Cybermanipulation Die Sicherheit vernetzter Produktionen ganzheitlich betrachten

Von Michael Pfeifer und Josef Güntner, TÜV SÜD Industrie Service

Anbieter zum Thema

Mit dem „Enhanced Risk Assessment (ERA)“ von TÜV SÜD kommen Safety- und Cybersecurity-Risiken übergreifend in den Blick, um Sicherheitsmaßnahmen optimal aufeinander abzustimmen.

Durch die zunehmende Vernetzung sind auch Hardware und Software zur Überwachung und Steuerung von Maschinen und Anlagen im Betrieb zunehmend von Cyberangriffen betroffen.
Durch die zunehmende Vernetzung sind auch Hardware und Software zur Überwachung und Steuerung von Maschinen und Anlagen im Betrieb zunehmend von Cyberangriffen betroffen.
(Bild: © Olivier Le Moal - stock.adobe.com)

Die Digitalisierung von Maschinen, Anlagen und Systemen birgt Gefahren für die IT-Sicherheit, die sich unmittelbar auf die Maschinen- und Produktsicherheit auswirken können. Eine Bitkom-Studie [1] zeigt, dass im Jahr 2021 bereits 21 Prozent aller befragten Unternehmen Opfer digitaler Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen waren. Das stellt fast eine Verdopplung der Vorfälle gegenüber dem Vorjahr dar. Die Schadenssumme von fast 62 Mrd. Euro hatte sich gegenüber dem Jahr 2019 sogar mehr als vervierfacht. Der Anstieg begründet sich vor allem im zunehmenden Trend zum mobilen Arbeiten mit neuen Möglichkeiten des Fernzugriffs auf remote steuerbare Anlagen, wodurch teilweise neue Sicherheitslücken entstanden sind.

Ransomware-Attacke durch professionelle Hackergruppe

Zum Beispiel wurde ein weltweit führender Hersteller von Leistungselektronik aus Mittelfranken im August 2022 Opfer eines Cyberangriffs mittels einer Ransomware-Attacke durch eine professionelle Hackergruppe. Teilweise seien IT-Systeme und Dateien verschlüsselt worden mit Folgen für den störungsfreien Betrieb und die Verfügbarkeit für Kunden und Vertragspartner. Zudem gaben die Täter an, Daten aus den Systemen entwendet zu haben, was derzeit noch seitens des Unternehmens mit externer Unterstützung durch Cybersicherheits-Experten und Forensikern überprüft werde [2].

Neben dem Datendiebstahl, Umsatzeinbußen sowie dem Vertrauens- und Imageverlust können Cyberangriffe aber auch zur unmittelbaren Gefahr für die Mitarbeiter vor Ort werden: Wenn sie beispielsweise Sicherheitsfunktionen wie Notabschaltungen oder Warnanlagen außer Kraft setzen, lösen diese im Ernstfall nicht wie beabsichtigt aus. Schlimmstenfalls verschaffen sich Angreifer während Wartungsarbeiten einen Fernzugriff und führen unerwartete Maschinenbewegungen herbei. So können für das Wartungs- und Instandsetzungspersonal lebensgefährliche Situationen entstehen.

Arbeitsschutz gewährleisten

Die Anlagensicherheit regelt die Europäische Maschinenrichtlinie 2006/42/EG (MaschRL) [3]. Eine Risikobeurteilung nach der MaschRL zielt in erster Linie darauf ab, Maschinen so zu konstruieren, dass von ihnen keine inakzeptablen Risiken für den Arbeitsschutz des Bedien- und Wartungspersonals ausgehen. In den Blick kommen neben der Ergonomie auch mechanische und elektrische Gefahren sowie Brand- und Explosionsgefahren. Die Risikobeurteilung umfasst fünf Punkte:

  • 1. Vorhersehbare Fehlanwendungen bei bestimmungsgemäßem Gebrauch ermitteln
  • 2. Gefährdungen und Gefährdungssituationen bestimmen
  • 3. Risiken abschätzen hinsichtlich Schweregrad und Eintrittswahrscheinlichkeit
  • 4. Risiken bewerten: Sind Maßnahmen zur Risikominderung erforderlich?
  • 5. Ggf. passende Schutzmaßnahmen ergreifen.

Secure Safety und Safe Security

Durch die zunehmende Vernetzung erfahren längst nicht mehr nur Telekommunikations- und elektronische Datensysteme (Information Technology – IT) Cyberangriffe. Vermehrt betroffen sind auch Hardware und Software zur Überwachung und Steuerung von Maschinen und Anlagen im Betrieb, sogenannte Operative Technologien (Operational Technology – OT). Das umfasst auch Systeme und Komponenten, die für die funktionale Sicherheit relevant sind. Ist der Schutz vor externen Angriffen oder Fehlsteuerungen unzureichend umgesetzt, können bewusste oder unbewusste Manipulationen (Hacks) gefährliche Anlagenzustände hervorrufen, die einfache Safety-Konzepte in der Regel noch nicht berücksichtigen.

Zwar ist das Bewusstsein über die wachsende Bedeutung der IT-Sicherheit bei den meisten Produzenten, Zulieferern und Integratoren bereits ausgeprägt, hinsichtlich der OT-Sicherheit ist das jedoch häufig noch nicht der Fall. Auch kommen bei konventionellen Risikobeurteilungen die IT-/OT-Security und die Funktionale Sicherheit getrennt voneinander in den Blick. Dadurch werden die Gefahren eines Cyberangriffs und die wechselseitigen Einflüsse nicht immer zuverlässig erkannt, sodass „blinde Flecken“ entstehen können.

Risiken mit erweitertem Ansatz begegnen

Mit dem Enhanced Risk Assessment (ERA) identifizieren und verknüpfen Experten von TÜV SÜD die Anforderungen und Wechselwirkungen der klassischen und der digitalen Sicherheitsbetrachtungen. Sie bewerten die Safety und Cybersecurity im Gesamtkontext der Anlagensicherheit, indem sie bewährte mit weiterentwickelten Methoden kombinieren – etwa zur sicheren Maschinengestaltung nach DIN EN ISO 12100 [4] oder für die Cybersecurity-Bewertung gemäß der Normenreihe IEC 62443 [5].

Die Sachverständigen ermitteln im ersten Schritt mögliche Risikofälle. Anschließend suchen alle betroffenen Abteilungen innerhalb eines Unternehmens gemeinsam und klar strukturiert nach einer passenden Lösung. Im Fokus steht dabei der systematische Dialog zwischen den Mitarbeitern der Maschinensicherheit (Safety) und den Verantwortlichen für die Cybersecurity (IT und OT). Ziel ist es, die Schutzmaßnahmen so auszuwählen, dass ein höchstmögliches Maß an Sicherheit nicht mit der Bedienung und Instandhaltung konfligiert.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Neue Risiken vermeiden

Dabei dürfen aus keiner Maßnahme neue Risiken für die Safety bzw. Security entstehen. Das ist zum Beispiel der Fall, wenn ausschließlich auf Cybersecurity-Lösungen gesetzt wird. Geeignete Sicherheitsvorkehrungen können jedoch schon einfache Safety-Maßnahmen sein wie ein physischer Endanschlag, der verbaut wird, um Verletzungen zu verhindern. Als Lösungen bieten sich aber auch mechanische Komponenten oder Systeme zur Steuerung und Überwachung an, die eine Anlage beim Über- bzw. Unterschreiten von definierten Schwellenwerten in einen sicheren Zustand versetzen.

Das ERA lässt sich individuell integrieren, um bestehende Sicherheitskonzepte zu erweitern und neue von Grund auf zu konzipieren. Sicherheitsmaßnahmen lassen sich oft betriebsbegleitend umsetzen, um Produktionsausfälle auf ein Mindestmaß zu reduzieren. Das Ergebnis: Ein maßgeschneidertes Konzept, das zugleich die Sicherheitsziele berücksichtigt und die Flexibilität in der Anwendung bewahrt. Der Austausch zwischen den Safety- und Security-Verantwortlichen führt schließlich zu einem erweiterten und gemeinsamen Sicherheitsverständnis.

Literatur

  • [1] Bitkom e. V. (2021): Bitkom-Studie zum Lagebericht der IT-Sicherheit 2021: www.bitkom.org/sites/default/files/2021-08/bitkom-slides-wirtschaftsschutz-cybercrime-05-08-2021.pdf
  • [2] CSO Deutschland (2022): Ransomware-Attacke: Semikron meldet Hackerangriff, www.csoonline.com/de/a/semikron-meldet-hackerangriff,3674075
  • [3] Europäische Union (2006): Richtlinie 2006/42/EG des Europäischen Parlaments und des Rates vom 17. Mai 2006 über Maschinen und zur Änderung der Richtlinie 95/16/EG, eur-lex.europa.eu/eli/dir/2006/42/oj?locale=de
  • [4] Beuth Verlag (2011): DIN EN ISO 12100:2011-03 „Sicherheit von Maschinen – Allgemeine Gestaltungsleitsätze – Risikobeurteilung und Risikominderung“, www.beuth.de/de/norm/din-en-iso-12100/128264334
  • [5] Deutsche Kommission Elektrotechnik Elektronik Informationstechnik (2020): IEC 62443: Die internationale Normenreihe für Cybersecurity in der Industrieautomatisierung, www.dke.de/de/arbeitsfelder/industry/iec-62443-cybersecurity-industrieautomatisierung

(ID:48663045)