INDUSTRIELLE AUTOMATION 2/2024
INDUSTRIELLE AUTOMATION 2/2024
INDUSTRIELLE AUTOMATION 2/2024
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
KOMPONENTEN UND SOFTWARE<br />
darunter Systeme der Gebäudeautomation oder programmierbare<br />
Steuerungen für Montagelinien.<br />
Darauf reagiert auch der Gesetzgeber: So erweitert das IT-<br />
Sicherheitsgesetz 2.0 den Betreiberkreis Kritischer Infrastrukturen<br />
und macht unter anderem Systeme zur Angriffserkennung<br />
verpflichtend. Auch die neue Europäische Maschinenverordnung<br />
(MVO), die ab 2027 anstelle der Maschinenrichtlinie verpflichtend<br />
anzuwenden sein wird, justiert nach. Sie ergänzt das<br />
Risikomanagement um die gestiegenen Anforderungen der vernetzten<br />
Industrie. Dafür rückt sie die Themen Cybersecurity<br />
und Künstliche Intelligenz in den Fokus. Für Betreiber von Maschinen<br />
und Anlagen ist das Thema der Cybersecurity mit der<br />
TRBS 1115 Teil 1 bereits seit November 2022 relevant.<br />
Die technischen Entwicklungen und die verschärften rechtlichen<br />
und normativen Vorgaben spiegelt das Enhanced Risk<br />
Assessment von TÜV SÜD wider. Die Experten kombinieren die<br />
Gefährdungs- beziehungsweise Risikobeurteilung mit der Bewertung<br />
der Cybersecurity. Sie orientieren sich eng an der IEC 62443 –<br />
der wichtigsten Normenreihe für die IT-Sicherheit industrieller<br />
Automatisierungssysteme und Kommunikationsnetze. Die Normenreihe<br />
IEC 62443 umfasst alle Hard- und Softwarekomponenten<br />
von Steuerungssystemen sowie die für deren Errichtung und<br />
Betrieb nötigen Prozesse. Sie formuliert Schutzkonzepte und<br />
CYBERMANIPULATIONEN KÖNNEN<br />
FATALE FOLGEN FÜR MITARBEITER<br />
UND UNTERNEHMEN HABEN<br />
Leitfäden und teilt Netzwerke in Zonen, die bestimmte Sicherheitslevel<br />
erreichen müssen. So erfassen Unternehmen auch bislang<br />
unerkannte durch Cyberbedrohungen induzierte Risiken<br />
und können Gegenmaßnahmen implementieren.<br />
ENHANCED RISK ASSESSMENT IN DER PRAXIS<br />
Je nach Anlage, Produkt und Umfeld legt das Unternehmen eigene<br />
Schutzziele fest, die sich aus der IEC 62443 ableiten. Dabei<br />
sind alle Lebensphasen eines Systems inbegriffen, von der Entwicklung<br />
über die Implementierung bis hin zur Wartung und<br />
Stilllegung. Die Mitarbeiter aus der Maschinen- und Anlagensicherheit,<br />
der IT und OT definieren in enger Zusammenarbeit mit<br />
den Sachverständigen geeignete Maßnahmen. Wie lässt sich beispielsweise<br />
der unerlaubte Zugriff auf einen remote gesteuerten<br />
Fertigungsroboter verhindern? Etwa dadurch, dass der Fernzugriff<br />
zeitlich beschränkt wird und durch einen Maschinenexperten<br />
vor Ort freigegeben werden muss. Ergänzend dazu reicht es<br />
nicht, beispielsweise eine Fernzugriffsmöglichkeit aus Sicht der<br />
Cybersecurity zu bewerten; auch die Arbeitssicherheitsprozeduren<br />
müssen an die neuen Arbeitsweisen angepasst werden, um<br />
die Sicherheit der Personen vor Ort weiterhin zu gewährleisten.<br />
Der Fokus des ERA liegt auf dem Zusammenspiel von bestehenden<br />
und neu zu implementierenden Maßnahmen zum<br />
Schutz gegen Cyberkriminalität. Die Resilienz von bestehenden<br />
Sicherheitskonzepten wird durch geeignete Safety- und Security-<br />
Maßnahmen anforderungsgerecht erweitert. So kann in manchen<br />
Fällen eine rein mechanische Komponente wie ein Endanschlag<br />
ein wichtiger Bestandteil eines Sicherheitskonzepts sein:<br />
er ist weder vernetzt noch programmier- oder parametrierbar<br />
und bietet somit keine Angriffsfläche für Cyberangriffe. Mehr<br />
Cybersicherheit darf jedoch nicht zulasten der Bedienbarkeit<br />
Das ERA ermöglicht, Schutzmaßnahmen aus<br />
den Bereichen Safety und Security präzise<br />
aufeinander abzustimmen, ohne dass neue<br />
Risiken entstehen. Zugleich bleiben die Systeme<br />
zugänglich für die Bedienung und Instandhaltung.<br />
So entsteht ein anforderungsgerechtes<br />
Sicherheits-Niveau ohne Effizienzverluste,<br />
das die Widerstandskraft der Unternehmen<br />
und damit das Vertrauen ihrer Kunden stärkt.<br />
Andreas Michael, Industrial IT Security Expert,<br />
TÜV SÜD Industrie Service GmbH<br />
gehen. Beispielsweise ist es notwendig, einen geeigneten Kompromiss<br />
zwischen Cybersecurity-Maßnahmen und der Zugänglichkeit<br />
für Wartung und Reparatur zu finden. Das ERA-Konzept<br />
unterstützt die Unternehmen bei der Erstellung ihrer Safety- und<br />
Cybersecurity-Bewertungen und sensibilisiert darüber hinaus<br />
die Mitarbeiter für Bedrohungen durch Cyberangriffe.<br />
Bild: Aufmacher Andrii Yalanskyi – stock.adobe.com, Portrait TÜV SÜD<br />
www.tuevsued.de<br />
UNTERNEHMEN<br />
TÜV SÜD Industrie Service GmbH<br />
Westendstr. 199<br />
80686 München<br />
Telefon 089/5792 - 0<br />
AUTOREN<br />
Michael Pfeifer, Experte für Maschinensicherheit<br />
und I4.0 und Andreas Michael,<br />
Industrial IT Security Expert, beide bei der<br />
TÜV SÜD Industrie Service GmbH,<br />
www.industrielle-automation.net <strong>INDUSTRIELLE</strong> <strong>AUTOMATION</strong> <strong>2024</strong>/02 39