sich vor Datenverlust und Manipulation zu schützen, sind Unternehmen verpflichtet, Risikomanagement zu betreiben: Sie müssen Risiken identifizieren, einschätzen und bewerten – und Gegenmaßnahmen entwickeln. Bislang fokussierten sie sich meist auf die Sicherheit ihrer Unternehmensdaten und Office- Anwendungen. Doch der Blick auf die klassische IT reicht nicht länger aus. Weil immer mehr Prozesse digitalisiert sind, müssen ebenfalls operative Technologien (OT) berücksichtigt werden, SAFETY VERSUS SECURITY? Safety besteht vor allem aus Maßnahmen, die den Arbeits- und Gesundheitsschutz von Personen in der Produktion sowie die Funktionale Sicherheit betreffen. Dazu gehören etwa Schutzzäune. Im Fokus stehen Risiken zum Beispiel elektrischer oder mechanischer Natur oder Explosionsgefahren. Hinzu kommen Risiken, die die Umwelt gefährden. Im Gegensatz dazu befasst sich Security mit böswillig herbeigeführten Situationen, die hauptsächlich Informationen oder Vermögenswerte betreffen. Dazu gehören Diebstahl und Manipulation von Daten. Zu den Maßnahmen der Cybersecurity gehören beispielsweise Zugangsbeschränkungen, Verschlüsselungen oder Zonierung. Um Unternehmen zu schützen, muss das Risikomanagement Maßnahmen sowohl zur Safety als auch Security abdecken. 38 INDUSTRIELLE AUTOMATION 2024/02 www.industrielle-automation.net
KOMPONENTEN UND SOFTWARE darunter Systeme der Gebäudeautomation oder programmierbare Steuerungen für Montagelinien. Darauf reagiert auch der Gesetzgeber: So erweitert das IT- Sicherheitsgesetz 2.0 den Betreiberkreis Kritischer Infrastrukturen und macht unter anderem Systeme zur Angriffserkennung verpflichtend. Auch die neue Europäische Maschinenverordnung (MVO), die ab 2027 anstelle der Maschinenrichtlinie verpflichtend anzuwenden sein wird, justiert nach. Sie ergänzt das Risikomanagement um die gestiegenen Anforderungen der vernetzten Industrie. Dafür rückt sie die Themen Cybersecurity und Künstliche Intelligenz in den Fokus. Für Betreiber von Maschinen und Anlagen ist das Thema der Cybersecurity mit der TRBS 1115 Teil 1 bereits seit November 2022 relevant. Die technischen Entwicklungen und die verschärften rechtlichen und normativen Vorgaben spiegelt das Enhanced Risk Assessment von TÜV SÜD wider. Die Experten kombinieren die Gefährdungs- beziehungsweise Risikobeurteilung mit der Bewertung der Cybersecurity. Sie orientieren sich eng an der IEC 62443 – der wichtigsten Normenreihe für die IT-Sicherheit industrieller Automatisierungssysteme und Kommunikationsnetze. Die Normenreihe IEC 62443 umfasst alle Hard- und Softwarekomponenten von Steuerungssystemen sowie die für deren Errichtung und Betrieb nötigen Prozesse. Sie formuliert Schutzkonzepte und CYBERMANIPULATIONEN KÖNNEN FATALE FOLGEN FÜR MITARBEITER UND UNTERNEHMEN HABEN Leitfäden und teilt Netzwerke in Zonen, die bestimmte Sicherheitslevel erreichen müssen. So erfassen Unternehmen auch bislang unerkannte durch Cyberbedrohungen induzierte Risiken und können Gegenmaßnahmen implementieren. ENHANCED RISK ASSESSMENT IN DER PRAXIS Je nach Anlage, Produkt und Umfeld legt das Unternehmen eigene Schutzziele fest, die sich aus der IEC 62443 ableiten. Dabei sind alle Lebensphasen eines Systems inbegriffen, von der Entwicklung über die Implementierung bis hin zur Wartung und Stilllegung. Die Mitarbeiter aus der Maschinen- und Anlagensicherheit, der IT und OT definieren in enger Zusammenarbeit mit den Sachverständigen geeignete Maßnahmen. Wie lässt sich beispielsweise der unerlaubte Zugriff auf einen remote gesteuerten Fertigungsroboter verhindern? Etwa dadurch, dass der Fernzugriff zeitlich beschränkt wird und durch einen Maschinenexperten vor Ort freigegeben werden muss. Ergänzend dazu reicht es nicht, beispielsweise eine Fernzugriffsmöglichkeit aus Sicht der Cybersecurity zu bewerten; auch die Arbeitssicherheitsprozeduren müssen an die neuen Arbeitsweisen angepasst werden, um die Sicherheit der Personen vor Ort weiterhin zu gewährleisten. Der Fokus des ERA liegt auf dem Zusammenspiel von bestehenden und neu zu implementierenden Maßnahmen zum Schutz gegen Cyberkriminalität. Die Resilienz von bestehenden Sicherheitskonzepten wird durch geeignete Safety- und Security- Maßnahmen anforderungsgerecht erweitert. So kann in manchen Fällen eine rein mechanische Komponente wie ein Endanschlag ein wichtiger Bestandteil eines Sicherheitskonzepts sein: er ist weder vernetzt noch programmier- oder parametrierbar und bietet somit keine Angriffsfläche für Cyberangriffe. Mehr Cybersicherheit darf jedoch nicht zulasten der Bedienbarkeit Das ERA ermöglicht, Schutzmaßnahmen aus den Bereichen Safety und Security präzise aufeinander abzustimmen, ohne dass neue Risiken entstehen. Zugleich bleiben die Systeme zugänglich für die Bedienung und Instandhaltung. So entsteht ein anforderungsgerechtes Sicherheits-Niveau ohne Effizienzverluste, das die Widerstandskraft der Unternehmen und damit das Vertrauen ihrer Kunden stärkt. Andreas Michael, Industrial IT Security Expert, TÜV SÜD Industrie Service GmbH gehen. Beispielsweise ist es notwendig, einen geeigneten Kompromiss zwischen Cybersecurity-Maßnahmen und der Zugänglichkeit für Wartung und Reparatur zu finden. Das ERA-Konzept unterstützt die Unternehmen bei der Erstellung ihrer Safety- und Cybersecurity-Bewertungen und sensibilisiert darüber hinaus die Mitarbeiter für Bedrohungen durch Cyberangriffe. Bild: Aufmacher Andrii Yalanskyi – stock.adobe.com, Portrait TÜV SÜD www.tuevsued.de UNTERNEHMEN TÜV SÜD Industrie Service GmbH Westendstr. 199 80686 München Telefon 089/5792 - 0 AUTOREN Michael Pfeifer, Experte für Maschinensicherheit und I4.0 und Andreas Michael, Industrial IT Security Expert, beide bei der TÜV SÜD Industrie Service GmbH, www.industrielle-automation.net INDUSTRIELLE AUTOMATION 2024/02 39
Seite 1 und 2: 19239 SMARTE LÖSUNGEN FÜR DIE IND
Seite 3 und 4: EDITORIAL DIGITALISIEREN, ABER WIE?
Seite 5 und 6: SPECIAL CONNECTIVITY 42 Einfaches H
Seite 7 und 8: NEWS & TRENDS „Automations-Untern
Seite 9 und 10: HANNOVER MESSE 2024 lisierung. Sie
Seite 11 und 12: 03 WIE GEHT DAS MIT DEN ABHÄNGIGKE
Seite 13 und 14: SENSORIK UND MESSTECHNIK MESSPRINZI
Seite 15 und 16: SENSORIK UND MESSTECHNIK 03 Konfoka
Seite 17 und 18: SENSORIK UND MESSTECHNIK sind wahlw
Seite 19 und 20: SENSORIK UND MESSTECHNIK schnell fe
Seite 21 und 22: SENSORIK UND MESSTECHNIK 02 Das IIo
Seite 23 und 24: SENSORIK UND MESSTECHNIK Wo sich Me
Seite 25 und 26: DAS UNSICHTBARE SICHTBAR MACHEN Der
Seite 27 und 28: STEUERN UND ANTREIBEN SYSTEMLÖSUNG
Seite 29 und 30: INDUSTRIELLE KOMMUNIKATION Mit dem
Seite 31 und 32: INDUSTRIELLE KOMMUNIKATION 02a 02b
Seite 33 und 34: INDUSTRIELLE KOMMUNIKATION Nicht nu
Seite 35 und 36: VERNETZUNG IN DER SMART FACTORY Unt
Seite 37: KOMPONENTEN UND SOFTWARE Die Lizenz
Seite 41 und 42: KOMPONENTEN UND SOFTWARE SOFTWARE Z
Seite 43 und 44: SPECIAL CONNECTIVITY 01 02 Als Spez
Seite 45 und 46: 03 LED-Linienleuchten stellen den j
Seite 47 und 48: SPECIAL CONNECTIVITY tet. Besser w
Seite 49 und 50: SPECIAL CONNECTIVITY SCHNELL UND SI
Seite 51 und 52: VORSCHAU IM NÄCHSTEN HEFT: 03/2024
Seite 53 und 54: BIHL-WIEDEMANN.DE n JAHRGANG 06 n A
Seite 55 und 56: AS-INTERFACE TECHNOLOGIE Verantwort
Seite 57 und 58: AS-INTERFACE TECHNOLOGIE Vergleich:
Seite 59 und 60: AS-INTERFACE SAFETY Das Portfolio v
Seite 61 und 62: AS-INTERFACE SAFETY kation in der R
Seite 63 und 64: AS-INTERFACE INTERVIEW Im Gespräch
Seite 65 und 66: AS-INTERFACE ENTWICKLUNG ASi-5 UND
Seite 67 und 68: AS-INTERFACE ENTWICKLUNG ASi-5 Safe

INDUSTRIELLE AUTOMATION 2/2024

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?