OT-Cybersecurity ist die Sicherheit der Menschen
Was die Maschinenverordnung 2023/1230 ändert
OT-Cybersicherheit und Maschinenverordnung (EU) 2023/1230
Wenn ein IT-System in einem Büro kompromittiert wird, bleiben die Folgen digital. Wenn dieselbe Art von Angriff das Steuerungssystem einer Industriemaschine trifft, verlassen die Folgen den Bildschirm: sie können Sicherheitsfunktionen deaktivieren, gefährliche Bewegungen auslösen, Not Halt-Vorgänge blockieren.
Die OT-Cybersecurity, die die Betriebssysteme der Anlagen, die SPS, die Feldnetze und die Fernverbindungen betrifft, hat einen unmittelbaren Einfluss auf die körperliche Sicherheit der Menschen, die mit diesen Maschinen arbeiten. Die Maschinenverordnung (EU) 2023/1230 hat diesen Zusammenhang formalisiert und führt zum ersten Mal spezifische Anforderungen an den Schutz von Software, Steuerungssystemen und kritischen Daten ein.
Der Umfang der Maschine hat sich erweitert
Die Maschinenrichtlinie 2006/42/EG war für mechanische und elektromechanische Maschinen konzipiert. Der Text enthielt keine ausdrücklichen Bezüge zu Software, Konnektivität, künstlicher Intelligenz oder Cybersecurity. Zwanzig Jahre lang blieb dieser Teil des Risikos in einer Grauzone.
Die Maschinenverordnung (EU) 2023/1230, die ab dem 20. Januar 2027 gilt, schließt diese Lücke. Eingebettete Software, OT-Netze, Fernzugriffe: die Verordnung behandelt sie in jeder Hinsicht als Bestandteile der Maschine, mit den entsprechenden Konstruktions- und Sicherheitspflichten.
Die neue grundlegende Anforderung 1.1.9, Schutz gegen Manipulation, legt fest, dass Maschinen so konstruiert und gebaut werden müssen, dass Verbindungen und Fernzugriffe weder die Veränderung der Sicherheitsfunktionen noch die Entstehung gefährlicher Situationen ermöglichen. Die Anforderung betrifft drei unterschiedliche Bereiche:
- Software
- Hardware-Komponenten
- Kritische Daten
SAFETY und SECURITY: zwei unterschiedliche Konzepte
Bei Industriemaschinen mit digitalen Bauteilen und Konnektivität können die funktionalen Risiken (safety) und die Cyber- Risiken (security) nicht mehr als getrennte Bereiche behandelt werden.
Ein unbefugter Zugriff, eine Konfigurationsänderung oder ein unkontrolliertes Software-Update können das Verhalten der Maschine und damit die Sicherheit der Bediener beeinflussen.
In der Verordnung (EU) 2023/1230 konvergieren safety und security.
Security
- Was wird geschützt: Maschinen und Daten vor Manipulationen und unbefugten Zugriffen.
- Rechtsgrundlage: Cyber Resilience Act (EU) 2024/2847.
- Beispiele: Authentifizierung, Verschlüsselung, Firmware-Updates.
- Art der Maßnahme: Technisch und verfahrenstechnisch.
Safety
- Was wird geschützt: Das Bedienpersonal vor Gefahren, die vom Betrieb der Maschinen ausgehen.
- Rechtsgrundlage: Verordnung (EU) 2023/1230.
- Beispiele: Schutzvorrichtungen, Absperrungen, Not-Aus-Schalter.
- Art der Maßnahme: Physikalisch und/oder elektronisch.
Mit anderen Worten: ab 2027 wird es nicht mehr genügen, eine Maschine zu konstruieren, die aus mechanischer, elektrischer oder funktionaler Sicht sicher ist. Es wird notwendig sein nachzuweisen, dass Software, Netze, verbundene Geräte und digitale Zugriffe die im Entwurf vorgesehenen Sicherheitsfunktionen nicht beeinträchtigen können.
Eine Maschine kann den traditionellen Safety-Anforderungen entsprechen, doch wenn sie für informationstechnische Manipulationen anfällig ist, die Funktionen, Parameter oder Steuerungslogiken verändern, ist das Gesamtniveau der Sicherheit beeinträchtigt. Der Schutz der Menschen und der Schutz der digitalen Systeme werden damit zu Teilen desselben Risikomanagementprozesses.
Die weiteren Neuerungen der Verordnung zur Software
Die Verordnung greift das Thema Software umfassender auf.
Grundlegende Anforderung 1.2.1, Sicherheit und Zuverlässigkeit der Steuerungssysteme
Sie verlangt, dass Steuerungssysteme sicher und zuverlässig konstruiert werden, einschließlich derjenigen, die evolutive Software oder künstliche Intelligenz integrieren.
Änderungen des Maschinenverhaltens, auch wenn sie von selbstadaptiven Systemen erzeugt werden, müssen so gehandhabt werden, dass keine gefährlichen Situationen entstehen.
Wesentliche Veränderung
Die Verordnung führt zum ersten Mal eine klare Definition ein.
Eine Veränderung ist wesentlich, wenn sie die Sicherheit der Maschine beeinträchtigt, indem sie eine neue Gefahr schafft oder ein bestehendes Risiko erhöht.
Die Neuerung gegenüber der Richtlinie ist ausdrücklich: die Veränderung kann „durch physische oder digitale Mittel“ erfolgen. Ein Software-Update, das das Verhalten des Sicherheitssystems verändert, fällt unter diese Definition.
Software als Sicherheitsbauteil (Anhang II)
In Anhang II der Verordnung, der Liste der Sicherheitsbauteile, erscheint zum ersten Mal die Software, die Sicherheitsfunktionen gewährleistet.
Software dieser Art muss, wenn sie gesondert in Verkehr gebracht wird, die CE- Kennzeichnung tragen und von einer EU-Konformitätserklärung sowie einer Betriebsanleitung begleitet sein. Dieselbe
Pflicht gilt für Sicherheitsbauteile mit selbstentwickelndem Verhalten auf Basis maschinellen Lernens.
Wie wir diesen Teil handhaben
Die Digitalisierung der Maschinen hat die OT-Cybersecurity zu einem integralen Bestandteil der Risikobeurteilung gemacht. Das bedeutet, die Cybersecurity-Aspekte anzugehen, die für die Sicherheit der Menschen und für die normative Konformität der Maschine relevant sind.
Unser Ansatz ist auf den tatsächlichen Umfang der Anlage und auf die anwendbaren Anforderungen abgestimmt. Wir halten den Fokus auf den OT-Systemen der Maschine, fern von nicht einschlägigen IT-Tätigkeiten.
Die Leistungen, die wir auf diesem Feld anbieten:
- Bewertung des OT-Systems im Bereich Cybersecurity (OT Assessment) / Vorläufige Analyse der OT-Architektur, Identifikation des relevanten Umfangs und der kritischen Punkte gegenüber den normativen Anforderungen.
- Cyber Compliance CE / Prüfung der für die CE-Kennzeichnung anwendbaren Cybersecurity-Anforderungen nach der Maschinenverordnung (EU) 2023/1230.
- Cyber Compliance CE Advanced / Ausweitung der Analyse auf das gesamte OT-System über die CE- Mindestanforderungen hinaus.
- Bestimmung des Security Level nach IEC 62443 / Bewertung des Security-Niveaus der OT-Systeme nach der internationalen Referenznorm für industrielle Cybersecurity.