Lesezeit ca. 5 Min.
arrow_back

Das BIG PICTURE malen


Logo von Digital Manufacturing
Digital Manufacturing - epaper ⋅ Ausgabe 4/2022 vom 28.07.2022

PROZESSE UND PRODUKTE GEGEN MANIPULATIONEN SCHÜTZEN

Artikelbild für den Artikel "Das BIG PICTURE malen" aus der Ausgabe 4/2022 von Digital Manufacturing. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: Digital Manufacturing, Ausgabe 4/2022

Das Zusammenspiel von Safety und Security kann in der Praxis komplex werden ? ein strukturierter Ansatz hilft, den Überblick zu behalten.

Die Vernetzung von Maschinen, Anlagen und Systemen erhöht die Transparenz, Reaktionsgeschwindigkeit und Effizienz – macht Betriebe aber auch verwundbarer. Weil sich IT-Sicherheitsrisiken direkt auf die Maschinen- und Produktsicherheit auswirken können, erfordern sie besondere Aufmerksamkeit. Dabei gilt es, den Zielkonflikt von Sicherheit und Flexibilität in der Anwendung im Blick zu behalten.

Eine Umfrage des Bitkom ergab, dass 88 Prozent der befragten Unternehmen in den Jahren 2020 und 2021 Opfer eines Cyberangriffs wurden – mit Schäden von mehr als 220 Milliarden Euro. Seit dem russischen Angriff auf die Ukraine warnen Behörden und Industrieverbände zusätzlich vor verstärkten Hackerangriffen. Zunehmend intelligente Fabriken mit vernetzten Anlagen im Industrial Internet of Things (IIoT) bieten zudem neue Angriffspunkte für Manipulationen von ...

Weiterlesen
epaper-Einzelheft 14,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von Digital Manufacturing. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1050 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 4/2022 von Vernetzung erfordert mehr Cybersicherheit. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Vernetzung erfordert mehr Cybersicherheit
Titelbild der Ausgabe 4/2022 von KI-basierte Produktionsplanung. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
KI-basierte Produktionsplanung
Titelbild der Ausgabe 4/2022 von Mehr Freiheiten durch „leichten“ Schwerlastroboter. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Mehr Freiheiten durch „leichten“ Schwerlastroboter
Titelbild der Ausgabe 4/2022 von Automation leicht gemacht. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Automation leicht gemacht
Mehr Lesetipps
Blättern im Magazin
Cyberangriffe SICHTBAR MACHEN
Vorheriger Artikel
Cyberangriffe SICHTBAR MACHEN
IIOT im Fokus von Hackern
Nächster Artikel
IIOT im Fokus von Hackern
Mehr Lesetipps

... außen. So wurden ein großer Windparkbetreiber, ein Pumpen- und Armaturenhersteller, ein Traktorenhersteller sowie ein Telekommunikationsunternehmen Opfer von Cyberattacken. Menschen kamen zwar nicht unmittelbar zu schaden, wenn Angriffe jedoch auf Produktionsabläufe und -anlagen zielen, kann das direkt die Sicherheit und Gesundheit von Angestellten und Verbrauchern gefährden.

Was die Maschinenrichtlinie regelt

Grundlegend für die Sicherheit von Anlagen ist die europäische Maschinenrichtlinie 2006/42/EG. Sie verlangt eine Risikobewertung (Risk Assessment, RA), um vorhersehbare Risiken zu identifizieren, zu quantifizieren, zu analysieren und passende Gegenmaßnahmen zu entwickeln. Der Fokus liegt auf unsicheren Situationen bei bestimmungsgemäßer Verwendung und vorhersehbaren Fehlanwendungen.

Diese Risikobewertung bezieht sich vorrangig auf die Unfallverhütung (Safety) – also den Arbeitsschutz der Angestellten – und damit auf abzusichernde Risiken und Gefahren im Zusammenhang mit Maschinen. Dazu gehören Feuer- und Explosionsgefahren genauso wie mechanische, elektrische oder bspw. Gefahren aus dem Bereich der Ergonomie.

Safety secure machen – und reicht das?

Die Rolle der OT-Security in der Produktion beschränkt sich in vielen Veröffentlichungen darauf, die Komponenten der funktionalen Sicherheit mit Cybersecurity-Maßnahmen abzusichern oder eine bestehende Safety-Risikobeurteilung „secure“ zu machen. Gewöhnliche Safety-Risikobeurteilungen betrachten jedoch nicht die bewusste Manipulation. Wird beispielsweise eine bestehende Safety-Risikobeurteilung im Sinne der Maschinenrichtlinie „secure gemacht“, indem beispielsweise alle definierten Sicherheitsmaßnahmen gegen Cyberangriffe abgesichert werden, können in Abhängigkeit vom Maschinentyp gefährliche Situationen als Resultat einer Manipulation unerkannt bleiben. Für eine umfängliche Gefahrenerkennung hingegen müssen sowohl die Folgen möglicher Fehlanwendungen als auch die Gefahren durch bewusste Cyber-Manipulationen betrachtet werden.

Arbeitsschutz umfasst IT-Security

Angriffe, die beispielsweise auf online erreichbare Sicherheitssteuerungen und -funktionen zielen, bedeuten direkte Gefahren für die Angestellten, ihre Umgebung oder andere Maschinen: Eine manipulierte Schleuse schließt oder öffnet nicht rechtzeitig. Ein Industrieroboter erhält eine falsche Rückmeldung und es kann zur Kollision mit einem Menschen oder Produktionsgut kommen. Eine manipulierte Gaswarnanlage kann im Notfall nicht auslösen und eine mögliche Explosion verhindern. Die Beispiele zeigen, dasses unbedingt erforderlich ist, die Komponenten der Funktionalen Sicherheit auch cybersicher zu machen.

Aber selbst das ist für manche Maschinentypen noch nicht ausreichend. Denn: Bewusste Manipulation an betrieblichen Komponenten kann zu gefährlichen Situationen führen, in denen die Komponenten der funktionalen Sicherheit nicht wirken können. Ein realer Unfall an einer Drehmaschinen verdeutlicht dies: Das Werkstück war auf einer Seite durch einen Defekt nicht mehr passrichtig eingespannt. Die Maschine lief mit geringer Drehzahl. Das 300 Kilo schwere Werkstück begann erst zu taumeln und schlug dann die 50 Kilo-schwere -Schutztüre heraus.

Ein Maschinenbediener starb. Ein Cyberangriff mit Manipulation von Parametern des CNC-Programms kann zu einem vergleichbaren Ereignis führen.

In einem anderen Fall wurde die elektronisch gesteuerte Verschlussklappe eines Betonmischsilos in der „Auf“-Stellung vorgefunden, obwohl sie selbsttätig hätte schließen sollen. Zwei Mitarbeitende wurden bei dem Ereignis verschüttet und starben ebenfalls. Die Überprüfung der Mechanik ergab eine einwandfreie Funktion – eine Fehlfunktion der Komponenten der funktionalen Sicherheit waren also nicht die Ursache des Unfalls. Die Steuerung des Silos lief über einen veralteten, unsicheren Windows-XP-PC. Die OT-Security war also softwareseitig nicht auf dem Stand der Technik aktueller IT-Security.

In beiden Fällen konnte eine Cyberattacke ausgeschlossen werden. Allerdings zeigt die Analyse, dass vergleichbare Unfälle von außen hätten provoziert werden können, weil die Technik nicht auf die entsprechenden Gefahren vorbereitet war.

Hier liegen die Schwachstellen aktueller Safety-Konzepte im vernetzten Umfeld: Sie erkennen für gewöhnlich systematisch keine gefährlichen Situationen als Resultat einer Cyberattacke, denn der Aspekt „Manipulation“ wird in dieser Betrachtung oft noch ausgeklammert. Beide Beispiele zeigen auch: Aktuell besteht für Unternehmen eine Zwickmühle hinsichtlich der Rechtssicherheit, da die regulatorischen Vorgaben dem Stand der technischen Entwicklung hinterherhinken.

Geistiges Eigentum und Verbraucherschutz

Neben dem Arbeitsschutz bestehen auch Risiken für die Geheimhaltung geistigen Eigentums, weil Hacker neben der Manipulation von Anlagen auch Ziele wie Industriespionage verfolgen. Während ein ungewollter Anlagenstillstand (Down Time) sofort auffällt, bleibt der Diebstahl wertvoller Informationen mitunter lange unentdeckt. Dabei könnten Konstruktionspläne oder chemische Rezepturen entwendet werden, die Unternehmen oder Produkte ihr Alleinstellungsmerkmal kosten können.

Ein Angriff mit dem Ziel „Industriespionage“ kann aber auch „versehentlich“ die Arbeits- oder Produktsicherheit gefährden. Schließlich macht es einen Unterschied, ob jemand die Maschine direkt vor Ort bedient oder „blind“ aus der Ferne auf die Rechner und Steuerungen zugreift – wird eine Maschine oder Anlage dabei zur Unzeit aus- oder eingeschaltet, können daraus Gefahren erwachsen. Ein solcher „versehentlicher Angriff“ auf das Uniklinikum Düsseldorf legte beispielsweis die dortige IT lahm. Operationen waren nicht mehr möglich. Die Notaufnahme musste schließen! Ein heikler Notfalltransport musste umgeleitet werden und die Patientin verstarb noch auf dem Weg in eine andere Klinik. Tatsächlich zielte der Angriff auf die Daten der Heinrich-Heine-Universität Düsseldorf und nicht auf das Uniklinikum, wie polizeiliche Ermittlungen ergaben.

Eine Cyberattacke kann, ob beabsichtigt oder unbeabsichtigt, sogar die Sicherheit der Verbraucher gefährden, wenn automatisierte Abläufe während der Produktion so verändert wurden, dass Endprodukte in Eigenschaften wie der Festigkeit oder der Stabilität verändert sind. Falsche Werkstoffe oder Produktbezeichnungen beeinträchtigen die Qualität, erzeugen unter Umständen kostspieligen Warenausschuss und gefährden das Markenimage oder gar die Gesundheit von Konsumenten sowie Geschäftspartnern.

Sicherheit als Big Picture betrachten

Die Corona-Pandemie verstärkte den Trend zu Fernarbeit und -wartung. Immer mehr Anlagen erlauben eine Remote-Steuerung. Unzureichend abgesicherte Kommunikationskanäle bedeuten neue potenzielle Sicherheitslücken. Um mit dieser Situation und dem technischen Fortschritt auch rechtlich Schritt zu halten, fordern neue Verordnungen, Richtlinien und Normen verstärkt eine Berücksichtigung der Cybersecurity neben dem „klassischen“ Safety-Fokus. Das zeigen aktuelle Entwürfe zur Maschinenverordnung oder dem Gesetz über überwachungsbedürftige Anlagen.

Viele Unternehmen betreiben große Aufwände für die Security Ihrer Dateien und Daten (IT-Security). Gleichzeitig erhält die Security bereits vernetzter Maschinen (OT Security) bisweilen zu wenig Aufmerksamkeit. Produzenten, Zulieferer und Integratoren sollten die OT-Security insgesamt höher priorisieren. Dabei gilt es, die verfügbaren Mittel in der digitalen Transformation zielgerichtet und effizient einzusetzen. Eine reibungslose Produktion, die Maschinensicherheit und die Produktqualität hängen davon ab. Ein wirkungsvoller Ansatz ist, die Anlagen- und Cybersicherheit zu kombinieren.

Das Enhanced Risk Assessment (ERA) von TÜV SÜD bewertet Safety & Security gesamtheitlich, fördert die Zusammenarbeit zwischen den betroffenen Fakultäten und legt den Grundstein für zukünftige, dynamische und flexible Produktionsumgebungen. Das ermöglicht Unternehmen eine sichere und wirtschaftliche Produktion. Dieses Assessment kombiniert klassische Safety-Bewertungsverfahren, wie die Risiko- und Gefährdungsbeurteilung oder Hazard and Operability mit gängigen Bewertungsmethoden der Cybersecurity – beispielsweise nach der Normenreihe IEC 62443. Neben der Unfallverhütung und dem Arbeitsschutz werden weitere Schutzziele je nach Produkt, Anlage und Umfeld definiert. Neben der systematischen und gesamtheitlichen Erkennung von gefährlichen Situationen, erlaubt der Arbeitsschritt „Abstimmung von Schutzmaßnahmen“ eine optimale Schutzkonfiguration zu finden. Denn nur im Dialog zwischen den Fakultäten kann eine Kombination und Konfiguration von Schutzmaßnahmen gefunden werden, die zum angestrebten Sicherheitsniveau ermöglicht das Optimum bei Bedien- und Reparaturfreundlichkeit sowie dem Investitionsaufwand zu erreichen.

JBI

MICHAEL PFEIFER ist Experte für Maschinensicherheit und Industrie 4.0.

JOSEF GÜNTNER ist Cybersecurity Senior Experte, beide bei der TÜV SÜD Industrie Service GmbH.